HOWTO: Iptables для новичков

[AnrDaemon]

Не валить всё в одну кучу.
Чтобы по вашему правилу дропнулся пакет, он должен одновременно быть DC И EDK И ... И ...
Это просто нереально, пвот и не дропается.

[tagilchanin]

Не валить всё в одну кучу.
Чтобы по вашему правилу дропнулся пакет, он должен одновременно быть DC И EDK И ... И ...
Это просто нереально, пвот и не дропается.

Спасибо большое, буду пробовать

[chester_+1]

olegik-hp

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

/usr/bin/make -C /usr/src/linux-headers-3.2.0-31-generic-pae M=/usr/src/modules/xtables-addons XA_ABSTOPSRCDIR=/usr/src/modules/xtables-addons XA_TOPSRCDIR=/usr/src/modules/xtables-addons DEPMOD=/bin/true clean
make[1]: Вход в каталог `/usr/src/linux-headers-3.2.0-31-generic-pae'
make[1]: Выход из каталога `/usr/src/linux-headers-3.2.0-31-generic-pae'
dh_auto_clean
dh_prep
dh_clean
/usr/bin/make  -f debian/rules kdist_clean kdist_config binary-modules
make[1]: Вход в каталог `/usr/src/modules/xtables-addons'
/usr/bin/make -C /usr/src/linux-headers-3.2.0-31-generic-pae M=/usr/src/modules/xtables-addons XA_ABSTOPSRCDIR=/usr/src/modules/xtables-addons XA_TOPSRCDIR=/usr/src/modules/xtables-addons DEPMOD=/bin/true clean
make[2]: Вход в каталог `/usr/src/linux-headers-3.2.0-31-generic-pae'
make[2]: Выход из каталога `/usr/src/linux-headers-3.2.0-31-generic-pae'
dh_auto_clean
dh_prep
dh_clean
for templ in ; do \
    cp $templ `echo $templ | sed -e 's/_KVERS_/3.2.0-31-generic-pae/g'` ; \
  done
for templ in `ls debian/*.modules.in` ; do \
    test -e ${templ%.modules.in}.backup || cp ${templ%.modules.in} ${templ%.modules.in}.backup 2>/dev/null || true; \
    sed -e 's/##KVERS##/3.2.0-31-generic-pae/g ;s/#KVERS#/3.2.0-31-generic-pae/g ; s/_KVERS_/3.2.0-31-generic-pae/g ; s/##KDREV##/3.2.0-31.50/g ; s/#KDREV#/3.2.0-31.50/g ; s/_KDREV_/3.2.0-31.50/g  ' < $templ > ${templ%.modules.in}; \
  done
dh binary-arch
   dh_testdir -a
   dh_auto_configure -a
   debian/rules override_dh_auto_build
make[2]: Вход в каталог `/usr/src/modules/xtables-addons'
dh_auto_build -- -C /usr/src/linux-headers-3.2.0-31-generic-pae M=/usr/src/modules/xtables-addons XA_ABSTOPSRCDIR=/usr/src/modules/xtables-addons XA_TOPSRCDIR=/usr/src/modules/xtables-addons DEPMOD=/bin/true
make[3]: Вход в каталог `/usr/src/linux-headers-3.2.0-31-generic-pae'
  LD      /usr/src/modules/xtables-addons/built-in.o
  CC [M]  /usr/src/modules/xtables-addons/compat_xtables.o
  CC [M]  /usr/src/modules/xtables-addons/xt_CHAOS.o
  CC [M]  /usr/src/modules/xtables-addons/xt_DELUDE.o
  CC [M]  /usr/src/modules/xtables-addons/xt_DHCPMAC.o
  CC [M]  /usr/src/modules/xtables-addons/xt_DNETMAP.o
  CC [M]  /usr/src/modules/xtables-addons/xt_IPMARK.o
  CC [M]  /usr/src/modules/xtables-addons/xt_LOGMARK.o
