HOWTO: Iptables для новичков

[ivsatel]

-o этот интерфейс будет для LAN. Для понимания найдите в man-е как этот параметр и -i в полном виде пишется и поймёте

Значит поступающий пакет на интерфейс смотрящий в локальную сеть еще не имеет -d 192.168.1.0/24
То есть правило

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0В корне не правильно.
Тогда почему не срабатывает правило

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -о eth0Ведь его порядковый номер/расположение перед

Код: [Выделить]

-A FORWARD -m conntrack --ctstate DNAT -j ACCEPTИ всякого рода FORWARD ACCEPT ?

[fisher74]

То есть правило

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0В корне не правильно.

Совершено верно

Тогда почему не срабатывает правило

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -о eth0Ведь его порядковый номер/расположение перед

Код: [Выделить]

-A FORWARD -m conntrack --ctstate DNAT -j ACCEPTИ всякого рода FORWARD ACCEPT ?

С чего это оно перед ними? Добавьте это правило и посмотрите куда оно добавилось.

[ivsatel]

С чего это оно перед ними? Добавьте это правило и посмотрите куда оно добавилось.

Так в приведенных мной выше выводах iptables-save оно перед Всеми разрешениями цепочки FORWARD

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Mon Feb 27 18:30:27 2012
*filter
:INPUT DROP [5395134:531635015]
:FORWARD DROP [1:76]
:OUTPUT ACCEPT [67775563:87701724776]
[51933:2639026] -A INPUT -m state --state INVALID -j DROP
[3095:1188530] -A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
[0:0] -A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
[67:2680] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 10/min -j DROP
[1169:60132] -A INPUT -i ppp+ -p tcp -m multiport --ports 113,135,136,137,138,139,9000,2002,20,21,22,23,3389,3306 -j DROP
[2497:176067] -A INPUT -i ppp+ -p udp -m multiport --ports 113,135,136,137,138,139,9000,2002,20,21,22,23,3389,3306 -j DROP
[203995:14658172] -A INPUT -s 192.168.1.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
[36120572:14937420579] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[941:57446] -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
[20191:1107455] -A FORWARD -m state --state INVALID -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID -j REJECT --reject-with tcp-reset
[20159:1960858] -A FORWARD -i ppp+ -p icmp -m limit --limit 10/min --limit-burst 1 -j DROP
[180772:9131436] -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[1651914:136730228] -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp -m multiport ! --ports 53,67,68,80,8080 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p udp -m multiport ! --ports 53,67,68,80,8080 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
[328718:16740168] -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m multiport --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[7783:483937] -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp -m multiport --ports 53,67,68,80,8080 -m connlimit --connlimit-above 60 --connlimit-mask 32 -j DROP
[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0 -p tcp -m multiport --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0 -p udp -m multiport --ports 53,67,68,80,8080 -m connlimit --connlimit-above 60 --connlimit-mask 32 -j DROP
[106738813:110823923055] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[245924:14499433] -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Mon Feb 27 18:30:27 2012
# Generated by iptables-save v1.4.4 on Mon Feb 27 18:30:27 2012
*nat
:PREROUTING ACCEPT [9002167:793158940]
:POSTROUTING ACCEPT [834018:41247396]
:OUTPUT ACCEPT [171273:11361666]
[77350:3997394] -A PREROUTING -i ppp+ -p tcp -m tcp --dport 26001 -j DNAT --to-destination 192.168.1.2
[75906:5508580] -A PREROUTING -i ppp+ -p udp -m udp --dport 26001 -j DNAT --to-destination 192.168.1.2
[1279660:86948811] -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Mon Feb 27 18:30:27 2012
# Generated by iptables-save v1.4.4 on Mon Feb 27 18:30:27 2012
*mangle
:PREROUTING ACCEPT [237267571:179899220577]
:INPUT ACCEPT [41779409:15487837961]
:FORWARD ACCEPT [195436155:164408187340]
:OUTPUT ACCEPT [67775570:87701725367]
:POSTROUTING ACCEPT [261003878:251944154853]
[112967796:111904458056] -A PREROUTING -i ppp+ -j TTL --ttl-set 128
[2166198:108122228] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
[87212446:53473719395] -A POSTROUTING -o ppp+ -j TTL --ttl-set 128
COMMIT
# Completed on Mon Feb 27 18:30:27 2012

[fisher74]

