HOWTO: Iptables для новичков

[electrohouse]

Помогите разобраться не могу добиться того чтобы 80,8080 порты заворачивались на squid transparent с портом 3128 , думаю дело в iptables , потому что если прописать прокси в браузере то в логах squid видны подлючения
ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr
          inet addr:192.168.80.73  Bcast:192.168.127.255  Mask:255.255.192.0
          inet6 addr: fe80::2e0:4cff:fe70:ee2e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:54884 errors:0 dropped:0 overruns:0 frame:0
          TX packets:121757 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10886757 (10.8 MB)  TX bytes:160329219 (160.3 MB)
          Interrupt:16 Base address:0xe800

eth1      Link encap:Ethernet  HWaddr
          inet addr:192.168.0.100  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::6e62:6dff:fee6:9ab1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23 errors:0 dropped:0 overruns:0 frame:0
          TX packets:148 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:1380 (1.3 KB)  TX bytes:15416 (15.4 KB)
          Interrupt:44

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:189210 errors:0 dropped:0 overruns:0 frame:0
          TX packets:189210 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:717395127 (717.3 MB)  TX bytes:717395127 (717.3 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)
          inet addr:192.168.0.100  P-t-P:192.168.0.235  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:4863 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6668 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1192883 (1.1 MB)  TX bytes:5031887 (5.0 MB)

iptables -t nat -L

(Нажмите, чтобы показать/скрыть)

*****@******:~$ iptables -L -n -v --line-numbers
iptables v1.4.12: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
server@Rustex:~$ sudo iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 30583 packets, 5182K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     269K  549M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 26986 packets, 12M bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      256 60439 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0
2        0     0 REJECT     all  --  eth0   eth0    0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
3       17   936 ACCEPT     all  --  ppp+   eth1    0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     all  --  eth1   ppp+    0.0.0.0/0            0.0.0.0/0
5        0     0 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0
6        0     0 REJECT     all  --  eth0   eth0    0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
7        0     0 ACCEPT     all  --  ppp0   eth1    0.0.0.0/0            0.0.0.0/0
8        0     0 ACCEPT     all  --  eth1   ppp0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 76385 packets, 109M bytes)
num   pkts bytes target     prot opt in     out     source               destination
*****@****:~$ sudo /etc/init.d/networking restart
 * Running /etc/init.d/networking restart is deprecated because it may not enable again some interfaces
 * Reconfiguring network interfaces...                                                                                                       ssh stop/waiting
ssh start/running, process 6531
RTNETLINK answers: File exists
Failed to bring up eth1.

/etc/nat

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

# Заворачиваем http на прокси
#iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.100:3128
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.100:3128
# VPN - PPTPD
iptables -A FORWARD -i ppp0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A INPUT -p gre -s 0/0 -j ACCEPT
iptables -A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 1723 j ACCEPT

                                                                                                             

[AnrDaemon]

Правила iptables показывайте. (iptables-save)
И опишите свою сеть нормально.
И скрипт этот уродливый тоже лучше убрать. Вообще из системы.

[fisher74]

Да там видимо всё надо выправлять.

1. Непонятно, что у Вас в мир смотрит. Почему адрес ppp0 совпадает с eth1? Неудачно сделали распределение сетей?
Видимо была неудачная попытка поднять bridge
Судя по маскараду eth0 смотрит в мир, но ....
2. В правилах, вы ждёте пакеты со стороны eth0 (вроде как смотрит в локальную сеть), но почему-то фильтруете dest-address для другой сети.
3. про использование DNAT вместо REDIRECT - это уже дело эстетики и загруженности ядра.

Покажите interfaces, и немного расскажите про строение сети.

[electrohouse]

Значит так: Система Ubuntu 12.04 desktop
1) eth0 смотрит к провайдеру ip получаю по DHCP
2)eth1 локалка соответственно ip адреса 192.168.0.0/24,
3)PPP интерфейс это vpn сервер pptpd поднят для удаленного доступа,просто на работе и дома один и тот же провайдер со своей локалкой!