  CC [M]  /usr/src/modules/xtables-addons/xt_RAWNAT.o
  CC [M]  /usr/src/modules/xtables-addons/iptable_rawpost.o
  CC [M]  /usr/src/modules/xtables-addons/ip6table_rawpost.o
  CC [M]  /usr/src/modules/xtables-addons/xt_SYSRQ.o
  CC [M]  /usr/src/modules/xtables-addons/xt_STEAL.o
  CC [M]  /usr/src/modules/xtables-addons/xt_TARPIT.o
  CC [M]  /usr/src/modules/xtables-addons/xt_condition.o
  CC [M]  /usr/src/modules/xtables-addons/xt_fuzzy.o
  CC [M]  /usr/src/modules/xtables-addons/xt_geoip.o
  CC [M]  /usr/src/modules/xtables-addons/xt_iface.o
  CC [M]  /usr/src/modules/xtables-addons/xt_ipp2p.o
  CC [M]  /usr/src/modules/xtables-addons/xt_ipv4options.o
  CC [M]  /usr/src/modules/xtables-addons/xt_length2.o
  CC [M]  /usr/src/modules/xtables-addons/xt_lscan.o
  CC [M]  /usr/src/modules/xtables-addons/xt_psd.o
  CC [M]  /usr/src/modules/xtables-addons/xt_quota2.o
  LD      /usr/src/modules/xtables-addons/ACCOUNT/built-in.o
  CC [M]  /usr/src/modules/xtables-addons/ACCOUNT/xt_ACCOUNT.o
  LD      /usr/src/modules/xtables-addons/pknock/built-in.o
  CC [M]  /usr/src/modules/xtables-addons/pknock/xt_pknock.o
  Building modules, stage 2.
  MODPOST 25 modules
  CC      /usr/src/modules/xtables-addons/ACCOUNT/xt_ACCOUNT.mod.o
  LD [M]  /usr/src/modules/xtables-addons/ACCOUNT/xt_ACCOUNT.ko
  CC      /usr/src/modules/xtables-addons/compat_xtables.mod.o
  LD [M]  /usr/src/modules/xtables-addons/compat_xtables.ko
  CC      /usr/src/modules/xtables-addons/ip6table_rawpost.mod.o
  LD [M]  /usr/src/modules/xtables-addons/ip6table_rawpost.ko
  CC      /usr/src/modules/xtables-addons/iptable_rawpost.mod.o
  LD [M]  /usr/src/modules/xtables-addons/iptable_rawpost.ko
  CC      /usr/src/modules/xtables-addons/pknock/xt_pknock.mod.o
  LD [M]  /usr/src/modules/xtables-addons/pknock/xt_pknock.ko
  CC      /usr/src/modules/xtables-addons/xt_CHAOS.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_CHAOS.ko
  CC      /usr/src/modules/xtables-addons/xt_DELUDE.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_DELUDE.ko
  CC      /usr/src/modules/xtables-addons/xt_DHCPMAC.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_DHCPMAC.ko
  CC      /usr/src/modules/xtables-addons/xt_DNETMAP.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_DNETMAP.ko
  CC      /usr/src/modules/xtables-addons/xt_IPMARK.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_IPMARK.ko
  CC      /usr/src/modules/xtables-addons/xt_LOGMARK.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_LOGMARK.ko
  CC      /usr/src/modules/xtables-addons/xt_RAWNAT.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_RAWNAT.ko
  CC      /usr/src/modules/xtables-addons/xt_STEAL.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_STEAL.ko
