HOWTO: Iptables для новичков

[ivsatel]

/sbin/modprobe ip_conntrack
Наверно лишний, так как он вызывается из этого правила. Если я не ошибаюсь.
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset

[AnrDaemon]

а после этого будут идти #отбрасываем пакеты, которые невозможно идентифицировать

Пакеты, которые невозможно идентифицировать, отбрасываются правилом по умолчанию для цепочки.

[novis]

/sbin/modprobe ip_conntrack
Наверно лишний, так как он вызывается из этого правила. Если я не ошибаюсь.
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset

И да, Вы снова правы. Каюсь, тупо скопировал хотя прочитал о подключении этого модуля. Работает без него

[ivsatel]

Без него не работает, а работает потому что он уже загружен 
Модули которые уже загружены (относительно iptables) можно посмотреть так:

Код: [Выделить]

lsmod | grep ipt

[bumctik]

Никуда. Вы сами должны организовать их загрузку. Из вами сохранённого места.

т.е. иными словами я должен создать в /корневая дериктория/iptables.sh
скрипт с нужными мне правилами и просто тупо добавить его к автозапуску?

[novis]

Никуда. Вы сами должны организовать их загрузку. Из вами сохранённого места.

т.е. иными словами я должен создать в /корневая дериктория/iptables.sh
скрипт с нужными мне правилами и просто тупо добавить его к автозапуску?

ИМХО без разницы где он будет располагаться. Но лучше конечно чтоб все в одном месте, чтобы потом не запутаться.А по поводу автозагрузки есть отдельная тема, там рассмотрены многие варианты.

[JonnyB]

Подскажите пожалуйста, есть процесс (у него уникальный uid, 1000) который шлет запросы на 80 порт. Хочется пустить его через HTTP_PROXY (1.2.3.4:5). Как это сделать?

[ArcFi]

В грубом приближении, имеется шлюз со следующими интерфейсами:
em1 - инет
em2 - локалка

Требуется разрешить доспуп компам из локалки к ftp-серверам в инете.
И, в принципе, это работает:

(Нажмите, чтобы показать/скрыть)

# iptables-save
# Generated by iptables-save v1.4.12 on Sun Mar 25 19:09:26 2012
*nat
:PREROUTING ACCEPT [2256:265868]
:INPUT ACCEPT [31:6095]
:OUTPUT ACCEPT [44:11164]
:POSTROUTING ACCEPT [26:5932]
-A POSTROUTING -s <LAN1> -o em1 -j SNAT --to-source <GW_WAN_IP>
COMMIT
# Completed on Sun Mar 25 19:09:26 2012
# Generated by iptables-save v1.4.12 on Sun Mar 25 19:09:26 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o em1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -o em1 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A FORWARD -s <LAN1> -o em1 -p tcp -m state --state NEW -m tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Mar 25 19:09:26 2012

Однако, строка, отмеченная красным, мне сильно не нравится.
Поэтому вопрос сводится к следующему: можно ли машинам в локалке перекрыть доступ в инет на порты 1024:65535 и при этом оставить рабочим доступ к ftp-серверам.
Или, быть может, есть какой-то более правильный способ разрешить доступ ftp-клиентов из локалки к внешнему ftp-серверу?

[ivsatel]

Подскажите пожалуйста, есть процесс (у него уникальный uid, 1000) который шлет запросы на 80 порт. Хочется пустить его через HTTP_PROXY (1.2.3.4:5). Как это сделать?

https://forum.ubuntu.ru/index.php?topic=166336.msg1223005#msg1223005

можно ли машинам в локалке перекрыть доступ в инет на порты 1024:65535 и при этом оставить рабочим доступ к ftp-серверам.

Если известен адрес сервера то примерно так

Код: [Выделить]

Разрешить -d 1.2.3.4 -dport 2001
Разрешить -d 4.3.2.1 -dport 2002
Запретить -d 0.0.0.0 -dport 1024:65535
Как то так

[AnrDaemon]

В грубом приближении, имеется шлюз со следующими интерфейсами:
em1 - инет
em2 - локалка

Требуется разрешить доспуп компам из локалки к ftp-серверам в инете.
И, в принципе, это работает:

# iptables-save
# Generated by iptables-save v1.4.12 on Sun Mar 25 19:09:26 2012
*nat
:PREROUTING ACCEPT [2256:265868]
:INPUT ACCEPT [31:6095]
:OUTPUT ACCEPT [44:11164]
:POSTROUTING ACCEPT [26:5932]
-A POSTROUTING -s <LAN1> -o em1 -j SNAT --to-source <GW_WAN_IP>
COMMIT
# Completed on Sun Mar 25 19:09:26 2012
# Generated by iptables-save v1.4.12 on Sun Mar 25 19:09:26 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o em1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -o em1 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A FORWARD -s <LAN1> -o em1 -p tcp -m state --state NEW -m tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Mar 25 19:09:26 2012

Однако, строка отмеченная красным, мне сильно не нравится.

