HOWTO: Iptables для новичков

[Illusion]

Ах вон про что Вы... Ну здесь обсуждается сами iptables, а не свистоперделки к ним.

Интересно - свистоперделка к инструменту для управления netfilter
Пользователь решил продолжить мысль 24 Августа 2012, 21:42:57:Хорошо. И что у Вас не получается? ./install.sh запускали в терминале? что оно сказало?
покажите выхлоп

Код: [Выделить]

ls -l /usr/sbin/iptabler

После команды sh install.sh он выдает ошибку sh: 0: Can't open install.sh

[AnrDaemon]

Illusion, создайте отдельный топик. Не нарывайтесь на мордераторов.

[Kowalski86]

-A FORWARD -o eth1 -m conntrack --ctstate NEW -s 10.0.0.231 -j ACCEPT

...
но лучше такие правила загонять в отдельную цепочку.

Может подскажете в какую сторону смотреть? А то я уже отчаялся, придется ставить Shorewall... Смотрел правила на шореволе, там все намного сложнее, под каждое правило он создает новую цепочку...

[AnrDaemon]

Kowalski86, смотреть в сторону документации по iptables. Либо конкретизируйте вопрос.
Там нет ничего сложного, просто не ждите, что где-то есть Большая Голубая Кнопка, и у вас всё получится.

[Kowalski86]

Kowalski86, смотреть в сторону документации по iptables. Либо конкретизируйте вопрос.
Там нет ничего сложного, просто не ждите, что где-то есть Большая Голубая Кнопка, и у вас всё получится.

Конкретно имеется сеть 10.0.0.0 со шлюзом 10.0.0.200 и такими же алиасами eth0:2 ( 10.0.2.200 ) и т.д. Я хочу увидеть хоть какие-нибудь правила маршрутизации. Мне нужно чтобы локальные подсети видели друг друга, а в интрнет ходили напрямую только отдельные адреса из этих подсетей. Во всех мануалах практически ничего нет о форвардинге... Вобщем как-то так.

[AnrDaemon]

iptables не занимается маршрутизацией.
Выход в интернет AKA форвардинг AKA NAT - https://forum.ubuntu.ru/index.php?topic=107492.0
Фильтрация пользователей - выше уже объясняли.

[fisher74]

1. iptables (а точнее netfilter) не занимается маршрутизацией (что собственно видно из названия), хотя влияние на направление прохождения пакета вполне штатное стандартное действие (и то только в таблице nat).
2. форвардинг - ни что иное, как обычная цепочка, такая же как и INPUT и OUTPUT просто работает на другом участке netfilter, а именно на границе (картинку лень искать) между интерфейсами (грубо). Причём не физическими интерфейсами, а логическии. Алиас ли это, или виртуальный интерфейс (ppp, tun, tap  и т.д.) или "железный"... нетфильтру фиолетово - для него каждый из них самостоятельный независимый ни от кого интерфейс (но только для netfilter).

[AnrDaemon]

Картинко.
Старое, но симпатишное.

[Kowalski86]

iptables не занимается маршрутизацией.
Выход в интернет AKA форвардинг AKA NAT - https://forum.ubuntu.ru/index.php?topic=107492.0
Фильтрация пользователей - выше уже объясняли.

Неушто вы хотите сказать что алиасные интерфейсы необходимо натить? Как тогда Iptables поймет отдельные айпишники, которые ему необходимо выпустить если они будут за натом? Что-то я нифига не пойму... Ткните пальцем я вам ящик пива куплю блин

[AnrDaemon]

Что именно натить - выбираете вы.

[Kowalski86]

Что именно натить - выбираете вы.

Ничего не нужно выбирать ибо нат здесь вообще не причем!

[chester_+1]

Доброго времени суток.

Есть собранный из хлама сервер, на котором раньше стояла ubuntu 10.04. Решил на прошлых выходных обновится до следующей LTS 12.04. Сделал бэкапы, снес, установил xubuntu 12.04, восстановил. Только сейчас руки дошли до iptables. Старая система работала исправно пару лет, и сейчас, идея обновится не кажется удачной, т.к. долго возился с компиляцией одной программы (как водится, со старыми - приходят и новые проблемы).

