HOWTO: Iptables для новичков

[orestych]

AnrDaemon,
сделал по шаблону , все заработало.
еще раз огромное спасибо!

[Hidrag]

Товарисчи,будьте добры помочь с проблемой:
Ubuntu шлюз; eth1 (192.168.3.244) смотрит в сеть где расшарен инет и Active Directory
eth0 (192.168.1.1) смотрит в другую сеть, где под окошками запущен Smashchat, для общения в сетки, который на 8166 порту вещает широковещательный UDP 255.255.255.255. Так вот, как настроить шлюз, чтобы широковещательные пакеты проходили через шлюз и обратно, и собственно чат сам и работал, инет и шара в домене работают..
iptables-save говорит такое:

Код: [Выделить]

*nat
:PREROUTING ACCEPT [1851:136881]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [9:579]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu May 17 08:48:21 2012
# Generated by iptables-save v1.4.4 on Thu May 17 08:48:21 2012
*filter
:INPUT ACCEPT [2085:189984]
:FORWARD ACCEPT [4400:496976]
:OUTPUT ACCEPT [958:155409]
COMMIT
Спасибо!

[AnrDaemon]

Товарисчи,будьте добры помочь с проблемой:
Ubuntu шлюз; eth1 (192.168.3.244) смотрит в сеть где расшарен инет и Active Directory
eth0 (192.168.1.1) смотрит в другую сеть, где под окошками запущен Smashchat, для общения в сетки, который на 8166 порту вещает широковещательный UDP 255.255.255.255. Так вот, как настроить шлюз, чтобы широковещательные пакеты проходили через шлюз и обратно, и собственно чат сам и работал, инет и шара в домене работают..
iptables-save говорит такое:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*nat
:PREROUTING ACCEPT [1851:136881]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [9:579]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu May 17 08:48:21 2012
# Generated by iptables-save v1.4.4 on Thu May 17 08:48:21 2012
*filter
:INPUT ACCEPT [2085:189984]
:FORWARD ACCEPT [4400:496976]
:OUTPUT ACCEPT [958:155409]
COMMIT

Спасибо!

Вам не в этот топик.
Если ваша проболема и решается, то не средствами iptables. А либо маршрутизацией, либо проксирующим агентом.

[Hidrag]

Ясно, спасибо!

[menserj]

с чего начать настройку iptables?

[xeon_greg]

с чего начать настройку iptables?

с постановки задачи!

[menserj]

закрыть все лишнее, а как найти все файлы и проверить настройки?

[aSmile]

закрыть все лишнее, а как найти все файлы и проверить настройки?

Постановка звучит примерно так:

• Есть два интерфейса:
  
  • eth0 - интернет (статика, например, ip - $inetip)
  • eth1 - локалка, ip - $localip
• Для работы надо открыть порты:
  
  • 80 (http)
  • 443 (https)
  • ...
• Внутрь надо пробросить порты:
  
  • 25 и 110 на ip x.x.0.5 (почта)
  • 3389 на x.x.0.10 (rdp)
  • ...
• ...
  

У нас телепаты в отпуске, и мы не знаем, что для тебя "все лишнее" и т.п.

[menserj]

IP address for eth0:   (первая подсеть)
IP address for eth1:      (вторая подсеть)
IP address for virbr0: (виртуальный интерфейс)
IP address for vmnet1: (виртуальный интерфейс)


Для работы надо открыть порты:
80 (http)
443 (https)
...
Внутрь надо пробросить порты:
25 и 110 на ip x.x.0.5 (почта)

[AnrDaemon]

Ну, делай... Примеров в топике ТОННА.

Только прежде чем делать, имей в виду, что не бывает "первых, вторых" интерфейсов.
Бывают конкретные интерфейсы с конкретными адресами и назначением (внутренние, внешние).

[vasilisc]

гуру! используете ли вы ufw или предпочитаете работать с iptables напрямую?

[fisher74]

Напрямую, и только на прямую.

P.S. Только я маленький гуру, есть много гурее меня

[tagilchanin]

Напрямую, и только на прямую.

P.S. Только я маленький гуру, есть много гурее меня

Простите за оффтоп, но если уж fisher маленький гуру. То мы вообще тогда )))

[AnrDaemon]

гуру! используете ли вы ufw или предпочитаете работать с iptables напрямую?

Напрямую. Проще и быстрее. Как настраивать, так и разбираться в настроенном.
После ufw без поллитры не разберёшься.

[Viton-Zizu]

Приветствую!) прошу помощи по настройке iptables)
Мануалы читал, руководство к iptables читал и впринципе некоторые настройки работают как надо! не удалось почту пропустить!
Что есть:
Прокси сервер Squid3, настроен iptables.
Что нужно:
Пользователь со своего почтового клиента(Bat) стучится на прокси сервер, допустим 111 порт, а прокси отправляет его уже куда надо, т.е. pop.mail.ru:110.
Что делаю я в IPTABLES:

Код: [Выделить]

    *nat
    #Probros porta MAIL.RU
    -A POSTROUTING -o ppp0 -j MASQUERADE
    -A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 111 -j DNAT --to-destination 94.100.184.0-94.100.191.255:110(ppp0 интерфейс смотрящий в инет)
(192.168.0.1 мой прокси)
(94.100.184.0-94.100.191.255:110 айпишники мэйла)

Подскажите пожалуйста, чего не так то делаю? а то уже немного запутался)
зашел в лог UFW (фаервола) написано что этот пакет [UFW Block]
и маленький ньюанс, правила iptables прописываю в ufw, а именно before.rules, сами подхватываются после перезагрузки, проверяю iptables -t nat -L всё на месте! ничего понять немогу...