HOWTO: Iptables для новичков

[novis]

Добрый день, помогите составить правильную цепочку правил.

В данный момент iptables-save выглядит так

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Fri Mar  9 09:34:24 2012
*filter
:INPUT ACCEPT [4917:10609719]
:FORWARD ACCEPT [14:796]
:OUTPUT ACCEPT [4940:10659379]
:fail2ban-named-refused-tcp - [0:0]
:fail2ban-named-refused-udp - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 53,953 -j fail2ban-named-refused-tcp
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p udp -m multiport --dports 53,953 -j fail2ban-named-refused-udp
-A fail2ban-named-refused-tcp -j RETURN
-A fail2ban-named-refused-udp -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Mar  9 09:34:24 2012

Что хотелось бы получить:

(Нажмите, чтобы показать/скрыть)

1. Правило для очистки
2. Правило для eth0 (192.168.1.20) смотрит на роутре провайдера
3. Правило для eth1 (192.168.4.1) смотрит в локалку
4. Правило для dhcp (192.168.4.0/24)
5. Правило для dns
6. Правило для OpenVPN (сеть 192.168.10.0/24 шлюз 192.168.10.1), vpn клиентам нужен будет доступ к сети 192.168.4.0/24 и ip адресам 192.168.1.1, 192.168.1.20
7. Правило для открытия портов 22 (ssh),21(ftp),80(http)
8. Правила для fail2ban уже присутствуют в iptables-save
9. Правило для squid (прозрачный прокси, с заворачиванием трафика 80 порта)

Сам вижу это примерно так.

Составлен на основе правил участника форума.
cat firewall.sh

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Очистка правил
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t fail2ban-ssh -F

# Очистка всех цепочек
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -t fail2ban-ssh -X

# Очистка контейнеров
iptables -Z
iptables -Z -t nat
iptables -Z -t mangle
iptables -Z -t fail2ban-ssh


#Создание новых трех цепочек
iptables -N SERVICE
iptables -N WORKTCP
iptables -N WORKUDP

# Определяем политику по умолчанию
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Сбрасываем цепочку POSTROUTING в таблице nat
iptables -t nat -F POSTROUTING

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем хосту принимать пакеты от уже установленных соединений
iptables -A INPUT -m state --state ESTABLIISHED,RELATED

#отбрасываем пакеты, которые невозможно идентифицировать
iptables -A INPUT -f -j DROP
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW,INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW,INVALID -j REJECT --reject-with tcp-reset

# DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT

#разделяем трафик по протоколам
iptables -A INPUT -p tcp -j WORKTCP
iptables -A INPUT -p udp -j WORKUDP
iptables -A INPUT -p icmp -j SERVICE

#Открываем порты для входящих соединений:
iptables -A WORKTCP -p tcp --dport 80 --syn -m conntrack --ctstate NEW -j ACCEPT    #http
iptables -A WORKTCP -p tcp --dport 21 --syn -m conntrack --ctstate NEW -j ACCEPT    #FTP
iptables -A WORKTCP -p tcp --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT    #SSH
iptables -A WORKTCP -p tcp --dport 443 --syn -m conntrack --ctstate NEW -j ACCEPT   #https
iptables -A WORKTCP -p tcp --dport 1194 --syn -m conntrack --ctstate NEW -j ACCEPT  #OpenVPN


#Цепь WORKUDP
#для DHCP
iptables -A WORKUDP -p udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT

#Цепь SERVICE
iptables -A SERVICE -p icmp --icmp-type 8  -j ACCEPT
iptables -A SERVICE -p icmp --icmp-type 11 -j ACCEPT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.4.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.4.1:3128

#NAT Вписываем сюда IP своих компьютеров в локальной сети.
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth0 -j MASQUERADE

#Дефрагментировать  tcp-пакеты, если размер MTU разный на интерфейсах.
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

[AnrDaemon]

Зачем вам
-A fail2ban-named-refused-tcp -j RETURN
-A fail2ban-named-refused-udp -j RETURN
-A fail2ban-ssh -j RETURN
?
Из кастомных цепочек возврат автоматически происходит по достижении конца цепочки.
Таким образом, ответ на 1. становится тривиальным.
Остальное просто не понял.

Скрипт тупо бред. Это iptables а не ipchains. Используйте уже годами доступные способы облегчения жизни и себе и людям, которые будут этот ужас после вас администрировать.
1. При старте сети
  a) Загружаете шаблон правил через iptables-restore
  b) Вызываете скрипт f2b для набивания правил мясом.
2. При изменении мяса, только дёргать скрипт перебивки мяса.