Прошу не судите строго ,в первый раз с unix дело имею!Заранее спасибо!
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Thu Jul 25 13:39:21 2013
*nat
:PREROUTING ACCEPT [11064:1119847]
:INPUT ACCEPT [3387:654263]
:OUTPUT ACCEPT [3101:200919]
:POSTROUTING ACCEPT [3101:200919]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jul 25 13:39:21 2013
# Generated by iptables-save v1.4.12 on Thu Jul 25 13:39:21 2013
*filter
:INPUT ACCEPT [12784:2003758]
:FORWARD ACCEPT [263139:277691302]
:OUTPUT ACCEPT [7211:1079926]
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jul 25 13:39:21 2013

Interfaces

(Нажмите, чтобы показать/скрыть)

****@****:~$ cat /etc/network/interfaces
auto lo
iface lo inet loopback

#Интернет
auto eth0
iface eth0 inet dhcp
dns-nameservers 192.168.64.12, 192.168.64.8

#Локалка
auto eth1
iface eth1 inet static
address 192.168.0.100
netmask 255.255.255.0

post-up /etc/nat

 

[fisher74]

Ну, собственно, у Вас не правильно настроен маскарад. Это как минимум.
Правила редиректа здесь не видно, но по первому посту ясно, что настраиваете Вы его тоже не правильно

[electrohouse]

можно на примерах показать ? экспериментировать возможности нету!я щас по удаленке за сервером!если что нибудь не так сделаю,ехать далековато!

Или есть GUI интерфейс для iptables ??

[fisher74]

Всё написано доступно во II-м пункте
https://forum.ubuntu.ru/index.php?topic=107492.0

[kv_msn]

Доброго дня!
Есть точка доступа (hostapd+dnsmasq), при такой настройке iptables, не выдаются ip адр. по DHCP, статика работает. Статус dnsmasq в работе, рестарт не помогает.

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

echo "Loading iptables rules"

#Удалить все существующие правила
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Политики по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -i wlan0 --source 10.20.20.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp  -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o wlan0 --destination 10.20.20.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlan0 --source 10.20.20.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --destination 10.20.20.0/24 --match state --state ESTABLISHED -j ACCEPT

echo "Done"

 
iptables -L -v -n

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy DROP 171 packets, 19437 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    62 ACCEPT     all  --  wlan0  *       10.20.20.0/24        0.0.0.0/0            state NEW,ESTABLISHED
   76  4820 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   89  7428 ACCEPT     all  --  wlan0  *       10.20.20.0/24        0.0.0.0/0            state NEW,ESTABLISHED
   87  7308 ACCEPT     all  --  eth0   *       0.0.0.0/0            10.20.20.0/24        state ESTABLISHED

Chain OUTPUT (policy DROP 55 packets, 3792 bytes)
 pkts bytes target     prot opt in     out     source               destination
   55  6324 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            state NEW,ESTABLISHED
    1    62 ACCEPT     all  --  *      wlan0   0.0.0.0/0            10.20.20.0/24        state NEW,ESTABLISHED

[AnrDaemon]

iptables-save показывайте.

[kv_msn]

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.14 on Wed Jul 31 23:05:36 2013
*mangle
:PREROUTING ACCEPT [33:2869]
:INPUT ACCEPT [33:2869]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [73:5014]
:POSTROUTING ACCEPT [19:1365]
COMMIT
# Completed on Wed Jul 31 23:05:36 2013
# Generated by iptables-save v1.4.14 on Wed Jul 31 23:05:36 2013
*nat
:PREROUTING ACCEPT [28:2565]
:INPUT ACCEPT [14:889]
:OUTPUT ACCEPT [55:3741]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Jul 31 23:05:36 2013
# Generated by iptables-save v1.4.14 on Wed Jul 31 23:05:36 2013
*filter
:INPUT DROP [14:1676]
:FORWARD DROP [0:0]
:OUTPUT DROP [54:3649]
-A INPUT -s 10.20.20.0/24 -i wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.20.20.0/24 -i wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.20.20.0/24 -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.20.20.0/24 -o wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
COMMIT

[AnrDaemon]

-P OUTPUT ACCEPT
И все остальные правила из OUTPUT уберите.
Где у вас разрешение локального трафика?
Вы вообще топик читали, прежде чем в него писать?
На каждой странице же одно и то же повторяем.

