HOWTO: Iptables для новичков

[thunderamur]

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -o eth0 -d 192.168.1.0/24 -j ACCEPTтак?

[ArcFi]

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -o eth0 -d 192.168.1.0/24 -j ACCEPTтак?

Ну, да, типа того.

[thunderamur]

А остальные правила не вызывают подозрения на опытный глаз?
Комп будет напрямую к Инету включен, надо чтобы лишнее не пролазило.

[ArcFi]

А остальные правила не вызывают подозрения на опытный глаз?

Зависит от степени параноидальности.

У меня в правилах детализация вплоть до портов и ещё OUTPUT фильтруется.

[thunderamur]

ArcFi,
Ну сейчас у меня закрывается все, что приходит из вне, за исключением того, чтобы было запрошено внутри и своих внешних адресов.

Однако внешние адреса мне нужны только определенные порты, а в OUTPUT какие у тебя фильтры? Можешь скинуть кусок фильтрация портов и OUTPUT?

[ArcFi]

Однако внешние адреса мне нужны только определенные порты, а в OUTPUT какие у тебя фильтры? Можешь скинуть кусок фильтрация портов и OUTPUT?

Ну, кусок-то скинуть могу, только это мало что даст, ведь у вас могут быть совсем другие задачи.

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

# vpn.lan > virt.lan, main.lan, remote.lan: terminal.openssh.ssh, terminal.msrdp.rdp, terminal.tightvnc.vnc
-A FORWARD -s 10.8.28.0/24 -d 10.1.28.0/24 -i tun0 -o virbr1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,3389,5900 -j ACCEPT
-A FORWARD -s 10.8.28.0/24 -d 10.10.28.0/24 -i tun0 -o em2 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,3389,5900 -j ACCEPT
-A FORWARD -s 10.8.28.0/24 -d 10.11.28.0/24 -i tun0 -o tun0 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,3389,5900 -j ACCEPT

# vpn.lan > virt.lan/srv11: ad.dc.kerberos, ad.dc.dce.rpc, ad.dc.netbios.ss, ad.dc.ldap, ad.dc.smb, ad.dc.rpc, ad.dc.rpc, ad.dc.kerberos, ad.dc.netbios.ns, ad.dc.netbios.ds, ad.dc.ldap
-A FORWARD -s 10.8.28.0/24 -d 10.1.28.211/32 -i tun0 -o virbr1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 88,135,139,389,445,1025,1026 -j ACCEPT
-A FORWARD -s 10.8.28.0/24 -d 10.1.28.211/32 -i tun0 -o virbr1 -p udp -m conntrack --ctstate NEW -m multiport --dports 88,137,138,389 -j ACCEPT

# ======== output.general ========
# localhost > all: related, established, ping.icmp, loopback
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# ======== output.main.wan ========
# localhost > main.wan: squid.proxy.browser.ftp, mail.postfix.smtp, network.whois, network.dnsmasq.dns, squid.proxy.browser.http, squid.proxy.browser.https, mail.amavisd-new, squid.proxy.im.pidgin.icq.oscar, squid.proxy.im.pidgin.xmpp.c2s, im.ejabberd.xmpp.s2s, squid.proxy.kisu.http, squid.proxy.zwcad.http, squid.proxy.openpgp.http, network.dnsmasq.dns, time.chrony.ntp
-A OUTPUT -o em1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 21,25,43,53,80,443,2703,5190,5222,5269,8080,8888,11371 -j ACCEPT
-A OUTPUT -o em1 -p udp -m conntrack --ctstate NEW -m multiport --dports 53,123 -j ACCEPT

# ======== output.main.lan ========
# localhost > lan: terminal.openssh.ssh, browser.http, video.avanpost.http, ad.dc.kerberos, ad.dc.ldap, browser.https, share.smb, terminal.msrdp.rdp, terminal.tightvnc.vnc, network.dnsmasq.dhcp.ack
-A OUTPUT ! -o em1 -p tcp -m conntrack --ctstate NEW -m multiport --dports 22,80,81,88,389,443,445,3389,5900 -j ACCEPT
-A OUTPUT ! -o em1 -p udp -m conntrack --ctstate NEW -m udp --dport 68 -j ACCEPT

# ======== output.general ========
# localhost > all: reject
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited

[thunderamur]

ArcFi,
Конечно другие, но я не собираюсь его себе втыкать, я посмотрю, что и как ты фильтруешь, почитаю про незнакомые опции и подумаю нужно ли оно мне

Спасибо.

