HOWTO: Iptables для новичков

[InkVisitor]

Извиняюсь за глупый вопрос. Куда вписать скриптик для автоматического конфигурирования iptables при загрузке???.

Мне, например, очень помогло это...

[artem.ultra]

Добрый вечер, подскажыте пожалуйста. Есть компьютер с двумя сетевыми, первая которая с мотрит в интернет (ip 10.0.198.10 gateway 10.0.198.1) и вторая 192.168.1.1. Хочу через вторую локалку подключить ноутбук. Подскажыте как сделать, пробывал по этому мануалу http://linuxportal.ru/entry.php/P95_0_3_0/%C2%A0 не получается!
Но как я знаю, первая сетевая 10,0,198,10, уже и есть нат, тоесть мой компьютер уже находится за натом. может из за этого у меня не получилось?

[InkVisitor]

https://forum.ubuntu.ru/index.php?topic=43903.msg320077#msg320077

первая сетевая 10,0,198,10, уже и есть нат, тоесть мой компьютер уже находится за натом

Тот НАТ передаёт пакеты на Ваш комп, а дальше их (пакеты) тоже НАТить надо 

[artem.ultra]

https://forum.ubuntu.ru/index.php?topic=43903.msg320077#msg320077

первая сетевая 10,0,198,10, уже и есть нат, тоесть мой компьютер уже находится за натом

Тот НАТ передаёт пакеты на Ваш комп, а дальше их (пакеты) тоже НАТить надо 

попробывал, что то ничего не получается

[InkVisitor]

Что "попробывал"? Что "не получается"?

[artem.ultra]

Что "попробывал"? Что "не получается"?

вот те команды попробывал которые были выше. правда не знаю как загрузить настройки после команды iptables-save, iptables-restore(виснет консоль)

[dementiy]

Ну а в остальных таблицах какие правила? У меня, например в цепочке FORWARD:

Код: [Выделить]

$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPT
Почти год назад я выкладывал отчет, о том, как настраивал свой шлюз.
Посмотри там, может быть, чего полезного найдешь.

Пдставил ваш конфиг для IPTables себе в rc.local . Пhи загрузке выдаёт : not foundall : и дальше, судя по всему номер строки. (Таких строк несколько) Что он не находит, и где в Ubuntu можно посмотреть лог загрузки, мож есть какойнить файлик куда записывается всё выводимое на экран в момент загрузки чтобы посмотреть весь вывод целиком

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

#
# 1. Конфигурация.
#
# Здесь задаются основные настройки брандмауэра, которые зависят от Вашей конфигурации сети.
#

############################################################################
# 1.1 Настройки интернет.
#
# INET_IP - Здесь должен быть указан реальный IP адрес, выданный провайдером услуг доступа в интернет.
# INET_IFACE - устройство, через которое осуществляется подключение к интернет.
# INET_BROADCAST - широковещательный адрес.
#

INET_IP="192.168.2.1"
INET_IFACE="eth0"
INET_BROADCAST="192.168.2.255"
############################################################################
# 1.2 Настройки локальной сети.
#
# Конфигурация локальной сети.
# LAN_IP - локальный IP адрес брандмауэра.
# LAN_IP_RANGE - широковещательный адрес + маска подсети.
# LAN_IFACE - интерфейс, подключенный к локальной сети.
#

LAN_IP="192.168.1.111"
LAN_IP_RANGE="192.168.1.0/24"
LAN_IFACE="eth1"



############################################################################
# 1.4 Локальный интерфейс "loopback".
#

LO_IFACE="lo"
LO_IP="127.0.0.1"

############################################################################

############################################################################

#
# 1.5 Путь к файлу iptables (обычно "/usr/sbin/iptables" или "/sbin/iptables").
#

IPTABLES="/sbin/iptables"

# Очистка...

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#
# 1.6 Дополнительно.
#

# Описываем порты, которые нам могут пригодиться.

# Настраиваем систему таким образом, что
# 1. Пакеты на почту и другие разрешенные сервера мы просто пропускаем насквозь.
# 2. Пакеты, идущие по защищенному соединению (https) мы пропускаем, но подсчитываем
# отдельно, не разбивая на пользователей.
# 3. Всех пользователей мы проверяем на предмет соответствия их IP адресов их MAC адресам.
# 4. Остальные пакеты - перенаправляем на squid.
# 5. И наконец - считаем вообще весь трафик, проходящий через фаервол.


