HOWTO: Iptables для новичков

[YellowRaccoon]

ArcFi,
Сеичас попробую. А не могли бы вы разъяснить что и почему?

[ArcFi]

YellowRaccoon,
1. "--match state --state" уже deprecated, вместо этого используйте "-m conntrack --ctstate".
2. Разрешая в начале цепочки RELATED,ESTABLISHED, для исключений по конкретным портам останется добавить лишь NEW.
3. Чтобы был ping, разрешаем icmp.
4. Не забываем про loopback.
5. iptables-save / iptables-restore, банально, удобнее и надёжнее.

[AnrDaemon]

ArcFi, откуда deprecated? conntrack - alias state уже несколько лет.
YellowRaccoon, -P OUTPUT DROP в большинстве случаев означает ошибку в настройке правил.

[ArcFi]

откуда deprecated?

/deprecated/obsolete/, во всяком случае, в некоторых прогрессивных дистрибутивах:

# iptables -A OUTPUT -p tcp --match state --state NEW -m tcp --dport 80 -j ACCEPT
WARNING: The state match is obsolete. Use conntrack instead.

[AnrDaemon]

>.> добавляют писанины, ничего не меняя по сути. Странные люди.

[YellowRaccoon]

AnrDaemon,
Я делал по вот этои штуке http://easylinux.ru/node/190/

[AnrDaemon]

Основы использования - это хорошо. Но есть ещё голова и "правила хорошего тона". Которые не догма, конечно, но при их соблюдении головной боли получается намного меньше.

[Userboy]

 Подскажите как мне сбросить правила по умолчанию в iptables а уж потом настроить его безопасность для дома. Учитывая что стоит роутерный модем.
 Есть какой нибудь стандартный скрипт? Который можно будет вбить в терминал и не заморачиваться далее.

 PS: Linux Mint - 14. Gnome.

[kijinga]

Доброго всем дня.
Никак не найду ответ на один, возможно, простой вопрос.

Имеется шлюз с настроенным squid+iptables.
Появилась необходимость помониторить некоторые порты.
Все настройки производились в соответствии с инструкцией:

(Нажмите, чтобы показать/скрыть)

https://help.ubuntu.ru/wiki/мониторинг_трафика#журналирование_активности_средствами_iptables

По неизвесной мне причине ни одного лога от iptables я не увидел, хотя задал уже самый простой вариант:
iptables -I INPUT 1 -j LOG --log-prefix "iptables: "

в iptables-ах стоят запреты на все по умолчанию (те что с -P), и разрешены выходы на некоторых портах
Как видно из правила лога - он встает первым в списке.

1.Нужно ли создавать файл /var/log/iptables.log, или он сам появится когда посыпятся логи?
2.Что значит дефис возле /var/log/iptables.log (т.е. -/var/log/iptables.log)
PS.Система мягко намекает что команда
sudo /etc/init.d/rsyslog reload
давно уже заменена утилиткой
sudo service rsyslog reload

Ubuntu 11.10

[AnrDaemon]

Показывайте iptables-save после ваших манипуляций.
Дефис означает, что лог будет принудительно выпихиваться на диск, если не ошибаюсь. Проверьте по ману, что ли?... (Кстати, при большом потоке логирования это плохая идея.)

[kijinga]

Вот

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.10
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
-A INPUT -j LOG --log-prefix "iptables: "
-A INPUT -s X -d Y -p tcp -m tcp --dport 777 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m multiport --dports 777 -j ACCEPT
-A INPUT -i eth1 -p udp -m state --state NEW -m udp --dport 777 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s Z -d R -j ACCEPT
-A OUTPUT -s Y -d X -p tcp -m tcp --sport 777 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m multiport --dports 777 -j ACCEPT
-A OUTPUT -p udp -m state --state NEW -m udp --dport 777 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed
# Generated by iptables-save v1.4.10
*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING ! -d EEE -i eth1 -p tcp -m multiport --dports 80 -j DNAT --to-destination MMM
-A POSTROUTING -s EEE -o eth0 -j MASQUERADE
COMMIT
# Completed

где X,Y,Z,R,EEE,MMM - ip адреса

Ещё заметил кое что,
iptables -L -n

Код: [Выделить]

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0Во всех табличках висит без параметра (на деле соединения блокируются) для чего этот параметр?

Вот же ж блин, посыпались наконецто, но кашей в kernel.log, и почему-то не везде пишет iptables:, а пишет типа ipt00 или iptab, может они из-за ошибок и прорвались в kernel.log?

[Vitsliputsli]

Они и должны писаться в kern.log, ну и в syslog тоже.
Раз ставили префикс iptables, то так и должно быть. Если большой поток, то такое логирование действительно не лучшая идея, быть может от этого и ошибки в логах.

[kijinga]

Нет, не должны

Код: [Выделить]

:msg, contains, "iptables: "    -/var/log/iptables.log
& ~
Вторая строчка означает, что дальнейшую работу с этой записью производить не надо, т.е. она не должна попадать в другие журналы.

Исходя из этого могу предположить что кривые логи прорвались в kernel ввиду их сильного потока, т.е. правило iptables работает, но в файл Iptables.log запись не идет, т.е. нужно ковырять rsyslog (пробовал вручную создать iptables.log, но он так и остался пустым - мож. в правах проблемма?)

Забыл сказать, изначально логи по одному редкому порту нужны были, это я для теста все подряд в лог впихнул.

Попробовал поменять лог с "iptables: " на "iptables1: " - и сразу в kernel полилось что нужно, тоесть дело не в iptables.

Почему не срабатывает правило

Код: [Выделить]

:msg, contains, "iptables: "    -/var/log/iptables.log
Вторая строчка работает прекрасно и не дает логам забивать другие журналы
Какие права нужны на iptables.log? (от рута не подойдут)

[Vitsliputsli]

Ну так по-умолчанию должны.

У вас префикс "iptables: ", а rsyslog отбирает "iptables: ", вероятно в этом дело.

[kijinga]

Все верно, отбирает, но прежде он должен записывать его в файл iptables.log
Попробовал задать права на iptables.log как и на kern.log и syslog - не помогло, пусто в нем (((

Нашел инфу про дефис:
Обычный файл задается полным путем, начиная со слеша (/). Поставьте перед ним дефис (-), чтобы отменить синхронизацию файла после каждой записи. Это может привести к потере информации, но повысить производительность.