HOWTO: Iptables для новичков

[JonnyB]

Подскажите пожалуйста, есть процесс (у него уникальный uid, 1000) который шлет запросы на 80 порт. Хочется пустить его через HTTP_PROXY (1.2.3.4:5). Как это сделать?

https://forum.ubuntu.ru/index.php?topic=166336.msg1223005#msg1223005

Кажется оно, спасибо. Попробую вечером вот так:

Код: [Выделить]

iptables -t nat -I OUTPUT -p tcp -m owner --uid-owner 1000 --dport 80 -j DNAT --to-destination 1.2.3.4:5Это правило говорит о том, что процесс, uid которого 1000, все исходящиее запросы на 80 порт будет пропускать через 5 порт хоста 1.2.3.4?

[AnrDaemon]

Грубо говоря, да.
Но я бы на вашем месте использовал реальные значения для примера. Порты в первой тысяче почти все имеют специальное, часто - специфическое значение.

[ArcFi]

DHCP lease у меня работает нормально даже при политике DEFAULT DROP.
...
*filter
:INPUT DROP [42927:3365121]
:FORWARD DROP [38176:1593669]
:OUTPUT ACCEPT [18972158:17341291594]

Не поэтому? Или я не туда смотрю?

***

Кстати, проверил tftp. Без nf_conntrack_tftp не заводится. Ожидаемо. =)

[AnrDaemon]

Не поэтому. Так и должно быть.

[ArcFi]

А у меня в реале без этой строки аренду клиентам получить не удаётся:

Код: (bash) [Выделить]

# iptables-save -c | grep 'port 68'
[255:88206] -A OUTPUT ! -o em1 -p udp -m state --state NEW -m udp --dport 68 -j ACCEPT

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

# iptables-save | grep 'INPUT\|OUTPUT'
:INPUT ACCEPT [1854:184234]
:OUTPUT ACCEPT [2754:255145]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT ! -i em1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT ! -i em1 -p udp -m state --state NEW -m udp --dport 67 -j ACCEPT
-A INPUT ! -i em1 -p udp -m state --state NEW -m udp --dport 69 -j ACCEPT
-A INPUT ! -i em1 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 465 -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A INPUT ! -i em1 -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
-A INPUT -i em1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -i em1 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT ! -o em1 -p udp -m state --state NEW -m udp --dport 68 -j ACCEPT
-A OUTPUT ! -o em1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A OUTPUT ! -o em1 -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A OUTPUT ! -o em1 -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT
-A OUTPUT ! -o em1 -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
-A OUTPUT -o em1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A OUTPUT -o em1 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT
-A OUTPUT -o em1 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A OUTPUT -o em1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o em1 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o em1 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o em1 -p tcp -m state --state NEW -m tcp --dport 2703 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited

Код: (bash) [Выделить]

# lsmod | grep ^nf
nf_conntrack_tftp      13105  0
nf_conntrack_ftp       14484  0
nf_nat                 25322  1 iptable_nat
nf_conntrack_ipv4      14622  66 iptable_nat,nf_nat
nf_defrag_ipv4         12673  1 nf_conntrack_ipv4
nf_conntrack_ipv6      14290  2
nf_defrag_ipv6         18139  1 nf_conntrack_ipv6
nf_conntrack           82331  7 nf_conntrack_tftp,nf_conntrack_ftp,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state

[AnrDaemon]

У вас уж очень далёкая от топика конфигурация правил.
В общем случае, нет смысла ограничивать цепочку OUTPUT - слишком многое может сломаться.

[novis]

Вечер добрый, подскажите, моя проблема возможно в iptables, может  кто сможет помочь?
Вот тема: https://forum.ubuntu.ru/index.php?topic=188453.msg1408988#msg1408988

[kotnaton]

Help: как подключиться через iptables к фтп-серверу ?

Разрешаю:
-A INPUT -p tcp -m tcp --sport 20:21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT

Все равно получается ошибка: "425 Failed to establish connection"

[AnrDaemon]

iptables-save полностью. А не художественную нарезку из него.
И FTP так не открывают.

[kotnaton]

А как, в свою очередь, можно узнать ?

А правила такие.

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sun Apr 22 15:25:03 2012
*filter
:INPUT DROP [3063:279896]
:FORWARD DROP [0:0]
:OUTPUT DROP [64998:4485236]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -s ***.***.**.*/32 -p udp -m udp --sport 68 -j ACCEPT
-A INPUT -s ***.**.***.**/32 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s **.***.**.***/32 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --sport 20:21,80,5190,443,993,995 -j ACCEPT
-A INPUT -s **.***.**.0/24 -p tcp -m tcp --sport 8000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -s **.***.**.0/24 -p udp -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -j ACCEPT
-A OUTPUT -d ***.***.**.*/32 -p udp -m udp --dport 67 -j ACCEPT
-A OUTPUT -d ***.**.***.**/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d **.***.**.***/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dport 20:21,80,443,465,5190 -j ACCEPT
-A OUTPUT -d **.***.**.0/24 -p tcp -m tcp --dport **** -j ACCEPT
-A OUTPUT -p udp -m udp --sport 51413 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 51413 -j ACCEPT
-A OUTPUT -d ***.**.**.0/24 -p igmp -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Apr 22 15:25:03 2012

Я уже понял, в что в фтп транзакциях принимают участие порты 1024:65535, хотя в интернете максимум что по этому поводу попадается, это такое:

client (1024:65535/tcp) ---> server (21/tcp) : NEW, ESTABLISHED
server(1024:65535/tcp)<--- server (20/tcp)  : ESTABLISHED,RELATED

Соответственно и правила такие же

Правила
-A OUTPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
меня не устраивают: слишком общее.

[ivsatel]

kotnaton,
Может дело в отсутствующих/не подгруженных модулях ftp ? http://www.opennet.ru/docs/RUS/iptables/#INITIALLOADING

[fisher74]

Читаем с примероми

[kotnaton]

Читаем с примероми

От этих примеров, голова кругом уже идет: путаю RELATED с NEW

Я как раз добиваюсь того, чтобы не было этого правила:

iptables -P OUTPUT ACCEPT # Разрешаем все исходящие пакеты

[AnrDaemon]

Я как раз добиваюсь того, чтобы не было этого правила:

iptables -P OUTPUT ACCEPT # Разрешаем все исходящие пакеты

Зачем?

[fisher74]

Видимо приступ паранойи и желание поспотыкаться на ровных местах