HOWTO: Iptables для новичков

[Ronaldo]

AnrDaemon, объясните, как отправляемые данные через форму методом POST, например изображение в 1Мб, могут поместиться в тот же пакет, где находится строка с POST? Очередность пакетов, MTU и т.п. всё это нужно учитывать. Собственно свой вопрос решил блогадаря простому приложению - tcpdump.

[AnrDaemon]

Не могут. Но это не относится к вопросу фильтрации трафика.

[Yozhique]

Доброго времени суток! Ситуация такова, есть терминальный сервер, одна сетевая, несколько клиентов ходят работать на него по ssh. Стоит squid на 3128 порту. Как настроить iptables, чтобы он рероутил запросы юзеров в тырнет на порт сквида? в iptables строка такая:
-A PREROUTING -i eth+ -p tcp --dport 80 -j REDIRECT --to-port 3128

Задача в общем то такая: одному юзеру надо ограничить вылазки в сеть, остальным залочить. Как исходящий локальный траффик перенаправить? Настройки прокси в браузере юзеры додумаются поменять на следующий день =( Блочить меню настроек смысла не вижу, хотелось бы все же правильный вариант=)

В администрировании новичок...

[fisher74]

Код: [Выделить]

sudo iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner proxy -j ACCEPT
sudo iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128

[AnrDaemon]

Я бы перед этим ещё RELATED,ESTABLISHED отфильтровал.

[Yozhique]

iptables v1.4.7: owner: Bad value for "--uid-owner" option: "proxy"

Что то я делаю не так, видимо =(

[Egoist88]

Подскажите пожалуйста по пробросу портов.
Есть такая сетевая конфигурация:

(Нажмите, чтобы показать/скрыть)

#Internet
auto eth0
iface eth0 inet static
        address 91.195.xxx.xxx
        netmask 255.255.255.252
        network 91.195.127.0
        broadcast 91.195.127.252
        gateway 91.195.xxx.xxx
        dns-nameservers 91.195.127.65 91.195.126.65

# localnet
auto eth1
iface eth1 inet static
        address 192.168.10.245
        netmask 255.255.255.0
        network 192.168.10.0
        broadcast 192.168.10.255
        gateway 192.168.10.64
        dns-nameservers 91.195.127.65 91.195.126.65
        # dns-* options are implemented by the resolvconf package, if installed
#arenda
auto eth2
iface eth2 inet static
        address 10.0.0.1
        netmask 255.0.0.0
        network 10.0.0.0
        broadcast 10.0.0.255
        gateway 10.0.0.1
        dns-nameservers 91.195.127.65 91.195.126.65

Нужно что бы можно было из одной сети с адреса 10.0.0.2 подключаться по rdp к 192.168.10.99. Хотелось бы что бы при подключении указывался адрес нашего сервера т.е. 10.0.0.1:3389 а попадали бы мы на 192.168.10.99:3389.

[AnrDaemon]

iptables v1.4.7: owner: Bad value for "--uid-owner" option: "proxy"

Что то я делаю не так, видимо =(

Голову к советам не прикладываешь. Вероятно, у тебя нет такого пользователя - proxy.

Подскажите пожалуйста по пробросу портов.
Есть такая сетевая конфигурация:

Нужно что бы можно было из одной сети с адреса 10.0.0.2 подключаться по rdp к 192.168.10.99. Хотелось бы что бы при подключении указывался адрес нашего сервера т.е. 10.0.0.1:3389 а попадали бы мы на 192.168.10.99:3389.

Я бы вам не советовал этого делать. Настройте маршрутизацию между 192.168. и 10. и просто фильтруйте её, без выкрутасов.

[tagilchanin]

Коллеги, помогите разобраться вот с какой проблемой.
есть работающий шлюз вот с такими правилами:

