HOWTO: Iptables для новичков

[AnrDaemon]

Не "через каждые 30 секунд"... Нет никаких растяжений на секунды или ещё как. Правило делает точно то, что написано, ни больше, ни меньше.

[delovoy]

to AnrDaemon сорри за настойчивость.

Подучусь и вернусь с вопросами, если будут. Еще раз спасибо за отзывчивость.

[AlexeyID]

Добрый день!
помогите понять пожалуйста почему без 3-го правила цепочки INPUT таблицы filter не резолвится dns на компьютере с установленным iptables? Т.е. неработает к примеру host ya.ru и тому подобное. Вроде же разрешены входящие пакеты по 53 порту. В остальных таблицах тоже все разрешено. Помогите чайнику пожалуйста...

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sat Aug 18 07:21:21 2012
*mangle
:PREROUTING ACCEPT [17395:1954167]
:INPUT ACCEPT [17395:1954167]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8958:910449]
:POSTROUTING ACCEPT [8988:912543]
COMMIT
# Completed on Sat Aug 18 07:21:21 2012
# Generated by iptables-save v1.4.12 on Sat Aug 18 07:21:21 2012
*nat
:PREROUTING ACCEPT [6350:529695]
:INPUT ACCEPT [19:2470]
:OUTPUT ACCEPT [1878:121678]
:POSTROUTING ACCEPT [1878:121678]
COMMIT
# Completed on Sat Aug 18 07:21:21 2012
# Generated by iptables-save v1.4.12 on Sat Aug 18 07:21:21 2012
*filter
:INPUT DROP [3932:329048]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1934:220435]
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Sat Aug 18 07:21:21 2012


[fisher74]

потому что система обращается к dns по 53 порту, а не слушает на этом порту ответ. Исходящее соединение при установлении соединения открывает свой порт номер которого случаен, но выше 1024 и свободный. Потому 5 и 6 строки той же цепочки можно спокойно удалять (если не планируется локальный dns-сервер или dns-репитер)

[AnrDaemon]

DNS таки работет 53-53...

[fisher74]

эксперимет

Код: [Выделить]

~$ sudo iptables -I INPUT -i eth0 -p tcp --dport 53 -j DROP
~$ sudo iptables -I INPUT -i eth0 -p udp --dport 53 -j DROP
~$ nslookup ya.ru
Server: 192.168.4.2
Address: 192.168.4.2#53

Non-authoritative answer:
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
....Что я делаю не так?

[AnrDaemon]

Твоя правда, я попутал с DHCP.

[delovoy]

эксперимет

Код: [Выделить]

~$ sudo iptables -I INPUT -i eth0 -p tcp --dport 53 -j DROP
~$ sudo iptables -I INPUT -i eth0 -p udp --dport 53 -j DROP
~$ nslookup ya.ru
Server: 192.168.4.2
Address: 192.168.4.2#53

Non-authoritative answer:
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
....Что я делаю не так?

Мне вообще не понятно что вы хотите сделать. Опишите что вам нужно. Люди помогут, наверное.

[AnrDaemon]

Delovoy, учитесь читать не только последний пост топика.

[delovoy]

Delovoy, учитесь читать не только последний пост топика.

Ага, он получил ответ на первый вопрос.
Пользователь решил продолжить мысль 17 Августа 2012, 22:14:16:

эксперимет

Код: [Выделить]

~$ sudo iptables -I INPUT -i eth0 -p tcp --dport 53 -j DROP
~$ sudo iptables -I INPUT -i eth0 -p udp --dport 53 -j DROP
~$ nslookup ya.ru
Server: 192.168.4.2
Address: 192.168.4.2#53

Non-authoritative answer:
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
....Что я делаю не так?

То есть тут вы хотите заблочить доступ к днс серверу?
А почему бы не сделать это в таблице OUTPUT? Я тоже изучаю айпитаблицы. Если что не пинайте сильно, но правило я бы сделал такое:
iptables -A OUTPUT -d ip_dns_servera -p udp --dport 53 -j DROP

[fisher74]

Delovoy,
Если Вы внимательно почитаете топик, то обнаружите, что я дал эти строки для опровержения слов уважаемого AnrDaemon, который запамятовав сказал, что клиент с DNS-сервером работает по порту 53 с обоих сторон. Т.е. клиент, создавая запрос на DNS-сервер, открывает для получения ответа на своей стороне так же 53 порт. Своими действиями я закрыл этот порт на вход и сделал запрос. Эксперимент показал, что клиент ждёт от DNS ответа на запрос НЕ ПО 53 порту.
Под испытания вставал именно входящий порт 53 со стороны клиента.

[delovoy]

да да, сорри. Спутал я =)
Меня ввел в заблуждение вопрос "Что я делаю не так?"
Пользователь решил продолжить мысль 17 Августа 2012, 23:10:31:Сегодня тяжелый рабочий день был. Голова не соображает малость 
Пользователь решил продолжить мысль 17 Августа 2012, 23:55:43:to fisher74
не могли бы вы объяснить следующее. Я уже завал здесь вопросик, но до меня до сих пор не дошло. В нете перековырял многое, но не понимаю сути критерия -m limit.

Теоретически мне объяснил Arndaemod но на практике, насколько я понял теорию, пакеты не будут проходить более чем указано в правиле. 

Правило выглядит так:

iptables -A INPUT -p icmp --tyte-icmp echo-reply -m limit --limit 3/hour --limit-burst 4 -j DROP

По идее должно прийти 7 пакетов? А остальные дропаться? И только через час придут еще 3 пакета, выходит так?

[AnrDaemon]

По идее должно пройти минимум 4 пакета.
burst задаёт обход лимита для первых полученных пакетов.
Т.е. 4 точно пройдёт, дальше - по правилу.

[AlexeyID]

fisher74,
Большое спасибо за подробный ответ

[delovoy]

По идее должно пройти минимум 4 пакета.
burst задаёт обход лимита для первых полученных пакетов.
Т.е. 4 точно пройдёт, дальше - по правилу.

Не могли бы привести в пример какое - либо правило с критерием -m limit, чтобы можно было поиграться со значениями, протестировать? У меня например правило не робит напрочь.