  CC      /usr/src/modules/xtables-addons/xt_SYSRQ.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_SYSRQ.ko
  CC      /usr/src/modules/xtables-addons/xt_TARPIT.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_TARPIT.ko
  CC      /usr/src/modules/xtables-addons/xt_condition.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_condition.ko
  CC      /usr/src/modules/xtables-addons/xt_fuzzy.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_fuzzy.ko
  CC      /usr/src/modules/xtables-addons/xt_geoip.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_geoip.ko
  CC      /usr/src/modules/xtables-addons/xt_iface.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_iface.ko
  CC      /usr/src/modules/xtables-addons/xt_ipp2p.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_ipp2p.ko
  CC      /usr/src/modules/xtables-addons/xt_ipv4options.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_ipv4options.ko
  CC      /usr/src/modules/xtables-addons/xt_length2.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_length2.ko
  CC      /usr/src/modules/xtables-addons/xt_lscan.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_lscan.ko
  CC      /usr/src/modules/xtables-addons/xt_psd.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_psd.ko
  CC      /usr/src/modules/xtables-addons/xt_quota2.mod.o
  LD [M]  /usr/src/modules/xtables-addons/xt_quota2.ko
make[3]: Выход из каталога `/usr/src/linux-headers-3.2.0-31-generic-pae'
make[2]: Выход из каталога `/usr/src/modules/xtables-addons'
   dh_auto_test -a
   dh_testroot -a
   dh_prep -a
   dh_installdirs -a
   debian/rules override_dh_auto_install
make[2]: Вход в каталог `/usr/src/modules/xtables-addons'
/usr/bin/make INSTALL_MOD_PATH=/usr/src/modules/xtables-addons/debian/xtables-addons-modules-3.2.0-31-generic-pae \
INSTALL_MOD_DIR=extra/xtables-addons \
-C /usr/src/linux-headers-3.2.0-31-generic-pae M=/usr/src/modules/xtables-addons XA_ABSTOPSRCDIR=/usr/src/modules/xtables-addons XA_TOPSRCDIR=/usr/src/modules/xtables-addons DEPMOD=/bin/true modules_install
make[3]: Вход в каталог `/usr/src/linux-headers-3.2.0-31-generic-pae'
  INSTALL /usr/src/modules/xtables-addons/ACCOUNT/xt_ACCOUNT.ko
  INSTALL /usr/src/modules/xtables-addons/compat_xtables.ko
  INSTALL /usr/src/modules/xtables-addons/ip6table_rawpost.ko
  INSTALL /usr/src/modules/xtables-addons/iptable_rawpost.ko
  INSTALL /usr/src/modules/xtables-addons/pknock/xt_pknock.ko
  INSTALL /usr/src/modules/xtables-addons/xt_CHAOS.ko
  INSTALL /usr/src/modules/xtables-addons/xt_DELUDE.ko
  INSTALL /usr/src/modules/xtables-addons/xt_DHCPMAC.ko
  INSTALL /usr/src/modules/xtables-addons/xt_DNETMAP.ko
  INSTALL /usr/src/modules/xtables-addons/xt_IPMARK.ko
  INSTALL /usr/src/modules/xtables-addons/xt_LOGMARK.ko
  INSTALL /usr/src/modules/xtables-addons/xt_RAWNAT.ko