# Порт для HTTPS
HTTPS="443"

# Порт squid.
SQUID="3128"


# Далее порты, которые будем заворачивать на squid

SQV_HTTP="80"
SQV_FTP="21"



# Описываем адреса, которые нам могут пригодиться.
# Тут будут те адреса, до которых доступ будет всегда и у всех,
# независимо от того, можно им в инет, или нет.

#Почта.
#IP_MAIL="89.249.XXX.YYY" # Почта 1
#IP_MAIL1="62.113.XXX.YYY" # Почта 2

# Порт почты SMTP
MAIL_SMTP="25"

# Порт почты POP
MAIL_POP="110"


# FTP сервер для передачи данных в филиалы - работает у всех.
#IP_HICFTP="89.249.XXX.YYY"


# Банк-клиенты.

IP_ADMIN="192.168.1.101"
#IP_BANK_2="XXX.YYY.QQQ.ZZZ"
#IP_BANK_3_1="XXX.YYY.QQQ.ZZZ"
#IP_BANK_3_2="XXX.YYY.QQQ.ZZZ"


# Пользователи.

# Пользователь №1
#USER_1_IP="192.168.0.2"
#USER_1_MAC="00:00:00:00:00:01"

# ............

# Пользователь № N

#USER_N_IP="192.168.0.254"
#USER_N_MAC="00:00:00:00:00:02"



###########################################################################
#
# 2. Подгрузка модулей.
#

#
# Проверка зависимостей модулей.
#

#/sbin/depmod -a

#
# 2.1 Подгрузка необходимых модулей (нужное раскомментировать).
#

#/sbin/modprobe ip_tables
##/sbin/modprobe ip_conntrack
#/sbin/modprobe iptable_filter
#/sbin/modprobe iptable_mangle
#/sbin/modprobe iptable_nat
#/sbin/modprobe ipt_LOG
#/sbin/modprobe ipt_limit
#/sbin/modprobe ipt_state
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
##/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
##/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc


# 4. Настройка правил.
#

#
# 4.1 Таблица Filter
#

#
# 4.1.1 Политики по умолчанию
#

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# 4.1.2 Создание пользовательских цепочек
#

#
# Создание цепочки для "плохих" пакетов
#

$IPTABLES -N bad_tcp_packets

#
# Создание отдельных цепочек для различных протоколов
#

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#
# Создние цепочки, которая будет сверять IP и MAC адреса.
#

#$IPTABLES -N verify


#
# Создание цепочек для подсчета трафика
#

# Для общего трафика
$IPTABLES -N trafficcount

# Для https
$IPTABLES -N secured


#
# 4.1.3 Содержимое пользовательских цепочек
#


#
# Цепочка bad_tcp_packets
#
# Отфильтровываются все пакеты, которые распознаются как NEW, но не
# являются SYN пакетами, а также обрабатываются SYN/ACK пакеты,
# имеющие статус NEW.
# Эта цепочка может быть использована для защиты от вторжения
# и сканирования портов.
#

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#
# Цепочка allowed
#
# Дополнительная проверка.
# По задумке цепочка вызывается из цепочки tcp_packets, на прошедшие
# проверку пакеты.

# Проверяем, является ли пакет SYN пакетом, т.е. запросом на соединение.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT

# Пропускаем все пакеты с признаком ESTABLISHED и RELATED.
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

# Сбрасываем все остальные пакеты.
$IPTABLES -A allowed -p TCP -j DROP

#
# Цепочка tcp_packets
#
# По идее рулит входящими tcp пакетами из инета.
# Но поскольку у нас нет никаких инет-сервисов в локалке
# мы просто перекидываем все пакеты в allowed.