[kv_msn]

Вроде нашел, проблема была в строке:
iptables -A INPUT -i wlan0 --source 10.20.20.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
заменил на:
iptables -A INPUT -i wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
На сколько правильно я понял, что при подкл. устр. не имеет ip из заданного диапазона, поэтому не подпадает под данное правило.
Остается вопрос почему рекомендуется делать так -P OUTPUT ACCEPT, а не фильтровать?
Основные задачи:
1. закрыть все входящие соед. на порты кроме 22 и 443
2. сделать доступ в интернет и внутр. сети
3. еще добавил это интересное правило:
-A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF --rsource -j DROP
-A INPUT -p tcp -m multiport ! --dports 22,443 -m recent --set --name FUCKOFF --rsource -j DROP

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.14 on Thu Aug  1 00:18:48 2013
*mangle
:PREROUTING ACCEPT [398:31707]
:INPUT ACCEPT [234:17931]
:FORWARD ACCEPT [164:13776]
:OUTPUT ACCEPT [153:14495]
:POSTROUTING ACCEPT [317:28271]
COMMIT
# Completed on Thu Aug  1 00:18:48 2013
# Generated by iptables-save v1.4.14 on Thu Aug  1 00:18:48 2013
*nat
:PREROUTING ACCEPT [8:559]
:INPUT ACCEPT [7:487]
:OUTPUT ACCEPT [7:487]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Aug  1 00:18:48 2013
# Generated by iptables-save v1.4.14 on Thu Aug  1 00:18:48 2013
*filter
:INPUT DROP [83:6960]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [166:16171]
-A INPUT -i wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m recent --rcheck --seconds 10 --name FUCKOFF --rsource -j DROP
-A INPUT -p tcp -m multiport ! --dports 22,443 -m recent --set --name FUCKOFF --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.20.20.0/24 -i wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.20.20.0/24 -i eth0 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Aug  1 00:18:48 2013

[AnrDaemon]

Оба варианта неправильные.
Смотрите примеры выше по топику.

[kv_msn]

Оба варианта неправильные.
Смотрите примеры выше по топику.

Ошибки в цепочке  FORWARD?
Пользователь решил продолжить мысль 02 Августа 2013, 14:07:28:Из темы раздаем бесплатный интернет соседям в подъезде по свитчу:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Так правильно?
iptables -t nat -A POSTROUTING ! -o wlan0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i wlan0 -j ACCEPT
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

Пользователь решил продолжить мысль 02 Августа 2013, 14:08:53:iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.14 on Thu Aug  1 02:09:06 2013
*mangle
:PREROUTING ACCEPT [570:47789]
:INPUT ACCEPT [320:26789]
:FORWARD ACCEPT [250:21000]
:OUTPUT ACCEPT [189:26820]
:POSTROUTING ACCEPT [439:47820]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Aug  1 02:09:06 2013
# Generated by iptables-save v1.4.14 on Thu Aug  1 02:09:06 2013
*nat
:PREROUTING ACCEPT [2:313]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING ! -o wlan0 -j MASQUERADE
COMMIT
# Completed on Thu Aug  1 02:09:06 2013
# Generated by iptables-save v1.4.14 on Thu Aug  1 02:09:06 2013
*filter
:INPUT DROP [133:11309]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [209:29172]
-A INPUT -i wlan0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Thu Aug  1 02:09:06 2013

[AnrDaemon]

nat/POSTROUTING - указывайте конкретный интерфейс для маскарадинга. А то получите замечательный такой бэкдор к lo.

filter/FORWARD сейчас смотрится намного лучше. Теперь приведите к аналогичному виду INPUT.