И не создавайте новых цепочек, если не собираетесь обращаться к ним больше одного раза, если только такое создание не оправдывается другими соображениями.
Это по поводу
#Создание новых трех цепочек
iptables -N SERVICE
iptables -N WORKTCP
iptables -N WORKUDP

[novis]

Спасибо за критику.
Правила fail2ban были созданы автоматом при установке пакета.
Удалены создание цепочек, правила перенесены в цепочку INPUT
Изменил cat firewall.sh

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Очистка правил
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t fail2ban-ssh -F

# Очистка всех цепочек
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -t fail2ban-ssh -X

# Очистка контейнеров
iptables -Z
iptables -Z -t nat
iptables -Z -t mangle
iptables -Z -t fail2ban-ssh

# Определяем политику по умолчанию
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Сбрасываем цепочку POSTROUTING в таблице nat
iptables -t nat -F POSTROUTING

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем хосту принимать пакеты от уже установленных соединений
iptables -A INPUT -m state --state ESTABLIISHED,RELATED

#отбрасываем пакеты, которые невозможно идентифицировать
iptables -A INPUT -f -j DROP
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW,INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW,INVALID -j REJECT --reject-with tcp-reset

# DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT

#Открываем порты для входящих соединений:
iptables -A INPUT -p tcp --dport 80 --syn -m conntrack --ctstate NEW -j ACCEPT    #http
iptables -A INPUT -p tcp --dport 21 --syn -m conntrack --ctstate NEW -j ACCEPT    #FTP
iptables -A INPUT -p tcp --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT    #SSH
iptables -A INPUT -p tcp --dport 443 --syn -m conntrack --ctstate NEW -j ACCEPT   #https
iptables -A INPUT -p tcp --dport 1194 --syn -m conntrack --ctstate NEW -j ACCEPT  #OpenVPN
iptables -A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT           #Jabber

#для DHCP
iptables -A INPUT -p udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8  -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.4.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.4.1:3128

#NAT Вписываем сюда IP своих компьютеров в локальной сети.
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE #Для OpenVPN клиентов
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth0 -j MASQUERADE  #Для DHCP станций


#Дефрагментировать  tcp-пакеты, если размер MTU разный на интерфейсах.
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

[bumctik]

Переведите на русский фразу "пользователя, под которым запускается сервер", пожалуйста.
Чтобы правила сохранялись, их надо сохранять.
Чтобы загружались - загружать.
Само ничего не делается.

тогда вопрос, куда должны сохранятся iptables?

[AnrDaemon]

Никуда. Вы сами должны организовать их загрузку. Из вами сохранённого места.

[novis]

Подскажите, текущие правила подходят под мои требования, из постов
1. https://forum.ubuntu.ru/index.php?topic=20334.msg1379564#msg1379564
2. https://forum.ubuntu.ru/index.php?topic=20334.msg1379624#msg1379624
На мой взгляд новичка, видится что все на своем месте. Но если не так, помогите скорректировать, помочь.  Заранее благодарю.

[AnrDaemon]

Я правил не вижу. Мы здесь, к сожалению(?), не онлайн-интерпретаторы скриптов.
iptables-save показывайте.

[novis]

Я правил не вижу. Мы здесь, к сожалению(?), не онлайн-интерпретаторы скриптов.
iptables-save показывайте.

То что Вы не интерпретаторы, я прекрасно понимаю, HOWTO читаю.
Правила iptables-save теже самые, пока ничего не изменял. Поэтому составляю firewall.sh.
Пользователь решил продолжить мысль 10 Марта 2012, 10:47:50:Добавил правила FORWARD, POSTROUTING и для squid REDIRECT

Измененный cat firewall.sh

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Очистка правил
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t fail2ban-ssh -F

# Очистка всех цепочек
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -t fail2ban-ssh -X

# Очистка контейнеров
iptables -Z
iptables -Z -t nat
iptables -Z -t mangle
iptables -Z -t fail2ban-ssh

# Определяем политику по умолчанию
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Сбрасываем цепочку POSTROUTING в таблице nat
iptables -t nat -F POSTROUTING

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем хосту принимать пакеты от уже установленных соединений
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

#отбрасываем пакеты, которые невозможно идентифицировать
iptables -A INPUT -f -j DROP
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW,INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW,INVALID -j REJECT --reject-with tcp-reset

# DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT

#Открываем порты для входящих соединений:
iptables -A INPUT -p tcp --dport 80 --syn -m conntrack --ctstate NEW -j ACCEPT    #http
iptables -A INPUT -p tcp --dport 21 --syn -m conntrack --ctstate NEW -j ACCEPT    #FTP
iptables -A INPUT -p tcp --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT    #SSH
iptables -A INPUT -p tcp --dport 443 --syn -m conntrack --ctstate NEW -j ACCEPT   #https
iptables -A INPUT -p tcp --dport 1194 --syn -m conntrack --ctstate NEW -j ACCEPT  #OpenVPN
iptables -A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT           #Jabber

#для DHCP
iptables -A INPUT -p udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8  -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT

# Заворачиваем http на прокси
#iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.4.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.4.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128


# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i tun0 -s 192.168.10.0/24 -j ACCEPT
# На всякий случай очистим цепочку POSTROUTING таблицы nat
iptables -t nat -F POSTROUTING
# Маскарадим весь трафик, идущий через eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


#NAT Вписываем сюда IP своих компьютеров в локальной сети.
#iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE #Для OpenVPN клиентов
#iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth0 -j MASQUERADE  #Для DHCP станций


#Дефрагментировать  tcp-пакеты, если размер MTU разный на интерфейсах.
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

вот как выглядит iptables-save из этого скрипта
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Sat Mar 10 11:03:49 2012
*mangle
:PREROUTING ACCEPT [32:2248]
:INPUT ACCEPT [32:2248]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28:14412]
:POSTROUTING ACCEPT [28:14412]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Mar 10 11:03:49 2012
# Generated by iptables-save v1.4.8 on Sat Mar 10 11:03:49 2012
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Mar 10 11:03:49 2012
# Generated by iptables-save v1.4.8 on Sat Mar 10 11:03:49 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [28:14412]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT
-A INPUT -p udp -m udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -i tap+ -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Sat Mar 10 11:03:49 2012

[ivsatel]

Зачем писать два правила когда можно все записать одним, это про сквид:

Код: [Выделить]

iptables -t nat -A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128И правила в INPUT которые предназначены для DROP лучше в скрипте задавать с использованием не -A а -I присваивая им номер (хотя бы основным):

Код: [Выделить]

iptables -I INPUT 1 -p tcp ! --syn -m conntrack --ctstate NEW,INVALID -j DROP
iptables -I INPUT 2 -f -j DROP
iptables -I INPUT 3 -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW,INVALID -j REJECT --reject-with tcp-reset

[novis]

Спасибо, поправил
firewall.sh

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Очистка правил
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t fail2ban-ssh -F

# Очистка всех цепочек
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -t fail2ban-ssh -X

# Очистка контейнеров
iptables -Z
iptables -Z -t nat
iptables -Z -t mangle
iptables -Z -t fail2ban-ssh

# Определяем политику по умолчанию
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Сбрасываем цепочку POSTROUTING в таблице nat
iptables -t nat -F POSTROUTING

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем хосту принимать пакеты от уже установленных соединений
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

#отбрасываем пакеты, которые невозможно идентифицировать
iptables -I INPUT 1 -f -j DROP
iptables -I INPUT 2 -p tcp ! --syn -m conntrack --ctstate NEW,INVALID -j DROP
iptables -I INPUT 3 -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW,INVALID -j REJECT --reject-with tcp-reset

# DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT

#Открываем порты для входящих соединений:
iptables -A INPUT -p tcp --dport 80 --syn -m conntrack --ctstate NEW -j ACCEPT    #http
iptables -A INPUT -p tcp --dport 21 --syn -m conntrack --ctstate NEW -j ACCEPT    #FTP
iptables -A INPUT -p tcp --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT    #SSH
iptables -A INPUT -p tcp --dport 443 --syn -m conntrack --ctstate NEW -j ACCEPT   #https
iptables -A INPUT -p tcp --dport 1194 --syn -m conntrack --ctstate NEW -j ACCEPT  #OpenVPN
iptables -A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT           #Jabber

#для DHCP
iptables -A INPUT -p udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8  -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128


# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i tap+ -s 192.168.10.0/24 -j ACCEPT
# Маскарадим весь трафик, идущий через eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


#NAT Вписываем сюда IP своих компьютеров в локальной сети.
#iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE #Для OpenVPN клиентов
#iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth0 -j MASQUERADE  #Для DHCP станций