$IPTABLES -A tcp_packets -j allowed

#
# Правила для UDP.
#

#
# В сетях Microsoft Вас может завалить бродкастами.
# Правило блокирует широковещательные пакеты, поступающие на порты
# со 135 по 139. Эти порты используются протоколами SMB и NetBIOS.
# Данное правило предотвращает переполнение таблицы трассировщика в
# сетях Microsoft.
#

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \
--destination-port 135:139 -j DROP

#
# Это правило блокирует DHCP запросы извне.
#

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
--destination-port 67:68 -j DROP


#
# Правила для ICMP.
# Тут проверяется тип ICMP сообщения. Пропускаются только
# ICMP Echo Request, TTL equals 0 during transit и
# TTL equals 0 during reassembly. Все остальные типы ICMP
# сообщений должны проходить и так, т.к. имеют состояние RELATED.
#
#

# Чтобы брандмауэр перестал откликаться на ping -
# закомментируйте эту строчку.
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT


$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#
# Цепочка для подсчета трафика.
#

$IPTABLES -A trafficcount -p ALL -j RETURN


#
# Цепочка подсчета HTTPS трафика.
#

$IPTABLES -A secured -p tcp --dport $HTTPS -j RETURN



#
# Цепочка верификации IP адреса и MAC адреса пользователя.
#

# Тут поочередно всех проверяем на соответствие - если кто-то себе подставил
# чужой IP - его тупа сбросит.


#$IPTABLES -A verify -p ALL -s $USER_1_IP -m mac --mac-source $USER_1_MAC -j RETURN
# .....................
#$IPTABLES -A verify -p ALL -s $USER_N_IP -m mac --mac-source $USER_N_MAC -j RETURN
# И напоследок - всем остальным - DROP
#$IPTABLES -A verify -p ALL -s $LAN_IP_RANGE -j DROP

#
# 4.1.4 Цепочка INPUT.
#

#
# Фильтруем "плохие пакеты" через цепочку bad_tcp_packets.
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Правила для "своих" сетей, т.е. не для интернета.
#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT


#
# Правила для пакетов, приходящих их интернета.
#

# Это правило эквивалентно правилу, стоящему в цепочке alowed и в некоторой степени
# является избыточным, однако, оно несколько разгружает сетевой фильтр,
# поскольку значительная доля трафика пропускается этим правилом и не проходит
# всю последовательность до цепочки alowed.

# Каждое правило тут - сначала запускает пакет в цепочку подсчета трафика, затем обрабатывет далее

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j trafficcount
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT

# Отправляем tcp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets

# Отправляем udp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets

# Отправляем icmp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#
# Клиенты Microsoft Network имеют дурную привычку выдавать огромное количесво
# групповых пакетов в диапазоне адресов 224.0.0.0/8. Поэтому можно использовать данное
# правило для предотвращения засорения логов, в случае, если с внешней стороны
# имеется какая либо сеть Microsoft Network. Подобную же проблему решают два последних
# правила в цепочке udp_packets.
#

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

#
# 4.1.5 Цепочка FORWARD.
#

# Фильтруем "плохие пакеты".

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# Пробиваем мак и айпи на соответствие.

#$IPTABLES -A FORWARD -p ALL -j verify

# Пропускаем пакеты на известные и разрешенные хосты.

#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_HICFTP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_ADMIN -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_2 -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_3_1 -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_3_2 -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL -p tcp --dport $MAIL_SMTP -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL -p tcp --dport $MAIL_POP -j ACCEPT 
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL1 -p tcp --dport $MAIL_SMTP -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL1 -p tcp --dport $MAIL_POP -j ACCEPT


# Пропускаем HTTPS мимо сквида, попутно считая.

$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j secured
$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPT

# Пропускаем пакеты на SQUID.

$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $SQV_HTTP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $SQV_FTP -j ACCEPT

# Пропускаем ответные пакеты в локальную сеть.

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j trafficcount
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 Цепочка OUTPUT.
#

#
# Фильтруем "плохие пакеты".
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#
# Правила OUTPUT, определяющие, какие IP будут допущены.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 Таблица nat.
#

#
# 4.2.1 Задаем политики по умолчанию.
#

#
# 4.2.2 Создаем пользовательские цепочки.
#



#
# 4.2.3 Содежимое пользовательских цепочек.
#

#
# 4.2.4 Цепочка PREROUTING.
#


# Принимаем те пакеты, которые всегда разрешены и идут
# мимо сквида до того, как они уйдут в сквид.

#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_HICFTP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_ADMIN -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_2 -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_3_1 -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_3_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $LAN_IP -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_MAIL -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_MAIL1 -j ACCEPT