[thunderamur]

Нужно пропустить подключение по 3389 к серверу за шлюзом, где я не прав?

Код: [Выделить]

iptables -F FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -o eth0 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s $ip -d 192.168.1.46 -p tcp --dport 3389 -j ACCEPT
iptables -P FORWARD DROP

iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 195.208.35.31

iptables -F INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s $ip/32 -p tcp --dport 3389 -j ACCEPT
iptables -P INPUT DROP

iptables -F OUTPUT
iptables -P OUTPUT ACCEPT

[AnrDaemon]

iptables-save показывайте...
А вообще, много где. Смотрите выше, были примеры DNAT.

[insiki]

Пока читаю тему, задам несколько вопросов. Можно не отвечать полностью, а лишь направить в нужное русло.
Документация по IPTABLES и картинка с хождением пакетов под рукой

Есть 2 интерфейса:
eth0 - интернет
eth1 - локалка

1. Одно правила в IPTABLES для организации NAT в локалку достаточно? (В Керио на каждом правиле (если вы их делали для разных портов и тдотдельно) необходимо было включать НАТ). Речь о iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
2. Во многих фаерволах принцип работы идет сверху вниз, если вы прописали вверху - Заблокировать все, правила ниже работать не будут. Здесь же часто вижу, что пишут -P INPUT DROP, -P OUTPUT DROP, -P FORWARD DROP, а ниже уже идут другие правила этих же цепочек, и они работают. Непонятен немного принцип.
3. Маскарадинг и проброс HTTP-трафика на порт 3128 Сквида по шаблону сделал, HTTP страницы открываются,сейчас хочу разрешить пользователям локалки POP/SMTP трафик и HTTPS.
iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Удалить все существующие правила
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Политика по умолчанию
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP

#Установление соединения
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#iptables -t nat -A PREROUTING -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

#Разрешаем локальные соединения
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Разрешаем ICMP трафик
iptables -A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Разрешаем почту
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 25,110 -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

#Заворачивем  порты на прокси
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

iptables-save

(Нажмите, чтобы показать/скрыть)

root@proxy:~# iptables-save
# Generated by iptables-save v1.4.12 on Sat Jul 13 12:37:41 2013
*mangle
:PREROUTING ACCEPT [2443:655484]
:INPUT ACCEPT [2207:643960]
:FORWARD ACCEPT [228:11108]
:OUTPUT ACCEPT [2410:702154]
:POSTROUTING ACCEPT [2496:706670]
COMMIT
# Completed on Sat Jul 13 12:37:41 2013
# Generated by iptables-save v1.4.12 on Sat Jul 13 12:37:41 2013
*nat
:PREROUTING ACCEPT [66:3799]
:INPUT ACCEPT [153:8315]
:OUTPUT ACCEPT [202:12099]
:POSTROUTING ACCEPT [202:12099]
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Jul 13 12:37:41 2013
# Generated by iptables-save v1.4.12 on Sat Jul 13 12:37:41 2013
*filter
:INPUT ACCEPT [200:10613]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2296:693686]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sat Jul 13 12:37:41 2013
root@proxy:~#

Пользователь решил продолжить мысль 13 Июля 2013, 18:38:24:бррр, чего-то не пойму
В Prerouting в таблице Mangle я заворачиваю трафик идущий через порт 80,8080 на порт Squid 3128
В Input фильтрую входящие пакеты (они попадают в таблицу filter), определяю состояния пакетов, и если есть пакеты с состоянием Related (уже установленное соединение) или Established (новое соединение, связанное с уже установленным), то такие соединения разрешаются. Дальше разрешаю пакеты (из тех пакетов, что пустило предыдущее правило) идущие на 443,25,110 порты, то есть открываю эти порты на шлюзе.
В Forward фильтрую проходящие пакеты на другие хосты(они попадают в таблицу filter), определяю состояния пакетов, и если есть пакеты с состоянием Related (уже установленное соединение) или Established (новое соединение, связанное с уже установленным), то такие соединения разрешаются. Дальше разрешаю пакеты (из тех пакетов, что пустило предыдущее правило) идущие на или с 443,25,110 портов других указанных хостов.