  INSTALL /usr/src/modules/xtables-addons/xt_STEAL.ko
  INSTALL /usr/src/modules/xtables-addons/xt_SYSRQ.ko
  INSTALL /usr/src/modules/xtables-addons/xt_TARPIT.ko
  INSTALL /usr/src/modules/xtables-addons/xt_condition.ko
  INSTALL /usr/src/modules/xtables-addons/xt_fuzzy.ko
  INSTALL /usr/src/modules/xtables-addons/xt_geoip.ko
  INSTALL /usr/src/modules/xtables-addons/xt_iface.ko
  INSTALL /usr/src/modules/xtables-addons/xt_ipp2p.ko
  INSTALL /usr/src/modules/xtables-addons/xt_ipv4options.ko
  INSTALL /usr/src/modules/xtables-addons/xt_length2.ko
  INSTALL /usr/src/modules/xtables-addons/xt_lscan.ko
  INSTALL /usr/src/modules/xtables-addons/xt_psd.ko
  INSTALL /usr/src/modules/xtables-addons/xt_quota2.ko
  DEPMOD  3.2.0-31-generic-pae
make[3]: Выход из каталога `/usr/src/linux-headers-3.2.0-31-generic-pae'
make[2]: Выход из каталога `/usr/src/modules/xtables-addons'
   dh_install -a
   dh_installdocs -a
   dh_installchangelogs -a
   dh_installexamples -a
   dh_installman -a
   dh_installcatalogs -a
   dh_installcron -a
   dh_installdebconf -a
   dh_installemacsen -a
   dh_installifupdown -a
   dh_installinfo -a
   dh_installinit -a
   dh_installmenu -a
   dh_installmime -a
   dh_installmodules -a
   dh_installlogcheck -a
   dh_installlogrotate -a
   dh_installpam -a
   dh_installppp -a
   dh_installudev -a
   dh_installwm -a
   dh_installxfonts -a
   dh_installgsettings -a
   dh_bugfiles -a
   dh_ucf -a
   dh_lintian -a
   dh_gconf -a
   dh_icons -a
   dh_perl -a
   dh_usrlocal -a
   dh_link -a
   dh_compress -a
   dh_fixperms -a
   dh_strip -a
   dh_makeshlibs -a
   dh_shlibdeps -a
   dh_installdeb -a
   dh_gencontrol -a
   dh_md5sums -a
   debian/rules override_dh_builddeb
make[2]: Вход в каталог `/usr/src/modules/xtables-addons'
dh_builddeb --destdir=/usr/src
dpkg-deb: сборка пакета «xtables-addons-modules-3.2.0-31-generic-pae» в файл «/usr/src/xtables-addons-modules-3.2.0-31-generic-pae_1.41-2ubuntu0.1_i386.deb».
make[2]: Выход из каталога `/usr/src/modules/xtables-addons'
make[1]: Выход из каталога `/usr/src/modules/xtables-addons'
/usr/bin/make  -f debian/rules kdist_clean
make[1]: Вход в каталог `/usr/src/modules/xtables-addons'
/usr/bin/make -C /usr/src/linux-headers-3.2.0-31-generic-pae M=/usr/src/modules/xtables-addons XA_ABSTOPSRCDIR=/usr/src/modules/xtables-addons XA_TOPSRCDIR=/usr/src/modules/xtables-addons DEPMOD=/bin/true clean
make[2]: Вход в каталог `/usr/src/linux-headers-3.2.0-31-generic-pae'
  CLEAN   /usr/src/modules/xtables-addons/.tmp_versions
  CLEAN   /usr/src/modules/xtables-addons/Module.symvers
make[2]: Выход из каталога `/usr/src/linux-headers-3.2.0-31-generic-pae'
dh_auto_clean
dh_prep
dh_clean
make[1]: Выход из каталога `/usr/src/modules/xtables-addons'
Build time: 35 seconds