# Перенаправляем пакеты на сквид.

$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport $SQV_HTTP -j REDIRECT --to-ports $SQUID
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport $SQV_FTP -j REDIRECT --to-ports $SQUID

#
# 4.2.5 Цепочка POSTROUTING.
#

#
# Включаем простой IP форвардинг и преобразование сетевых адресов.
#

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP


################################################################

#
# 5. Включение перенаправления пакетов
# Лучше делать это в конце, ибо к моменту включения форвардинга все
# правила уже заданы.

 echo "1" > /proc/sys/net/ipv4/ip_forward


exit 0

[MadKox]

2> dementiy:
1. В gedit можно включить нумерацию строк. Так легче будет найти ошибку - чаще всего это опечатки или использование удаленных/закоментированых переменных.

2. Чтобы сохранить вывод скрипта, достаточно запустить его так:

Код: [Выделить]

myscript > /home/user/mycript.log
Весь текстовый вывод скрипта myscript будет сохранен в файл /home/user/myscript.log

3. Ссылку я дал для примера. Сейчас посмотрел - в том скрипте много косяков. В чистом виде его лучше не использовать.
Вот тот скрипт, который я использую сейчас:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
# 1. Конфигурация.
#
# 1.1 Настройки интернет.
#
# Реальный IP адрес.
INET_IP="192.168.0.62"
#
# Интерфейс.
INET_IFACE="eth0"
#
# Широковещательный адрес.
INET_BROADCAST="192.168.0.255"
#
# 1.2 Настройки локальной сети.
#
# Конфигурация локальной сети.
#
# Локальный IP адрес брандмауэра.
LAN_IP="192.168.1.1"
#
# Широковещательный адрес + маска подсети.
LAN_IP_RANGE="192.168.1.0/24"
#
# Интерфейс.
LAN_IFACE="eth1"
#
# 1.4 Локальный интерфейс "loopback" - обратная петля.
#
LO_IFACE="lo"
LO_IP="127.0.0.1"
#
#
# 1.5 Путь к файлу iptables (обычно "/usr/sbin/iptables" или "/sbin/iptables").
#
IPTABLES="/sbin/iptables"
# и сразу чистим...
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#
# 1.6 Дополнительно.
# Описываем порты, которые нам могут пригодиться.
#
# Порт для HTTPS
HTTPS="443"
#
# Порт squid.
SQUID="3128"
#
# Описываем адреса, которые нам могут пригодиться.
# "Белый список"
#
#Почта.
IP_MAIL="1.1.1.1"
IP_MAIL1="2.2.2.2"
# Порт почты SMTP
MAIL_SMTP="25"
# Порт почты POP
MAIL_POP="110"
# FTP сервер для передачи данных в филиалы - работает у всех.
IP_HICFTP="3.3.3.3"
# Филиал#1
IP_FIL1="4.4.4.4"
#
# Банк-клиенты.
#
IP_BANK_1="5.5.5.5"
#
IP_BANK_2="6.6.6.6"
IP_BANK_2_2="6.6.6.7"
#
IP_BANK_3_1="7.7.7.7"
IP_BANK_3_2="7.7.7.8"
#
IP_BANK_4_1="8.8.8.8"
#
# Пользователи.
#
#
USER_1_IP="192.168.0.27"
USER_1_MAC="00:13:D3:9E:9F:B6"
#
# ...
#
USER_N_IP="192.168.0.28"
USER_N_MAC="00:16:E6:49:F1:20"
#
# Домашний IP админа - для доступа по SSH
ADMIN_HOME_IP="9.9.9.9"
#
# 2. Подгрузка модулей.
#
# Проверка зависимостей модулей.
#
/sbin/depmod -a
#
# 2.1 Подгрузка необходимых модулей (нужное раскомментировать).
#
#
#/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
#/sbin/modprobe iptable_filter
#/sbin/modprobe iptable_mangle
#/sbin/modprobe iptable_nat
#/sbin/modprobe ipt_LOG
#/sbin/modprobe ipt_limit
#/sbin/modprobe ipt_state
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc
#
# 4. Настройка правил.
#
# 4.1 Таблица Filter
#
# 4.1.1 Политики по умолчанию
#
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
# 4.1.2 Создание пользовательских цепочек
#
# Создание цепочки для "плохих" пакетов
#
$IPTABLES -N bad_tcp_packets
#
# Создание отдельных цепочек для различных протоколов
#
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
$IPTABLES -N verify
$IPTABLES -N yes_no_443
$IPTABLES -N trafficcount
$IPTABLES -N secured
#
# 4.1.3 Содержимое пользовательских цепочек
#
# Цепочка bad_tcp_packets
#
# Отфильтровываются все пакеты, которые распознаются как NEW, но не
# являются SYN пакетами, а также обрабатываются SYN/ACK пакеты,
# имеющие статус NEW.
# Эта цепочка может быть использована для защиты от вторжения
# и сканирования портов.
#
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
