HOWTO: Iptables для новичков

[tagilchanin]

tagilchanin, у меня раньше было примерно так:

Код: (bash) [Выделить]

# Related and established connections
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# icmp
-A FORWARD -p icmp -j ACCEPT
# lan > inet: ftp, http, https, oscar/icq, xmpp/c2s
-A FORWARD -s 10.10.28.0/24 -i em2 -o em1 -p tcp -m state --state NEW -m multiport --dports 21,80,443,5190,5222 -j ACCEPT
# Reject the rest
-A FORWARD -j REJECT --reject-with icmp-host-prohibitedПотом всё это дело завернулось на прокси, и в filter/FORWARD остались лишь специфические протоколы для отдельных хостов.

Всем спасибо, разобрался. Сделал несколько цепочек, для UDP, TCP и ICMP пакетов, добавил в них необходимые порты, после этого прописал правила в FORWARD, пока все работает.

[tagilchanin]

Появился еще один вопрос, вернее следует из вышеназванного. Оказывается блокировка торрентов до конца не работает. Причем даже знаю из за какого правила:
Если оно включено торрент качает вовсю:

(Нажмите, чтобы показать/скрыть)

$IPTABLES -A FORWARD -p UDP -j allowed_udp

allowed_udp:

(Нажмите, чтобы показать/скрыть)

$IPTABLES -A allowed_udp -p UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Если убираю его, то торрент не работает, но и с ним перестает работать межгород (sip трафик, который идет по udp протоколу).
Позвонил телефонистам они сказали что межгород работает по порту 5060 UDP.
Добавил правило:

(Нажмите, чтобы показать/скрыть)

$IPTABLES -A FORWARD -p UDP --dport 5060 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

но ситуация не поменялась.. помогите советом куда смотреть..

[ArcFi]

tagilchanin, делаем примерно так:

Код: [Выделить]

-A FORWARD -s 10.10.28.0/24 -i em2 -o em1 -p udp -j LOG
-A FORWARD -s 10.10.28.0/24 -i em2 -o em1 -p udp -j ACCEPTПараллельно включаем:

Код: [Выделить]

tail -f /var/log/messagesЗапускаем нужный софт, анализируем лог на предмет используемых портов и добавляем их в исключения.

[tagilchanin]

tagilchanin, делаем примерно так:

Код: [Выделить]

-A FORWARD -s 10.10.28.0/24 -i em2 -o em1 -p udp -j LOG
-A FORWARD -s 10.10.28.0/24 -i em2 -o em1 -p udp -j ACCEPTПараллельно включаем:

Код: [Выделить]

tail -f /var/log/messagesЗапускаем нужный софт, анализируем лог на предмет используемых портов и добавляем их в исключения.

Запустил логирование:

(Нажмите, чтобы показать/скрыть)

Oct 16 12:52:50 mail kernel: [5011838.776991] IP_Phone:IN=bridge1 OUT=bridge1 PHYSIN=eth1.443 PHYSOUT=eth0.443 SRC=10.3.7.10 DST=10.3.7.1 LEN=459 TOS=0x08 PREC=0x60 TTL=64 ID=0 DF PROTO=UDP SPT=5060 DPT=5060 LEN=439

сделал правило:

(Нажмите, чтобы показать/скрыть)

$IPTABLES -A FORWARD -p UDP -i $BRIDGE -o $BRIDGE --dport 5060  -j ACCEPT

Ситуация не поменялась.. помогите пжл..

[xeon_greg]

вставлю свои 5 копеек, с торрентами вообще очень тяжело бороться, работают по UDP, в огромном диапазоне портов, + ширование протокола бывает, так что тут 1-2 правилами не отделаться..

[tagilchanin]

вставлю свои 5 копеек, с торрентами вообще очень тяжело бороться, работают по UDP, в огромном диапазоне портов, + ширование протокола бывает, так что тут 1-2 правилами не отделаться..

У меня очень интересная ситуция.. у меня ноут с Ubuntu 10.04, после закрытия таблицы FORWARD, Transmition не качает торренты. Но utorrent установленный на масдае, качает по UDP нормально. Засада...

[xeon_greg]

вставлю свои 5 копеек, с торрентами вообще очень тяжело бороться, работают по UDP, в огромном диапазоне портов, + ширование протокола бывает, так что тут 1-2 правилами не отделаться..