#Дефрагментировать  tcp-пакеты, если размер MTU разный на интерфейсах.
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Sat Mar 10 11:39:20 2012
*mangle
:PREROUTING ACCEPT [37:3583]
:INPUT ACCEPT [37:3583]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34:13971]
:POSTROUTING ACCEPT [34:13971]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Mar 10 11:39:20 2012
# Generated by iptables-save v1.4.8 on Sat Mar 10 11:39:20 2012
*nat
:PREROUTING ACCEPT [4:952]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Mar 10 11:39:20 2012
# Generated by iptables-save v1.4.8 on Sat Mar 10 11:39:20 2012
*filter
:INPUT DROP [4:952]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [34:13971]
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT
-A INPUT -p udp -m udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.4.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -i tap+ -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Sat Mar 10 11:39:20 2012

[ivsatel]

Код: [Выделить]

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forwardЭто можно сделать раз и навсегда, если конечно это не выходит за рамки концепции) Просто вписав в sysctl.conf строки net.ipv4.ip_forward = 1 и тутже применить, в консоли набрав sysctl -p.
Или сразу в консоли:

Код: [Выделить]

sudo echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -pНу и проверить, чисто для себя, можно так sudo iptables-save -c , так видно будет по счетчикам, попадаеют ли пакеты под Ваши правила. Хотя конечно это вопрос спорный, некоторые правила могут сработать раз в день/неделю/месяц.

[novis]

Код: [Выделить]

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forwardЭто можно сделать раз и навсегда, если конечно это не выходит за рамки концепции) Просто вписав в sysctl.conf строки net.ipv4.ip_forward = 1 и тутже применить, в консоли набрав sysctl -p.
Или сразу в консоли:

Код: [Выделить]

sudo echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -pВот.

Эта команда и в правду была выполнена ранее. Добавил в скрипт на всякий случай ...

[ivsatel]

Код: [Выделить]

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPTЗдесь тоже можно использовать мультипорт)

#Открываем порты для входящих соединений http-ftp-ssh-https-openVPN:

Код: [Выделить]

iptables -A INPUT -p tcp -m multiport --dports 80,21,22,443,1194 --syn -m conntrack --ctstate NEW -j ACCEPT И еще, правила для пакетов с состоянием NEW лучше ставить сразу после правила для пакетов с состоянием ESTABLISHED,RELATED так же используя -I (относится к ACCEPT)

[novis]

Код: [Выделить]

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPTЗдесь тоже можно использовать мультипорт)

#Открываем порты для входящих соединений http-ftp-ssh-https-openVPN:

Код: [Выделить]

iptables -A INPUT -p tcp -m multiport --dports 80,21,22,443,1194 --syn -m conntrack --ctstate NEW -j ACCEPT И еще, правила для пакетов с состоянием NEW лучше ставить сразу после правила для пакетов с состоянием ESTABLISHED,RELATED так же используя -I (относится к ACCEPT)

Благодарю за корректировку, изменил на мультипорт.
Хотя попадания пакетов лучше видиться когда они раздельны
А вот по поводу второго не совсем понял.
Т.е. правило iptables -A INPUT -p tcp -m multiport --dports 80,21,22,443,1194 --syn -m conntrack --ctstate NEW -j ACCEPT
перенести сразу после?
#Разрешаем хосту принимать пакеты от уже установленных соединений
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

а после этого будут идти #отбрасываем пакеты, которые невозможно идентифицировать

Или стоит перенести выше #отбрасываем пакеты, которые невозможно идентифицировать, и поставить перед #Разрешаем хосту принимать пакеты от уже установленных соединений

[ivsatel]

Хотя попадания пакетов лучше видиться когда они раздельны

Кому как нравится)

А вот по поводу второго не совсем понял.
Т.е. правило

Код: [Выделить]

iptables -A INPUT -p tcp -m multiport --dports 80,21,22,443,1194 --syn -m conntrack --ctstate NEW -j ACCEPT перенести сразу после?
#Разрешаем хосту принимать пакеты от уже установленных соединений

Код: [Выделить]

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Да.

а после этого будут идти #отбрасываем пакеты, которые невозможно идентифицировать

Нет, отбрасываемые пакеты должны быть первыми.
Примерно так:

Код: [Выделить]

iptables -I INPUT 1 -j DROP
iptables -I INPUT 2 -j DROP
iptables -I INPUT 3 -j DROP
iptables -I INPUT 4 -i lo -j ACCEPT
iptables -I INPUT 5 ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT 6 NEW -j ACCEPT