#
# Цепочка allowed
#
# Дополнительная проверка.
# По задумке цепочка вызывается из цепочки tcp_packets, на прошедшие
# проверку пакеты.
#
# Проверяем, является ли пакет SYN пакетом, т.е. запросом на соединение.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
#
# Пропускаем все пакеты с признаком ESTABLISHED и RELATED.
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# Сбрасываем все остальные пакеты.
$IPTABLES -A allowed -p TCP -j DROP
#
# Цепочка tcp_packets
#
# Рулит входящими tcp пакетами из инета.
#
# Открываем порт 22 - это SSH. Если не нужен - закомментируйте.
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $ADMIN_HOME_IP --dport 22 -j allowed
#
# Правила для UDP.
#
# В сетях Microsoft Вас может завалить бродкастами.
# Правило блокирует широковещательные пакеты, поступающие на порты
# со 135 по 139. Эти порты используются протоколами SMB и NetBIOS.
# Данное правило предотвращает переполнение таблицы трассировщика в
# сетях Microsoft.
#
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \
--destination-port 135:139 -j DROP
#
# Это правило блокирует DHCP запросы извне.
#
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
--destination-port 67:68 -j DROP
#
# Правила для ICMP.
# Тут проверяется тип ICMP сообщения. Пропускаются только
# ICMP Echo Request, TTL equals 0 during transit и
# TTL equals 0 during reassembly. Все остальные типы ICMP
# сообщений должны проходить и так, т.к. имеют состояние RELATED.
#
# Чтобы брандмауэр перестал откликаться на ping -
# закомментируйте эту строчку.
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
#
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
#
# Цепочка для подсчета трафика.
#
$IPTABLES -A trafficcount -p ALL -j RETURN
#
# Цепочка подсчета HTTPS трафика.
#
$IPTABLES -A secured -p tcp --dport $HTTPS -j RETURN
#
# Цепочка верификации IP адреса и MAC адреса пользователя.
#
# Тут поочередно всех проверяем на соответствие - если кто-то себе подставил
# чужой IP - его тупа сбросит.
#
$IPTABLES -A verify -p ALL -s $USER_1_IP -m mac --mac-source $USER_1_MAC -j RETURN
# ...
$IPTABLES -A verify -p ALL -s $USER_N_IP -m mac --mac-source $USER_N_MAC -j RETURN
# И напоследок - всем остальным DROP.
$IPTABLES -A verify -p ALL -j DROP
#
# Цепочка разграничения доступа к HTTPS.
#
# Тут поочередно проверяется, можно ли пользователю юзать протокол HTTPS. Если пользователя
# нет в этой цепочке - нельзя.
#
# (Например пользователям 1..M (M<N) - разрешено, остальным - нет).
# User1
$IPTABLES -A yes_no_443 -s $USER_1_IP -p tcp --dport $HTTPS -j secured
$IPTABLES -A yes_no_443 -s $USER_1_IP -p tcp --dport $HTTPS -j ACCEPT
#
# ....
#
# UserM
$IPTABLES -A yes_no_443 -s $USER_M_IP -p tcp --dport $HTTPS -j secured
$IPTABLES -A yes_no_443 -s $USER_M_IP -p tcp --dport $HTTPS -j ACCEPT
#
$IPTABLES -A yes_no_443 -i $LAN_IP_RANGE -p tcp --dport $HTTPS -j DROP
#
#
# 4.1.4 Цепочка INPUT.
#
#
# Фильтруем "плохие пакеты" через цепочку bad_tcp_packets.
#
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
#
# Пробиваем MAC и IP на соответствие.
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -j verify
#
# Правила для "своих" сетей, т.е. не для интернета.
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
#
# Специальное правило для DHCP запросов из LAN, которые не могут быть правильно перехвачены другим способом.
#
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
#
# Правила для пакетов, приходящих их интернета.
#
# Это правило эквивалентно правилу, стоящему в цепочке alowed и в некоторой степени
# является избыточным, однако, оно несколько разгружает сетевой фильтр,
# поскольку значительная доля трафика пропускается этим правилом и не проходит
# всю последовательность до цепочки alowed.
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j trafficcount