У меня очень интересная ситуция.. у меня ноут с Ubuntu 10.04, после закрытия таблицы FORWARD, Transmition не качает торренты. Но utorrent установленный на масдае, качает по UDP нормально. Засада...

что имеется в виду закрытие таблицы форвард ? если закрыть форвард на шлюзе то вообще инета не будет у клиентов, а если так закрыто что у кого-то качает, значит не правильно закрыто, и настройки у клиентов-качальщиков разные. и никаких странностей

[tagilchanin]

вставлю свои 5 копеек, с торрентами вообще очень тяжело бороться, работают по UDP, в огромном диапазоне портов, + ширование протокола бывает, так что тут 1-2 правилами не отделаться..

У меня очень интересная ситуция.. у меня ноут с Ubuntu 10.04, после закрытия таблицы FORWARD, Transmition не качает торренты. Но utorrent установленный на масдае, качает по UDP нормально. Засада...

что имеется в виду закрытие таблицы форвард ? если закрыть форвард на шлюзе то вообще инета не будет у клиентов, а если так закрыто что у кого-то качает, значит не правильно закрыто, и настройки у клиентов-качальщиков разные. и никаких странностей

вот так:

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT DROP [207:118466]
:FORWARD DROP [4:200]
:OUTPUT ACCEPT [731:375626]
:allowed - [0:0]
:allowed_udp - [0:0]
:bad_tcp_packets - [0:0]
:fail2ban-proftpd - [0:0]
:fail2ban-ssh - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udpincoming_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udpincoming_packets
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tap0 -p tcp -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died:" --log-level 7
-A INPUT -p tcp -m tcp --dport 22 -j TARPIT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i bridge1 -o bridge1 -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -i bridge1 -o bridge1 -p udp -j LOG --log-prefix "IP_Phone:"
-A FORWARD -p tcp -j tcp_packets
-A FORWARD -p icmp -j icmp_packets
-A FORWARD -p udp -j allowed_udp
-A FORWARD -p tcp -m multiport --dports 20,21 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -j DROP
-A allowed_udp -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A allowed_udp -p udp -j DROP
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -j ACCEPT
-A tcp_packets -p tcp -m multiport --dports 22,25,443,53,110,143,995,1194,22222,9080,4899,48999 -j allowed
-A tcp_packets -p tcp -m multiport --dports 465,1780,4121,5222,5666,10153,11520,60180 -j allowed
-A tcp_packets -i ppp0 -p tcp -m multiport --dports 137:139,445 -j DROP
-A udpincoming_packets -p udp -m multiport --dports 53,9001,5060 -j allowed_udp
COMMIT

[xeon_greg]

ну и где тут закрыт форвард? и для чего закрыт, если закрыт ?

-A FORWARD -i lo -j ACCEPT

- а это для чего тут ?
весь товй UDP пролазит через эти 2 правила

-A FORWARD -p udp -j allowed_udp
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

и вообще лучше смотреть через iptables-save -c сразу видно чего, куда и сколько бежит

[tagilchanin]

ну и где тут закрыт форвард? и для чего закрыт, если закрыт ?

-A FORWARD -i lo -j ACCEPT

- а это для чего тут ?
весь товй UDP пролазит через эти 2 правила

-A FORWARD -p udp -j allowed_udp
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

и вообще лучше смотреть через iptables-save -c сразу видно чего, куда и сколько бежит

Если я уберу это правило -A FORWARD -p udp -j allowed_udp перестает работать межгород.
выхлоп iptables-save -c