Где? Нет там такого правила.
Давайте чтобы глаза не ломать посмотрим так

Код: [Выделить]

sudo iptables-save -t filter | grep FORWARD | grep ACCEPT

[ivsatel]

Привожу пример такой команды:

Код: [Выделить]

sudo iptables-save -с -t filter | grep FORWARDТ.к. правило про которое я говорю вовсе не ACCEPT а REJECT
А интересует:

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

(Нажмите, чтобы показать/скрыть)

:FORWARD DROP [4:310]
[28770:1470451] -A FORWARD -m state --state INVALID -j DROP
[25351:2504067] -A FORWARD -i ppp+ -p icmp -m limit --limit 10/min --limit-burst 1 -j DROP
[245180:12393608] -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[1841851:154765824] -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp -m multiport ! --ports 53,67,68,80,8080 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p udp -m multiport ! --ports 53,67,68,80,8080 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
[430060:21856580] -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m multiport --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[9457:588630] -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp -m multiport --ports 53,67,68,80,8080 -m connlimit --connlimit-above 60 --connlimit-mask 32 -j DROP
[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0 -p tcp -m multiport --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 60 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
[0:0] -A FORWARD -d 192.168.1.0/24 -i eth0 -p udp -m multiport --ports 53,67,68,80,8080 -m connlimit --connlimit-above 60 --connlimit-mask 32 -j DROP
[130689578:135543112154] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[319375:18740316] -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

[AnrDaemon]

Тебя просили правила без счётчиков показать. Дико затрудняет чтение правил.
Нули объясняются довольно просто - в эти правила ничего не попало.
Попробуйте тем же netcat или nmap создать трафик с нужными условиями и посмотрите на реакцию правил.

[fisher74]

Я запутался чего хочет вопрошаюший. То разговор про -i eth0 -j ACCEPT, то вдруг выясняется, что REJECT.
Вы обозначенное правило сами анализировали, какие пакеты попадут под его условия? С учётом предыдуших правил - это только в случае попытки взлома. Хотя моё мнение - не панацея. Если не прав коллеги поправят.

[ivsatel]

Попытаюсь более подробно. Речь изначально шла о этом правиле

Код: [Выделить]

[0:0] -A FORWARD -d 192.168.1.0/24 -o eth0 -p tcp -m multiport ! --ports 53,67,68,80,8080 -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-resetА вернее почему правило с атрибутом -d (пакеты направленные в локалку) не отрабатывает, на ряду с теми, что идут из локалки с атрибутом -s (они отрабатывают). Выше это можно видеть в предоставленном мною листинге.
А условие, поставленное мной просто. Ограничивать количество соединений по портам. Как из локалки так и в неё.
Прошу прощенья за такое ломаное изложение мысли.

[chikatillo]

Подскажите как можно средствами iptables, есть шлюз , нужно что бы пользователи через браузер при обращении на http://site.in.ua попадали на комп в локальной сети - 192.168.1.10, прокси стоит но ща все работают мимо прокси , т.е. заворота на 3128 нет...

[ivsatel]

попадали на комп в локальной сети - 192.168.1.10

А что есть на 192.168.1.10 ?

[tagilchanin]

Подскажите как можно средствами iptables, есть шлюз , нужно что бы пользователи через браузер при обращении на http://site.in.ua попадали на комп в локальной сети - 192.168.1.10, прокси стоит но ща все работают мимо прокси , т.е. заворота на 3128 нет...

поднять ДНС и в нем прописать что сайт http://site.in.ua находится на ip 192.168.1.10

[chikatillo]

Подскажите как можно средствами iptables, есть шлюз , нужно что бы пользователи через браузер при обращении на http://site.in.ua попадали на комп в локальной сети - 192.168.1.10, прокси стоит но ща все работают мимо прокси , т.е. заворота на 3128 нет...

поднять ДНС и в нем прописать что сайт http://site.in.ua находится на ip 192.168.1.10

Нет меня интересует именно средствами iptables это можно сделать?Еще я знаю айпи сайта, он постоянный но принадлежит шлюзу который раздает инет, а веб сервер на другом компе в локалке....

[aSmile]

Вот это читали?

[chikatillo]

Вот это читали?

Это разве не тема -Тема: HOWTO: Iptables для новичков?
Я просто задал вопрос на который хочу получить ответ, я не имел ввиду выдать мне готовое решение, а просто сказать можно или нет если да то хоть где примерно капать...

[AnrDaemon]

Вам ответили, как это сделать.
Что вы в iptables упёрлись, это что - панацея?