HOWTO: Iptables для новичков

[orestych]

AnrDaemon,
firebird maestro при отключенном порту 33333 не прдключается, сейчас вот такие правила , с ними подключается:

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Sat Apr 28 14:35:29 2012
*filter
:INPUT DROP [2076:131878]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33333 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 44444 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.0/8 -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 33333 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 44444 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Sat Apr 28 14:35:29 2012



[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=20334.msg1420450#msg1420450

[orestych]

AnrDaemon,

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Wed May  2 14:34:57 2012
*filter
:INPUT DROP [70:4352]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33333 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 44444 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.0/8 -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 44444 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 33333 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Wed May  2 14:34:57 2012


[AnrDaemon]

-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

вторым правилом поставьте.

-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
при наличии
-A INPUT -m state --state INVALID -j DROP
большого смысла не имеет.

C теми правилами, что есть сейчас - работает?

[orestych]

AnrDaemon,
Да теперь все работает!
Огромное спасибо!!!!!!!!!!!!!!!!!!!!

[AnrDaemon]

Правила текущие покажите, ещё раз проверим результаты.

[orestych]

AnrDaemon,
да вот пожалуйста:

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Thu May  3 08:26:31 2012
*filter
:INPUT DROP [1512:95763]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33333 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -p udp -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.0/8 -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 33333 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Thu May  3 08:26:31 2012
порт 44444 firebird не открывал, firebird maestro через ssh подключается

[AnrDaemon]

Весь OUTPUT можно выкинуть.
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
не нужно.
Второе правило
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
не нужно.
Правила на 53-й порт не нужны.

[orestych]

Спасибо! поправил, только DNS оставил:

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Thu May  3 17:37:21 2012
*filter
:INPUT DROP [5:300]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [178042:36815270]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33333 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Thu May  3 17:37:21 2012


[AnrDaemon]

Второе правило
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
не нужно.

Я же, кажется, яснее некуда выразился.
Если вам так не понятно, сделайте
iptables -vL INPUT
и посмотрите на счётчики пакетов.

[orestych]

Да, спасибо поправил, это правило пропустил (

[orestych]

AnrDaemon,
Спасибо за помощь!
Сейчас вот такие правила:

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Sat May  5 16:54:54 2012
*filter
:INPUT DROP [311:25308]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [365994:75597460]
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33333 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Sat May  5 16:54:54 2012


То чего я хотел работает ( подключение к firebird через ssh без открытия порта firebird ), но сейчас с сервера не уходят пинги и не работает wget, подскажите еще пожалуйста что поправить.
Спасибо.

[AnrDaemon]

Ещё раз... Верните первое правило, куда вы его забыли?

Я уже приводил этот шаблон, но не могу найти ссылку.
Повторим.

Код: [Выделить]

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
…Сюда добавлять правила для разрешения того, что вам надо, но не разрешено уже правилами выше…
COMMIT
ICMP проще разрешить весь, чем мучаться головной болью с выборочныой фильтрацией. Чтобы правильно отфильтровать ICMP, надо заморочиться ОЧЕНЬ сильно. Двумя правилами не отделаешься.

[orestych]

AnrDaemon,
Спасибо еще раз , разрешил весь icmp и пинги пошли  :

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Sat May  5 18:09:55 2012
*filter
:INPUT DROP [25:1444]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [216144:45119645]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 224.0.0.0/24 -p igmp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33333 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Sat May  5 18:09:55 2012


еще вопрос, исходящие соединения не работают.
надо разрешить smtp на 25 порт и wget не коннектится.
Спасибо!

[AnrDaemon]

Вы читать умеете?
https://forum.ubuntu.ru/index.php?topic=20334.msg1428876#msg1428876