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT DROP [130062:74395079]
:FORWARD DROP [3070:167476]
:OUTPUT ACCEPT [658616:586139204]
:allowed - [0:0]
:allowed_udp - [0:0]
:bad_tcp_packets - [0:0]
:fail2ban-proftpd - [0:0]
:fail2ban-ssh - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udpincoming_packets - [0:0]
[659128:523919407] -A INPUT -p tcp -j bad_tcp_packets
[32:4830] -A INPUT -i ppp0 -p icmp -j icmp_packets
[356175:399422114] -A INPUT -i ppp0 -p tcp -j tcp_packets
[12747:2092430] -A INPUT -i ppp0 -p udp -j udpincoming_packets
[24007:60583120] -A INPUT -i lo -j ACCEPT
[302746:72553384] -A INPUT -s 192.168.0.0/24 -j ACCEPT
[367298:400893450] -A INPUT -i ppp0 -j ACCEPT
[0:0] -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -i tap0 -p tcp -j ACCEPT
[99:50146] -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died:" --log-level 7
[0:0] -A INPUT -p tcp -m tcp --dport 22 -j TARPIT
[214235:132952660] -A FORWARD -p tcp -j bad_tcp_packets
[829:416535] -A FORWARD -i bridge1 -o bridge1 -p udp -m udp --dport 5060 -j ACCEPT
[0:0] -A FORWARD -i lo -j ACCEPT
[159992:129801942] -A FORWARD -i ppp0 -j ACCEPT
[67504:13392162] -A FORWARD -i bridge1 -o bridge1 -p udp -j LOG --log-prefix "IP_Phone:"
[92881:11524096] -A FORWARD -p tcp -j tcp_packets
[282:25548] -A FORWARD -p icmp -j icmp_packets
[101929:20436444] -A FORWARD -p udp -j allowed_udp
[3:156] -A FORWARD -p tcp -m multiport --dports 20,21 -m state --state NEW -j ACCEPT
[35452:1784652] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[99:5364] -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7
[628186:577409763] -A OUTPUT -p tcp -j bad_tcp_packets
[53000:10031140] -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[2572:144808] -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[397:16228] -A allowed -p tcp -j DROP
[101940:20437174] -A allowed_udp -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A allowed_udp -p udp -j DROP
[2088:2485462] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[314:30378] -A icmp_packets -p icmp -j ACCEPT
[52084:9930302] -A tcp_packets -p tcp -m multiport --dports 22,25,443,53,110,143,995,1194,22222,9080,4899,48999 -j allowed
[3885:261874] -A tcp_packets -p tcp -m multiport --dports 465,1780,4121,5222,5666,10153,11520,60180 -j allowed
[0:0] -A tcp_packets -i ppp0 -p tcp -m multiport --dports 137:139,445 -j DROP
[11:730] -A udpincoming_packets -p udp -m multiport --dports 53,9001,5060 -j allowed_udp
COMMIT

[ArcFi]

Логирование надо поставить в самое начало цепочки FORWARD и расширить критерии фильтрации:

Код: [Выделить]

-A FORWARD -p udp -j LOG --log-prefix "IP_Phone:"Так получим максимально подробный лог.

Ещё можно проверить лог между 2-мя конкретными хостами:

Код: [Выделить]

-A FORWARD -s SRC_IP -j LOG --log-prefix "IP_Phone:"
-A FORWARD -d DST_IP -j LOG --log-prefix "IP_Phone:"

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Это правило по смыслу также должно быть наверху цепочки FORWARD.

[xeon_greg]

Если я уберу это правило -A FORWARD -p udp -j allowed_udp перестает работать межгород.

а кто говорил чтобы его убрать.

[101940:20437174] -A allowed_udp -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

только ни тут ни до этого правила ничего не фильтруется.  где же твои преграды ? ты все пропускаешь на выход

[tagilchanin]

Если я уберу это правило -A FORWARD -p udp -j allowed_udp перестает работать межгород.

а кто говорил чтобы его убрать.

[101940:20437174] -A allowed_udp -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

только ни тут ни до этого правила ничего не фильтруется.  где же твои преграды ? ты все пропускаешь на выход

Пропуская по только udp протоколу.
Если не правильно подскажите как надо..

[xeon_greg]

... за деревьями леса не видно...
о чем была речь ?

У меня очень интересная ситуция.. у меня ноут с Ubuntu 10.04, после закрытия таблицы FORWARD, Transmition не качает торренты. Но utorrent установленный на масдае, качает по UDP нормально. Засада...

или я не понял тогда в чем именно "засада"

[tagilchanin]

... за деревьями леса не видно...
о чем была речь ?

У меня очень интересная ситуция.. у меня ноут с Ubuntu 10.04, после закрытия таблицы FORWARD, Transmition не качает торренты. Но utorrent установленный на масдае, качает по UDP нормально. Засада...

или я не понял тогда в чем именно "засада"

В том, что торренты на Windows как качали, так и продолжают качать..