Но когда я делаю правило с определением состояния пакетов в цепочке Forward, у меня идет трафик с клиентских машин по всем по любым портам, даже если я закомментирую правила на 443,25,110 порт этой цепочки, почта и HTTPS страницы открываются.Читаю мануал и пытаюсь понять - почему?

Еще непонятно, если Input и Forward в таблице трассировке не пересекаются (идут по сути разными путями) и уходят в разные стороны после Prerouting, то как они взаимосвязаны? т.е. зачем я должен открывать порты в цепочке Input?
iptables-save

(Нажмите, чтобы показать/скрыть)

root@proxy:~# iptables-save
# Generated by iptables-save v1.4.12 on Sat Jul 13 18:33:25 2013
*mangle
:PREROUTING ACCEPT [79:7072]
:INPUT ACCEPT [76:6679]
:FORWARD ACCEPT [3:393]
:OUTPUT ACCEPT [52:5950]
:POSTROUTING ACCEPT [55:6343]
COMMIT
# Completed on Sat Jul 13 18:33:25 2013
# Generated by iptables-save v1.4.12 on Sat Jul 13 18:33:25 2013
*nat
:PREROUTING ACCEPT [1:52]
:INPUT ACCEPT [1:52]
:OUTPUT ACCEPT [1:60]
:POSTROUTING ACCEPT [1:60]
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Jul 13 18:33:25 2013
# Generated by iptables-save v1.4.12 on Sat Jul 13 18:33:25 2013
*filter
:INPUT ACCEPT [1:52]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [63:7574]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sat Jul 13 18:33:25 2013
root@proxy:~#

iptables -t filter -L

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
root@proxy:~#

В голове сумбур, отдохнет пожалуй мозг, пока может кто чего разъяснит.

[AnrDaemon]

У вас в filter/INPUT не разрешен трафик из локальной сети. Вообще. Работает только потому, что пропускает вообще всё.
То же самое про filter/FORWARD.
Цепочка filter/OUTPUT не нужна.

[insiki]

У вас в filter/INPUT не разрешен трафик из локальной сети. Вообще. Работает только потому, что пропускает вообще всё.
То же самое про filter/FORWARD.
Цепочка filter/OUTPUT не нужна.

И как сразу не заметил? Правило разрешающее вообще все в Forward убрал и интернет работать стал только за счет Маскарадинга (если не прав - поправьте).
Получается так? (где eth0 - интерфейс внешний)

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
...
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT

А что по поводу моей трактовки цепочек и тд, можете дать комментарий? Где мысли верные, где нет.
Конечно, если это не отнимет у вас много времени. Штудирую пока тему, нашел уже ваши посты с обширными комментариями.
Спасибо.

[AnrDaemon]

В INPUT 22/25/110/443 порты есть смысл открывать, только если желаете принимать подключения из интернета по этим протоколам.
В FORWARD их открывать нет смысла вообще.

[insiki]

В INPUT 22/25/110/443 порты есть смысл открывать, только если желаете принимать подключения из интернета по этим протоколам.

Да, мне необходимо, чтобы клиентские машины из локальной сети могли ходить по HTTPS и забирать почту по pop/smtp/imap.
Для начала задача такая, дальше - разрешить работу mail.ru агент, 1C по впн и тд.

В FORWARD их открывать нет смысла вообще.

То есть сам по себе пакет, которые впустили мы через порт цепочке INPUT попадет через FORWARD тому, от кого был запрос, если есть правило с указанием источника, разрешающее эти запросы делать?
Я распечатал себе картинку, как пакеты ходят, но не пойму, как из INPUT пакет может попасть в FORWARD, если после обработки он идет в Postrouting. Или пакет может вернуться из INPUT через routing и пойти в Forward?
Глупость наверное, но понимания пока нет.

[AnrDaemon]

В INPUT 22/25/110/443 порты есть смысл открывать, только если желаете принимать подключения из интернета по этим протоколам.

Да, мне необходимо, чтобы клиентские машины из локальной сети могли ходить по HTTPS и забирать почту по pop/smtp/imap.

Вы невнимательно читаете то, что я пишу. Либо вообще не дочитываете.

В FORWARD их открывать нет смысла вообще.

То есть сам по себе пакет, которые впустили мы через порт цепочке INPUT попадет через FORWARD

Пакеты из INPUT никогда не попадут в FORWARD.