Погуглил по ключевым словам, раз и два. В репозитории 1.41-2ubuntu0.1, который вроде как должен быть рабочим, но результат противоположный...

AnrDaemon
Я начитавшись отзывах об обновлении дистрибутива, не решился так ставить. Пишут разное, софт часто падает, ломается apt, зависимости. Думал, не за горами прекращение поддержки (2013), обновлюсь на свежий lts релиз с  новым ядром. Еще в 10.04 мне не хватало некоторых примочек новых ipt, приходилось городить костыли (правило вместо пяти, помещалось бы в одно).

Или речь о свежей установке + апгрейд дистр.? В таком случае старые ядра останутся?

[fisher74]

Я начитавшись ...
...
Думал, не за горами прекращение поддержки (2013)

Если бы Вы внимательней читали, то и думать не надо было бы - LTS-версии поддерживаются в течении 5-ти лет, то есть до 10.04 lts будет сопровождаться до апреля (минимум) 2015 года.

[chester_+1]

fisher74
Речь о десктоп версии. И если не ошибаюсь, до 2015 на платной основе. Системник стоит на кухне, имеет выход на телевизор. Раньше крутился mythbuntu.

[fisher74]

Эммм.... Смотря что Вы имеете ввиду под поддержкой.
А вот про десктопную версию.... странно, обычно шлюзы на серерах делают.
И в чём Вы видите отличия десктопной версии от серверной?

[chester_+1]

Эммм.... Смотря что Вы имеете ввиду под поддержкой.

Не вдавался в вопрос. Прочел о 2013  на вики.

И в чём Вы видите отличия десктопной версии от серверной?

Иксы подняты для телевизора, т.к. часто так смотрю по сопке футбол (фильмы реже, сдох пульт). На кроне висит скрипт, который в случае отсутствия/наличия пинга останавливает иксы. Ставить сервер, а потом поднимать иксы... Вам не кажется, что это извращение?

Вот сижу и не знаю, что решить. Ставить обратно 10.04, переписывать правила, искать решение (с риском загубить систему), оставить все как есть.

[AnrDaemon]

По поводу поддержки и LTS - три года полная поддержка, и ещё два - только обновления безопасности. Так вроде.
И в любом случае, кто вам мешает сделать полный бэкап раздела перед апгрейдом? Ах, да, вы же его уже сделали. Так чего бояться? Не заладится апгрейд - откатитесь. Делов на полчаса.

[chester_+1]

AnrDaemon
Рядом поставил 10.04, может починят. Зря в виртуалке предварительно не поигрался...

[tagilchanin]

Не валить всё в одну кучу.
Чтобы по вашему правилу дропнулся пакет, он должен одновременно быть DC И EDK И ... И ...
Это просто нереально, пвот и не дропается.

Помогите разобраться вот с чем: не могу заставить работать запрет на скачку торрентов. Сделал как Вы сказали, качает.
Грешу что не правильно прописал правила в цепочке FORWARD.
сделал вот как:

(Нажмите, чтобы показать/скрыть)

:FORWARD DROP [3:156]

-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -s 192.168.0.0/24 -m ipp2p --bit -j DROP
-A FORWARD -i lo -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -i eth0.443 -o eth1.443 -j ACCEPT
-A FORWARD -i eth1.443 -o eth0.443 -j ACCEPT
-A FORWARD -i bridge1 -j ACCEPT
-A FORWARD -o bridge1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7

Если убираю правило: -A FORWARD -s 192.168.0.0/24 -j ACCEPT 
не корректно работает инет. Не возможно зайти на web интерфейс yandex.почты или отправить сообщение в skype. Если оно стоит блокировки соответственно не срабатывают. Помогите советом, что я сделал не правильно

[ArcFi]

tagilchanin, а м.б. сделать white-лист разрешённых для форварда протоколов?

[tagilchanin]

tagilchanin, а м.б. сделать white-лист разрешённых для форварда протоколов?

а смысл?

[AnrDaemon]

Смысл в том, чтобы разрешить форвард того, что можно и резать всё, что не разрешено.

[tagilchanin]

Смысл в том, чтобы разрешить форвард того, что можно и резать всё, что не разрешено.

Так возможно может быть список портов? Я правильно понимаю?

[ArcFi]

tagilchanin, у меня раньше было примерно так:

Код: (bash) [Выделить]

# Related and established connections
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# icmp
-A FORWARD -p icmp -j ACCEPT
# lan > inet: ftp, http, https, oscar/icq, xmpp/c2s
-A FORWARD -s 10.10.28.0/24 -i em2 -o em1 -p tcp -m state --state NEW -m multiport --dports 21,80,443,5190,5222 -j ACCEPT
# Reject the rest
-A FORWARD -j REJECT --reject-with icmp-host-prohibitedПотом всё это дело завернулось на прокси, и в filter/FORWARD остались лишь специфические протоколы для отдельных хостов.