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
#
# Отправляем tcp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
#
# Отправляем udp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
#
# Отправляем icmp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
# Клиенты Microsoft Network имеют дурную привычку выдавать огромное количесво
# групповых пакетов в диапазоне адресов 224.0.0.0/8. Поэтому можно использовать данное
# правило для предотвращения засорения логов, в случае, если с внешней стороны
# имеется какая либо сеть Microsoft Network. Подобную же проблему решают два последних
# правила в цепочке udp_packets.
#
$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP
#
# Весь отбрасываемый траффик журналируется.
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
#
# 4.1.5 Цепочка FORWARD.
#
# Фильтруем "плохие пакеты".
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
# Пропускаем пакеты на известные и разрешенные хосты.
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_HICFTP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_FIL1 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_1 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_2 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_2_2 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_3_1 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_3_2 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_BANK_4_1 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL -p tcp --dport $MAIL_SMTP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL -p tcp --dport $MAIL_POP -j ACCEPT 
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL1 -p tcp --dport $MAIL_SMTP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -d $IP_MAIL1 -p tcp --dport $MAIL_POP -j ACCEPT
# Пропускаем HTTPS мимо сквида, попутно считая.
$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j yes_no_443
# Пропускаем ответные пакеты в локальную сеть.
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j trafficcount
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# Весь отбрасываемый траффик журналируется.
#
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
#
# 4.1.6 Цепочка OUTPUT.
#
# Фильтруем "плохие пакеты".
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
# Правила OUTPUT, определяющие, какие IP будут допущены.
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#
# Весь отбрасываемый траффик журналируется.
#
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
#
# 4.2 Таблица nat.
#
# 4.2.4 Цепочка PREROUTING.
#
# Принимаем те http пакеты, которые всегда разрешены и идут
# мимо сквида до того, как они уйдут в сквид.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_HICFTP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_FIL1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_2_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_3_1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_3_2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_BANK_4_1 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $LAN_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_MAIL -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -d $IP_MAIL1 -j ACCEPT
# Принимаем HTTPS пакеты до того, как они уйдут в сквид.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPT
# Перенаправляем все остальные пакеты на сквид.
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -j REDIRECT --to-ports $SQUID
#
# 4.2.5 Цепочка POSTROUTING.
#
# Включаем простой IP форвардинг и преобразование сетевых адресов.
#
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
#
# 5. Включение перенаправления пакетов (см. комментарий к п. 3.1).
# Для включения разкомментировать.
echo "1" > /proc/sys/net/ipv4/ip_forward
#
exit 0