Многое из настройки iptables не помню. Когда настраивал - писал скрипт, там все необходимые пакеты/настройки ставятся автоматом. Первое, оказывается МАС задается двоеточием, а не тире (как раньше). Но к сути. Итак, закончив настраивать, принялся за защиту. В прошлый раз я устанавливал пакет xtables-addons, который облегчал и предоставлял дополнительные возможности в настройке.

Делалось все таким образом:

Код: [Выделить]

sudo apt-get -y install module-assistant xtables-addons-source
sudo module-assistant prepare
sudo module-assistant auto-install xtables-addons-source
sudo depmod -aНо теперь при сборке вылетает ошибка:

Код: [Выделить]

Не удалось собрать пакет xtables-addons-source, подробней                                                                               
                                                                    │ смотрите в /var/cache/modass/xtables-addons-source*buildlog*!

Пожалуйста, подскажите, в чем может быть причина?

[olegik-hp]

Код: [Выделить]

cat /var/cache/modass/xtables-addons-source*buildlog*?

[AnrDaemon]

1. Восстановить обратно 10.04
2. Сделать релиз-апгрейд.

Зачем вы сами себе на ноги наступаете?

[tagilchanin]

Добрый день коллеги.
Помогите разобраться с xtables-addon. Установил как сказано выше, все встало нормально. Добавляю правило:
iptables -A FORWARD -m ipp2p --bit --gnu --dc --edk -j DROP
пытаюсь скачать torrent и все качается, счетчик же показывает что пакет дропаются:
 150 22541 DROP       all  --  *      *       192.168.0.0/24       0.0.0.0/0           ipp2p --edk --dc --gnu --bit
как сделать, что бы торрент не качал.
iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Sep 28 16:12:16 2012
*mangle
:PREROUTING ACCEPT [841542940:543999791250]
:INPUT ACCEPT [619112534:430824652240]
:FORWARD ACCEPT [217212252:112237170116]
:OUTPUT ACCEPT [374366230:346928779348]
:POSTROUTING ACCEPT [580573438:444494339164]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Sep 28 16:12:16 2012
# Generated by iptables-save v1.4.4 on Fri Sep 28 16:12:16 2012
*nat
:PREROUTING ACCEPT [22879:1940214]
:POSTROUTING ACCEPT [19593:1339095]
:OUTPUT ACCEPT [25411089:15650682100]
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.174
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.0.131
-A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.111:4891
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.59:4899
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 48999 -j DNAT --to-destination 192.168.0.93:48999
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.0.8:2222
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.9/32 -p tcp -m multiport --dports 20,21,25,80,110,143,995 -j SNAT --to-source 192.168.0.9
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.174/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.0.9
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source xx.xx.xx.xx
COMMIT
# Completed on Fri Sep 28 16:12:16 2012
# Generated by iptables-save v1.4.4 on Fri Sep 28 16:12:16 2012
*filter
:INPUT DROP [104877:60032527]
:FORWARD ACCEPT [16465:1027609]
:OUTPUT ACCEPT [430662:307951609]
:allowed - [0:0]
:allowed_udp - [0:0]
:bad_tcp_packets - [0:0]
:fail2ban-ssh - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udpincoming_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udpincoming_packets
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tap0 -p tcp -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died:" --log-level 7
-A INPUT -p tcp -m tcp --dport 22 -j TARPIT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -i eth0.443 -o eth1.443 -j ACCEPT
-A FORWARD -i eth1.443 -o eth0.443 -j ACCEPT
-A FORWARD -i bridge1 -j ACCEPT
-A FORWARD -o bridge1 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
-A FORWARD -o tap0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -m ipp2p --edk --dc --gnu --bit -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -j DROP
-A allowed_udp -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A allowed_udp -p udp -j DROP
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -j ACCEPT
-A tcp_packets -p tcp -m multiport --dports 21,20,22222,25,53,80,110,143,995,1194,9080,4899,48999 -j allowed
-A tcp_packets -i ppp0 -p tcp -m multiport --dports 137:139,445 -j DROP
-A udpincoming_packets -p udp -m multiport --dports 53,9001 -j allowed_udp
COMMIT
# Completed on Fri Sep 28 16:12:16 2012