HOWTO: Iptables для новичков

[AnrDaemon]

Для pop.mail.ru писать IP pop.mail.ru.
Не дурацкий ли вопрос?

[Viton-Zizu]

хорошо, спрошу по другому)
какой ip у pop.mail.ru?)

[Xanych]

 Вот, какой ip-адрес мне выдал:

Код: [Выделить]

nslookup pop.mail.ru

Код: [Выделить]

Non-authoritative answer:
Name: pop.mail.ru
Address: 217.69.139.74


[Viton-Zizu]

дааааааааааааа!!! получилось))) спасибо большое AnrDaemon, хоть и сложно чтото с тебя вытянуть, зато реально помогаешь))) получается нельзя было указывать диапазон адресов? нужен конкретный IP адрес)
Вот что получилось! Подскажи, может чего лишнего написал?)
eth1 внешний интерфейс
eth2 внутренний интерфейс

Код: [Выделить]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A OUTPUT -o eth2 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 111 -j DNAT --to-destination 217.69.139.74:110
iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

и ещё не совсем понял правила с conntrack, для чего они?)

[AnrDaemon]

Ссылки выше я давал.
Порядок правил измени.

[ivsatel]

Viton-Zizu,

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Правила по умолчанию

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Разрешаем после запрета

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT

# iptables -A OUTPUT -o lo -j ACCEPT # Исключаем в виду политики OUTPUT ACCEPT

# iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT # Заменяем на:

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -o eth2 -j ACCEPT # Исключаем в виду политики OUTPUT ACCEPT

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Исключаем в виду правила iptables -A INPUT -i eth2 -j ACCEPT

# iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Исключаем в виду политики OUTPUT ACCEPT

# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Исключаем в виду правила iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# iptables -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # Фильтрация в этой цепочке не приветствуется

# Разрешаем DNAT
iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 111 -j DNAT --to-destination 217.69.139.74:110
iptables -t filter -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

# iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # Исключаем в виду правила iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

В итоге получаем:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Правила по умолчанию

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Разрешаем после запрета

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Разрешаем DNAT
iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 111 -j DNAT --to-destination 217.69.139.74:110
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT


Это при условии:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Очистка правил

iptables -F

# Очистка всех цепочек

iptables -X

# Очистка контейнеров

iptables -Z



P.S. При указании команды iptables -A FORWARD к примеру, без явного указания цепочки, правило пишется в фильтр, т.е. iptables -t filter -A FORWARD лишнее.
Короче запись будет выглядеть так "iptables -A FORWARD" для остальных цепочек указание должно быть явным.
P.S. "и ещё не совсем понял правила с conntrack, для чего они?)"
Для фильтрации по состоянию пакета.

Если не прав поправьте. Век живи век учись)

[AnrDaemon]

Если не прав поправьте. Век живи век учись)

Более или менее верно.
Но,
iptables -vL
смотрим счётчики.

[Viton-Zizu]

Спасибо большое за помощь! все получилось настроить)
Один маленький вопросик остался, можло ли как нибудь ручные правила IPTABLES подружить с firestarter, допустим после загрузки firestarter загружается мой файлик с правилами? знаю что в ufw так можно, а вот с firestarter пока не получилось)

[ivsatel]

Viton-Zizu,
А зачем вообще он (файерстартер) нужен, если правила скриптом в автозагрузку добавить? Думаю надобность в нем отпадет сама собой. Да и наглядней работа iptables будет.

[AnrDaemon]

Спасибо большое за помощь! все получилось настроить)
Один маленький вопросик остался, можло ли как нибудь ручные правила IPTABLES подружить с firestarter, допустим после загрузки firestarter загружается мой файлик с правилами? знаю что в ufw так можно, а вот с firestarter пока не получилось)

Выбери уже что-нибудь одно.

[Viton-Zizu]

История продолжается)
Вчера вписал с нуля правила ivsatel)) после них инет не работал даже на самом прокси)))
Потом вписал те которые я выкладывал, инет заработал, Squid3 начал расдавать трафик, но почта по прежнему не перекидывалась!
смотрю в лог, там блокируются пакеты которые идут с инета в локалку, т.е. ответы от почтовых серверов мээйла как я понимаю. прописал iptables -t nat -A POSTROUTING -o (интерфейс инета) -j MASQUERADE. Теперь и почта заработала)
Итого, настроил UFW + свои правила. вроде норм пока пашет)

[AnrDaemon]

О, супер, теперь ещё и ufw...

[Viton-Zizu]

Просто голые правила iptables выложенные выше не хотели работать, да и хочется чтобы хоть какая нибудь морда была, чтобы элементарно порты открывать было удобней, да и лог ufw хороший ведет по блокируемым пакетам!

[Ballu]

Быть может, этот вопрос уже был. Извиняюсь, но поиском не нашел.
Подскажите, нужно ли новичку настраивать Iptables, для обычных нужд ?
Сидим дома, через роутер три компа, из прог тока пиджин, скайп, мазила с adblock. Иногда разшариваем папки, через samba, для обмена файлами, но потом сразу закрываем шару...
Хватит ли внутренней защиты самой системы (если она есть), или нет ?
Не хочется прописывать правила к каждому биту, который работает ...

[AnrDaemon]

Начнём с того, что этот вопрос нужно было создавать отдельным топиком, и совершенно не в этом разделе.
А по самому вопросу... Вам что, мало роутера?