ЗЫ - Немного не понял вот этого

Код: [Выделить]

# Банк-клиенты.

IP_ADMIN="192.168.1.101"
Как то не вяжется с этим:

Код: [Выделить]

LAN_IP="192.168.1.111"

Подразумевалось, что ЗАПРОСЫ, идущие НА адреса, указанные в этом разделе iptables должен пропускать мимо сквида. У меня там - реальные IP банков.

ЗЗЫ Вот этот мануал очень просветляет на тему iptables.

2> artem.ultra :
ИМХО маскарадинг тут не нужен (он обычно медленнее работает). Если комп-клиент на статическом IP и ему везде можно, то должно сработать что-то типа этого:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
# Путь до iptables
IPTABLES="/sbin/iptables"
# Внешний интерфейс - сеть.
INET_IFACE="eth0"
# Адрес.
INET_IP="10.0.198.10"
###################################################################
# Внутренний интерфейс - сеть.
HOME_IFACE="eth1"
# Адрес.
HOME_IP="192.168.1.1"
# Широковещательный адрес + маска подсети.
HOME_IP_RANGE="192.168.1.0/24"
####################################################################
# Loopback
LO_IFACE="lo"
LO_IP="127.0.0.1"
####################################################################
# Подгрузка модулей
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
#####################################################################
# Очистка iptables.
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
######################################################################
# Политики по-умолчанию.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
######################################################################
# Создаем цепочки.
$IPTABLES -N bad_tcp_packets # - фильтрует "хакерские" и другие "плохие" пакеты.
$IPTABLES -N allowed # - вызывается из "входящих" цепочек.
$IPTABLES -N tcp_packets # - цепочка для tcp пакетов
$IPTABLES -N udp_packets # - цепочка для udp пакетов
$IPTABLES -N icmp_packets # - цепочка для icmp пакетов
# Цепочка bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
# Цепочка allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
################################################################################
# Цепочки tcp, udp, icmp *_packets.
# Тут открываем/закрываем порты и айпишники доступные извне.

# Цепочка tcp_packets


# Цепочка udp_packets


# Цепочка icmp_packets

# Разрешаем пинг.
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

################################################################################

# Таблица filter
# Цепочка INPUT

# Все входящие tcp пакеты бросаем в цепочку bad_tcp_packets
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

# Принимаем "ответы".

# из инета.
$IPTABLES -A INPUT -i $INET_IFACE -p ALL -m state --state ESTABLISHED,RELATED \
-j ACCEPT

# из домашней сети - все принимаем.

$IPTABLES -A INPUT -p ALL -i $HOME_IFACE -j ACCEPT

# из "петли" - все принимаем.

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

################################################################################

# Входящие соединения - рулим пакетами.

$IPTABLES -A INPUT -i $INET_IFACE -p TCP -j tcp_packets

$IPTABLES -A INPUT -i $INET_IFACE -p UDP -j udp_packets

$IPTABLES -A INPUT -i $INET_IFACE -p ICMP -j icmp_packets

################################################################################

# Цепочка FORWARD.

# Фильтруем "плохие пакеты".
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# Пропускаем весь траффик из локальной сети без ограничений.
# Пропускаем ответные пакеты в локальную сеть.

$IPTABLES -A FORWARD -i $HOME_IFACE -j ACCEPT

$IPTABLES -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

################################################################################

# Цепочка OUTPUT.

# Фильтруем "плохие пакеты".
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets


# Правила OUTPUT, определяющие, какие IP будут допущены.

$IPTABLES -A OUTPUT -p ALL -j ACCEPT

################################################################################

# Таблица nat.

# Политики по-умолчанию.

#$IPTABLES -t nat -P INPUT DROP
#$IPTABLES -t nat -P OUTPUT DROP
#$IPTABLES -t nat -P FORWARD DROP


# Цепочка POSTROUTING.

# Включаем простой IP форвардинг и преобразование сетевых адресов.
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

################################################################################

# Включение перенаправления пакетов (см. комментарий к п. 3.1).

echo "1" > /proc/sys/net/ipv4/ip_forward

exit 0

[Bkmz]

Доброго времени суток. Ситация слдущая.
Поднял PPPoE сервер, написал веб-морду к /etc/ppp/chap-secrets все настроил, всё работает.
НО!!! инет идет напрямую, но нужно чтобы он ходил через squid. Думал прописать одно правило, котрое бы кидало всех, но там ведь когда подключаются, создается новый интерфейс. Поэтому не подходит. Думаю можно через айпишники, сейчас думаю
Собственно то что я придумал:
Есть два скрипта, которые выполняются по подключению и отключению ppp. /etc/ppp/ip-up и /etc/ppp/ip-down
Вот

Код: [Выделить]

cat /etc/ppp/ip-up | grep iptables:
#iptables -t nat -A PREROUTING -i "$1" -d ! "$5" -p tcp -m multiport --dport 21,80,8080,433 -j DNAT --to 10.10.0.1:3128