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.4 on Mon May  6 15:35:42 2013
*mangle
:PREROUTING ACCEPT [1112588008:746155456142]
:INPUT ACCEPT [743473379:529623198259]
:FORWARD ACCEPT [362151848:215262892258]
:OUTPUT ACCEPT [445904123:436046795320]
:POSTROUTING ACCEPT [805274903:648564230125]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon May  6 15:35:42 2013
# Generated by iptables-save v1.4.4 on Mon May  6 15:35:42 2013
*nat
:PREROUTING ACCEPT [22631:1965068]
:POSTROUTING ACCEPT [7904:539656]
:OUTPUT ACCEPT [23604759:4196259494]
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.174
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.0.131
-A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 4891 -j DNAT --to-destination 192.168.0.111:4891
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.64:4899
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 48999 -j DNAT --to-destination 192.168.0.91:48999
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.0.8:2222
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 48995 -j DNAT --to-destination 192.168.0.36:48995
-A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 48993 -j DNAT --to-destination 192.168.0.37:48993
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.9/32 -p tcp -m multiport --dports 20,21,25,80,110,143,995 -j SNAT --to-source 192.168.0.9
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.174/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 192.168.0.9
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source xx.xx.xx.xx
COMMIT
# Completed on Mon May  6 15:35:42 2013
# Generated by iptables-save v1.4.4 on Mon May  6 15:35:42 2013
*filter
:INPUT DROP [13269:7395907]
:FORWARD ACCEPT [7195:394815]
:OUTPUT ACCEPT [561525:515565988]
:allowed - [0:0]
:allowed_udp - [0:0]
:bad_tcp_packets - [0:0]
:fail2ban-postfix - [0:0]
:fail2ban-proftpd - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udpincoming_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udpincoming_packets
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tap0 -p tcp -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died:" --log-level 7
-A INPUT -p tcp -m tcp --dport 22 -j TARPIT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m ipp2p --bit -j DROP
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -i tap0 -j ACCEPT
-A FORWARD -o tap0 -j ACCEPT
-A FORWARD -p tcp -j tcp_packets
-A FORWARD -p icmp -j icmp_packets
-A FORWARD -p udp -j allowed_udp
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -j DROP
-A allowed_udp -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A allowed_udp -p udp -j DROP
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -j ACCEPT
-A tcp_packets -p tcp -m multiport --dports 20,21,25,443,53,110,143,995,1194,22222,9080,8080,10200 -j allowed
-A tcp_packets -p tcp -m multiport --dports 993,123,465,1780,2222,4121,5222,5666,9418,10153,11520,60180,44301 -j allowed
-A tcp_packets -i ppp0 -p tcp -m multiport --dports 137:139,445 -j DROP
-A udpincoming_packets -p udp -m multiport --dports 53,9001 -j allowed_udp
COMMIT
# Completed on Mon May  6 15:35:42 2013

хочу цепочку FORWARD поставить в DROP, для борьбы с торрентами. Но как только ставлю ее в DROP, перестает работать ftp. Подскажите что можно сделать?

[ArcFi]

хочу цепочку FORWARD поставить в DROP, для борьбы с торрентами. Но как только ставлю ее в DROP, перестает работать ftp.

Код: [Выделить]

lsmod | grep ^nf

[tagilchanin]

хочу цепочку FORWARD поставить в DROP, для борьбы с торрентами. Но как только ставлю ее в DROP, перестает работать ftp.

Код: [Выделить]

lsmod | grep ^nf

вот вывод:

(Нажмите, чтобы показать/скрыть)

lsmod | grep ^nf
nf_nat                 15735  2 ipt_REDIRECT,iptable_nat
nf_conntrack_ipv4      10672  8 iptable_nat,nf_nat
nf_defrag_ipv4          1073  1 nf_conntrack_ipv4
nf_conntrack           61615  5 iptable_nat,nf_nat,xt_state,nf_conntrack_ipv4,xt_conntrack

[AnrDaemon]

modprobe nf_conntrack_ftp

[tagilchanin]

modprobe nf_conntrack_ftp
[/

modprobe nf_conntrack_ftp

спасибо за помощь, завтра попробую

[thunderamur]

Нет доступа из VPN к узлу за впн-сервером. Думаю я что-то не учел в iptables, т.к. если впн-сервер не использовать как шлюз, т.е. использовать только один интерфейс, но все нормально.

С впн-сервера пинг идет до клиента по адресам 192.168.чч.чч, с клиента до впн-сервера по адресам этой же сети пинг тоже проходит.
С компа в локалке впн-сервера пинг до впн-клиента идет.
С впн-клиента до компа в локалке впн-сервера не идет.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

iptables -F FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -P FORWARD DROP

iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source <внешний-ip>

iptables -F INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
iptables -A INPUT -s <внешний-ip-клиента-vpn>/32 -j ACCEPT
iptables -P INPUT DROP

iptables -F OUTPUT
iptables -P OUTPUT ACCEPT

[ArcFi]

...
С компа в локалке впн-сервера пинг до впн-клиента идет.
С впн-клиента до компа в локалке впн-сервера не идет.
...
iptables -F FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -P FORWARD DROP

Ясен пень, в одну сторону открыто.
Нужно добавить аналогичное правило в обратную сторону.