HOWTO: Iptables для новичков

[ArcFi]

Как можно заблокировать весь HTTP-трафик через запрос POST включая multipart/form-data?

Что мешает блокировать всё, что идёт на порт 80?

[YellowRaccoon]

Доброго всем утра. Вот вывод iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Apr 19 09:40:00 2013
*nat
:PREROUTING ACCEPT [390399:27667057]
:INPUT ACCEPT [4184:547917]
:OUTPUT ACCEPT [3538:262473]
:POSTROUTING ACCEPT [448:89340]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Apr 19 09:40:00 2013
# Generated by iptables-save v1.4.12 on Fri Apr 19 09:40:00 2013
*filter
:INPUT ACCEPT [34542:6077446]
:FORWARD ACCEPT [4103625:2035809842]
:OUTPUT ACCEPT [27724:2535120]
-A FORWARD -d 87.240.131.99/32 -p tcp -j DROP
-A FORWARD -d 87.240.131.119/32 -p tcp -j DROP
-A FORWARD -s 87.240.131.99/32 -p tcp -j DROP
-A FORWARD -s 87.240.131.119/32 -p tcp -j DROP
COMMIT
# Completed on Fri Apr 19 09:40:00 2013

Видно, что стоит правило -A FORWARD -p tcp -s/d vk.com -j DROP Однако в локалке vk.com работает

[tagilchanin]

Доброго всем утра. Вот вывод iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Apr 19 09:40:00 2013
*nat
:PREROUTING ACCEPT [390399:27667057]
:INPUT ACCEPT [4184:547917]
:OUTPUT ACCEPT [3538:262473]
:POSTROUTING ACCEPT [448:89340]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Apr 19 09:40:00 2013
# Generated by iptables-save v1.4.12 on Fri Apr 19 09:40:00 2013
*filter
:INPUT ACCEPT [34542:6077446]
:FORWARD ACCEPT [4103625:2035809842]
:OUTPUT ACCEPT [27724:2535120]
-A FORWARD -d 87.240.131.99/32 -p tcp -j DROP
-A FORWARD -d 87.240.131.119/32 -p tcp -j DROP
-A FORWARD -s 87.240.131.99/32 -p tcp -j DROP
-A FORWARD -s 87.240.131.119/32 -p tcp -j DROP
COMMIT
# Completed on Fri Apr 19 09:40:00 2013

Видно, что стоит правило -A FORWARD -p tcp -s/d vk.com -j DROP Однако в локалке vk.com работает

заверните трафик идущий на 80 порт на squid и блокируйте с помощью него.

[YellowRaccoon]

tagilchanin,
Да, можно и лучше блокировать через squid + я еще dansguardian поставил. Но я пока хочу просто здесь, через iptables попробовать. Разве в правиле ошибка? Разве не должен он, в виду отсутствия других правил, сбрасывать все запросы В и ИЗ vk.com, идущие из локалки?

[ArcFi]

YellowRaccoon, сайты по IP блокировать бессмысленно, т.к. IP могут меняться:

$ nslookup vk.com
Server:      10.10.28.254
Address:   10.10.28.254#53

Non-authoritative answer:
Name:   vk.com
Address: 87.240.131.101
Name:   vk.com
Address: 87.240.131.117

[AnrDaemon]

tagilchanin,
Да, можно и лучше блокировать через squid + я еще dansguardian поставил. Но я пока хочу просто здесь, через iptables попробовать. Разве в правиле ошибка? Разве не должен он, в виду отсутствия других правил, сбрасывать все запросы В и ИЗ vk.com, идущие из локалки?

В правиле нет ошибки... технически. А вот логически, как подсказал ArcFi, вы делаете большое допущение.
На самом деле, при парсинге правила в память, имя один раз ресолвится в адрес и назначение пакета проверяется на соответствие этому ОДНОМУ адресу. Если домен имеет несколько адресов - ооопсс...

[YellowRaccoon]

ArcFi,
AnrDaemon,
Понял, благодарю. Полезу в dansguardian =)

[Ronaldo]

Как можно заблокировать весь HTTP-трафик через запрос POST включая multipart/form-data?

Что мешает блокировать всё, что идёт на порт 80?

Не нужно всё блокировать, например GET и HEAD должны проходить. Есть ещё идеи?

[ArcFi]

Не нужно всё блокировать, например GET и HEAD должны проходить.

Зачем, и вообще, в чём состоит исходная задача?
Ибо со стороны выглядит, что вы используете странный подход.

[Ronaldo]

Задача проста, сайт находится в режиме чтения, только GET или HEAD. Запрещена отправка каких-лтбо данных через POST, чем постоянно пользуются сканеры с маскированием под пользователей. Задача должна быть решена именно через iptables.

Проблема именно с multipart/form-data, когда информация передаётся порциями.

[AnrDaemon]

Ronaldo, не передаётся она порциями... Кто вам такой бред вообще сказанул?

[Ronaldo]

1. Сообщение multipart/form-data содержит несколько частей, по одной на каждый задействованный в форме элемент управления.
http://ru.wikipedia.org/wiki/Multipart/form-data

2. sniffit -I показыват несколько обращений к серверу, первый начинается с POST, а остальные с ------------ и частью формы, элемента.

Кто ещё считает это бредом?

[AnrDaemon]

Никто не считает. Если вы не знаете основ протокола, который вы пытаетесь фильтровать, вам в мануалы надо.
И совершенно точно ваш вопрос не относится к ЭТОМУ топику.

[Ronaldo]

Я новичок в работе с iptables, а потому вопрос по теме. Чтобы не спорить, просто объясните мне, почему правило

iptables -I INPUT -p tcp --dport 80 -m string --string 'POST /' --algo bm -j DROP

на отправку данных с формы методом POST и значением enctype = application/x-www-form-urlencoded блокирует, а со значением multipart/form-data не блокирует?

Вопрос закрыт, проблема была связана с алгоритмом поиска - он разбивал пакет на части.

[AnrDaemon]

Он замечательно блокирует. У вас проблема в других правилах.