HOWTO: Iptables для новичков

[YellowRaccoon]

Userboy,
Да, чудесно, благодарю.

Почему, когда я включаю маршрутизацию между сетевухами и пишу правило маскарада, оно не отображается в iptables -L -vn?

2) -P FORWARD DROP
-A FORWARD -s 10.168.1.6 -j ACCEPT не будет значить, что в локалке не будет ни у кого интернета, акромя 10.168.1.6?

[aSmile]

Почему, когда я включаю маршрутизацию между сетевухами и пишу правило маскарада, оно не отображается в iptables -L -vn?

Потому что не ту таблицу смотришь

Код: [Выделить]

iptables -L -vn -t nat


[AnrDaemon]

2) -P FORWARD DROP
-A FORWARD -s 10.168.1.6 -j ACCEPT не будет значить, что в локалке не будет ни у кого интернета, акромя 10.168.1.6?

Зависит от других правил. Вполне вероятно, что не будет ни у кого.
Пользователь решил продолжить мысль 04 Апреля 2013, 18:11:27:Показывайте iptables-save полностью, сколько раз говорить надо?

[YellowRaccoon]

AnrDaemon,
Других правил нет, кроме маршрутизации между сетевухами.

[AnrDaemon]

Тогда ни у кого не будет.

[YellowRaccoon]

AnrDaemon,
я уточню: ни у кого вообще, ВКЛЮЧАЯ 10.168.1.6, или у этого будет?

[AnrDaemon]

Ни у кого вообще. Попробуйте сами найти причину. Почитайте примеры правил, приведённые в этом и других топиках. Посмотрите карту прохождения пакетов.

[YellowRaccoon]

AnrDaemon,
Да, к сожалению пока не понимаю, но разбираюсь. Я вот и думал, что вторым правилом разрешил прохождение FORWARD всем пакетам с источника 10.168.1.6. Ну только я написал ИЗ такого-то источника, а надо еще В, т.е -d 10.168.1.6

[aSmile]

AnrDaemon,
Да, к сожалению пока не понимаю, но разбираюсь. Я вот и думал, что вторым правилом разрешил прохождение FORWARD всем пакетам с источника 10.168.1.6. Ну только я написал ИЗ такого-то источника, а надо еще В, т.е -d 10.168.1.6

Обычно, чтобы не писать для каждого правила еще и обратное, первым правилом ставят

Код: [Выделить]

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


[thunderamur]

Хочу поставить на раздачу Инета Ubuntu-server. Часть сети висит на VPN-роутерах D-Link DI-804HV, главный из которых окажется за NAT-ом Ubuntu-server. Как пробросить до него порты, точнее какие порты надо пробросить для VPN-роутера?

[AnrDaemon]

Какого VPN сервера? PPTP, OpenVPN, IPSec?

[thunderamur]

AnrDaemon,
Хороший вопрос IPSec с расширением IKE.
Гугл сообщает, что нужно пропустить UDP/500, а далее с другими протоколами разберется conntrack.

[YellowRaccoon]

Доброго всем утра. Могу ли я в iptables указать интервал ip, котороым можно все? Например,

Код: [Выделить]

iptables -I FORWARD -s 192.168.1.4 -j ACCEPT (чтобы интервал был 192.168.1.4-192.168.1.25)
И второи вопрос:, к примеру, я могу запретить vk.com всем в локалке посреднством

Код: [Выделить]

iptables -A FORWARD -p tcp -d vk.com -j DROPМогу ли я сделать редирект на, скажем, 3dnews.ru? На каком-то форуме наткнулся на совершенно дикое

Код: [Выделить]

iptables -t nat -A OUTPUT -p tcp -d vk.com -j DNAT --to-destination 217.69.128.44 (во-первых, меня смутило использование DNAT в цепочке OUTPUT, во-вторых, путь редиректа указывался в виде ип. это и не проблема, разумеется, скорее оптимизация временных затрат)
P.S. Больше правил, акромя -t nat -A POSTROUTING -o eth0 -j MASQUERADE нету

[ArcFi]

YellowRaccoon, то, что вы хотите сделать, решается не средствами iptables, а настройкой proxy.
В простейшем случае, squid + squidGuard.

[Ronaldo]

Здравствуйте! Как можно заблокировать весь HTTP-трафик через запрос POST включая multipart/form-data?

В простейшем варианте это ввыглядит так:

iptables -I INPUT -p tcp --dport 80 -m string --string 'POST /' --algo bm -j DROP

Однако такое правило в случае с данными multipart/form-data работает только для первой очереди.

Как можно блокировать остальные очереди, т.е. части запросов где нет ключевой строки "POST /"?