Код: [Выделить]

cat /etc/ppp/ip-down | grep iptables:
#iptables -D PREROUTING -s "$5" -d ! "$5"
Где $1 это имя создапваемого подключения, (ppp0) и $5 это IP адрес того кто подключается. (10.10.0.2)

Хочу узнать у вас, правильно ли будут удаляться правила, которые было созданы? Не будет миллион дублирующих?
Или подскажите одно универсально правило!? А то я только начал изучать iptables

[fat_hamster]

чесслово нет сил прочитать топик, чтобы понять, есть тут ответ для меня или нет

следующая ситуация: Ubuntu 7.1, одна сетевая смотрит в инет через adsl модем, другая - в windows-комп

все настроено, все работает, правила, кому что можно, кому нельзя (типа доступа в комп с работы по ssh), настраивад c shorewall

тут проапгрейдил модем на DSL-2600 - adsl-модем + WiFi-точка, пробросил в модеме порты, нигде ничего не менял, все продолжает работать

а вот тут мой вопрос: у модема два IP-адреса, один внешний, который выдает провайдер (92,12,34,56 какой нибудь), другой (192,168,1,1) смотрит внутрь, у точки как таковой своего IP нет (если есть, то я не разобрался значит пока, где он и как его "включить", модем у меня 2 дня всего пока), т.е. к 192,168,1,1 подключаются и комп с Ubuntu, на которой firewall собственно, и wifi устройства, которые получается я никак контролировать не могу, они же "мимо кассы" (в смысле мимо iptables проходят)

firewall модема отключен - т.к. вроде ж Ubuntu для этого есть; пока просто в модеме прописал мас-адреса, которым можно с модемом дружить..

хотелось бы просто услышать - как _правильно_ настраивать подобную конфигурацию?..

[Lion-Simba]

хотелось бы просто услышать - как _правильно_ настраивать подобную конфигурацию?..

Как вариант включить модем в режим Bridge, а pppoe соединение поднимать на Убунте.
Соответственно основным шлюзом у всех устройств в сети прописать IP убунты. Модем при этом ничего сам раздавать не будет.

[fat_hamster]

Как вариант включить модем в режим Bridge, а pppoe соединение поднимать на Убунте.

кажется не прокатит вариант - читал (форум на ixbt), что wifi тогда просто работать не будет на модеме..

[Lion-Simba]

Как вариант включить модем в режим Bridge, а pppoe соединение поднимать на Убунте.

кажется не прокатит вариант - читал (форум на ixbt), что wifi тогда просто работать не будет на модеме..

Ну, очевидно от модема зависит.
Тебе нужно будет настроить Wi-Fi на нем так, чтобы он просто работал в режиме точки доступа и в качестве шлюза по умолчанию всем раздавал не свой IP, а IP убунты с интернетом.

[G-Dogg]

У меня вроде все уже заработало, теперь просьба помоч написать скрип что б востанавливал все настройки iptables после перезагрузки системы.

пишешь iptables-save -c >  /etc/iptables-save
заходишь в файл /etc/rc.local перед строкой exit 0 пишешь cat /etc/iptables-save | iptables-restore -c

Усё.

Что-то у меня никак такое не получается. Уже несколкьо способов перепробовал,чтобы iptables загружать, ниче не канает. Вот так пробовал http://runtu.org/articles-manuals/34-settings-systems/54--ubuntu-iptables - редактор какой-то странный по команде sudo vi открывается, не дает мне вписать туда текст скрипта. Помогите

[G-Dogg]

создал файл  /etc/iptables

Код: [Выделить]

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/tcp_syncookies
IPT="/sbin/iptables"
LO_INTERFACE="lo"
WAN_INTERFACE="eth0"
NAT_INTERFACE="eth1"

$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X

$IPT -t filter -A INPUT -i $LO_INTERFACE -j ACCEPT
$IPT -t filter -A OUTPUT -o $LO_INTERFACE -j ACCEPT

$IPT -t nat -A POSTROUTING -o $NAT_INTERFACE -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE

пытаюсь автоматом загрузить не работает
пишу iptables-restore < /etc/iptables - ругается на ошибку в 3 строчке, причем если что-то другое написать, все равно ругается на 3 строку, помогите уже мне, как мне загружать автоматом правила для тэйблс - ничего не выходит (((((