И правильно не нравится, потому что она лишняя.
Ставь ftp_conntrack и... и всё.

[AlDemin]

И правильно не нравится, потому что она лишняя.
Ставь ftp_conntrack и... и всё.

+1
/sbin/modprobe nf_conntrack_ftp

[ArcFi]

ftp_conntrack

О, большое спасибо. Недоглядел. =)

***

Ковыряю iptables на федорке.
Исходная картина выглядит так:

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

# iptables-save
# Generated by iptables-save v1.4.12 on Sun Mar 25 23:14:29 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1900:250085]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Mar 25 23:14:30 2012

# lsb_release -sd
"Fedora release 16 (Verne)"

В связи с чем задался вопросом, что корректнее использовать для отшивания левого трафика:

Код: [Выделить]

-P <CHAIN> DROP
-A <CHAIN> -j REJECT --reject-with icmp-host-prohibitedлибо какие-то другие варианты?

***

Погуглил и сам разобрался.
http://www.google.ru/search?q=drop+vs+reject
http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
http://isc.sans.edu/diary.html?storyid=966

[AnrDaemon]

Я использую ICMP-unreachable только для UDP. Для TCP tcp-reset.
И как правильно сказано в первой ссылке, дропанье пакетов не защищает от сканеров. Так же, как и резет сокета - "obscurity has no relation to security".

[ArcFi]

Я использую ICMP-unreachable только для UDP. Для TCP tcp-reset.
И как правильно сказано в первой ссылке, дропанье пакетов не защищает от сканеров. Так же, как и резет сокета - "obscurity has no relation to security".

ok, буду иметь ввиду.

А какие-нибудь conntrack-модули для вот таких правил имеются?

Код: (bash) [Выделить]

# dhcp request
-A INPUT ! -i em1 -p udp -m state --state NEW -m udp --dport 67 -j ACCEPT

# tftp for pxe
-A INPUT ! -i em1 -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT

# dhcp lease
-A OUTPUT ! -o em1 -p udp -m state --state NEW -m udp --dport 68 -j ACCEPTВпрочем, особого смысла может и нет.

***

nf_conntrack_tftp и nf_conntrack_proto_udplite вижу, надо пощупать.

[AnrDaemon]

DHCP lease у меня работает нормально даже при политике DEFAULT DROP. При том, что сервер не на роутере работает...

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

# iptables-save-ordered
# Generated by iptables-save v1.3.8 on Mon Mar 26 02:08:23 2012
*mangle
:PREROUTING ACCEPT [31840605:19893379733]
:INPUT ACCEPT [15713340:7642374522]
:FORWARD ACCEPT [16127053:12250985365]
:OUTPUT ACCEPT [19561984:17423197506]
:POSTROUTING ACCEPT [35077485:29592445592]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356
COMMIT
# Completed on Mon Mar 26 02:08:23 2012
# Generated by iptables-save v1.3.8 on Mon Mar 26 02:08:23 2012
*nat
:PREROUTING ACCEPT [441474:25624029]
:POSTROUTING ACCEPT [148194:11620301]
:OUTPUT ACCEPT [142365:11387141]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 192.168.35.0/255.255.255.0 -d ! 192.168.35.0/255.255.255.0 -m conntrack --ctstate NEW -j SNAT --to-source 192.168.10.2
COMMIT
# Completed on Mon Mar 26 02:08:23 2012
# Generated by iptables-save v1.3.8 on Mon Mar 26 02:08:23 2012
*filter
:INPUT DROP [42927:3365121]
:FORWARD DROP [38176:1593669]
:OUTPUT ACCEPT [18972158:17341291594]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,25,110 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ! eth1 -j LOG --log-prefix "IPT-INPUT "
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i ! eth1 -j LOG --log-prefix "IPT-FORWARD "
-A OUTPUT -o lo -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j ACCEPT
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT
# Completed on Mon Mar 26 02:08:24 2012