HOWTO: Iptables для новичков

[fisher74]

тогда на "сервере", который видимо выступает шлюзом, пробрасывайте порт (для пущей защиты любой) на 22 порт прокси. И подключайтесь на тот самый "любой" порт шлюза из фулета.

(Нажмите, чтобы показать/скрыть)

PS пробрасывать так же как и радиву

[georgio]

тогда на "сервере", который видимо выступает шлюзом, пробрасывайте порт (для пущей защиты любой) на 22 порт прокси. И подключайтесь на тот самый "любой" порт шлюза из фулета.

(Нажмите, чтобы показать/скрыть)

PS пробрасывать так же как и радиву

А можно теперь мне перевод )))

[fisher74]

Когда нарисуете схему обсуждаемой сети с обозначением железок и их интерфейсов, тогда переведу. На пальцах рассказывать - я такие распальцовки не умею, а самому чертить/рисовать лениво.

[Vlad.V]

Подскажите кто знает, возможно вопрос не в эту тему или просто глупый, но я рискну))
Как блочить через iptables конкретные MAC-адреса - понятно, а есть ли возможность сделать так же как с портами, закрыть все, а потом открывать только те, которые нужны? Или как-то сравнивать МАК-адрес с темы которые есть, если совпадений нет - отбрасываем? Если просто не выдавать адреса новым клиентам через DHCP, то его можно вписать вручную, мне нужно чтобы даже если клиент имеет адрес он не мог пользоваться локалкой и интернетом пока его МАК-адреса нет в списке.
Спасибо!

[AnrDaemon]

По вашему вопросу сразу заметно, что вы не понимаете, что "блочить порты" это не одно и даже не два действия.
Для того, чтобы разрешить или запретить трафик конкретному сервису, надо:
1. проверить, совпадает ли несущий протокол с тем, по которому порт работает;
2. загрузить модуль обработки жтого протокола;
3. проверить, соответсвет ли идентификатор сервиса (порт) искомому;
4. наконец, принять решение о пропуске или блокировке.

Код: [Выделить]

iptables -t filter -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
.............................^^^^^^ ^^^^^^ ^^^^^^^^^ ^^^^^^^^^

[Vlad.V]

Мне хотелось бы понять можно ли блокировать клиентов (вообще такое возможно) по мак-адресу используя схему "разрешить только тем, кто в списке" я перефразирую.
С портами я уже разобрался, пусть и на все 100, но мне пока хватит. С этой темой я связался в первые в жизни, из-за это и пишу в тему для чайников))
Спасибо за ответ.

[fisher74]

механизм всё тот же что и с портами, и адресами, и протоколами.

[AnrDaemon]

Мне хотелось бы понять можно ли блокировать клиентов (вообще такое возможно) по мак-адресу используя схему "разрешить только тем, кто в списке" я перефразирую.
С портами я уже разобрался, пусть и на все 100, но мне пока хватит.

Как только разберётесь на все 100 - вы перестанете задавать подобные вопросы.
Перечитайте моё предыдущее сообщение.

[Vlad.V]

Как только разберётесь на все 100 - вы перестанете задавать подобные вопросы.

Да я бы рад разобраться на все 100, но поверьте, бывает иногда время которое называется "сейчас или никогда", так сложилось что пришлось все ПО не сервере перелопатить, нужно именно сейчас сделать раздачу интернета и защиту и еще много разного... Не думаю что Вам это интересно)) Я пытаюсь как можно меньше задавать вопросов и как можно больше находить информацию сам, так больше откладывается в памяти))

В итоге я получил вот такой список правил. К двум сетевухам добавился еще OpenVPN c tun0, вроде все работает, но есть но! При подключении к OVPN не идет пинг на сам сервер, т.е. 10.10.10.1,192.168.0.1, по сети пинг, вроде есть, в интернет пинг идет. Если убрать "iptables -P INPUT DROP", то пинг появляется. Не могу понять что я упустил, буду благодарен, если глянете мой скриптик.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward

EXT_ETH=eth1 #External
INT_ETH=eth2 #Internal
VPN=tun0 #OVPN 

#------------ INPUT SECTION
iptables -P INPUT DROP #close all ports for in-traff

#open 22 port
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
#open 80 port
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#open 1194 port
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT # Always accept loopback traffic

#------------ FORWARD SECTION
iptables -P FORWARD DROP #close all ports for forwarding

#open only 1194 port
iptables -A FORWARD -p udp --dport 1194 -j ACCEPT

iptables -A FORWARD -i $EXT_ETH -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_ETH -o $EXT_ETH -m iprange --src-range 192.168.0.1-192.168.0.13 -j ACCEPT
iptables -A FORWARD -i $VPN -o $EXT_ETH -m iprange --src-range 10.10.10.1-10.10.10.10 -j ACCEPT
iptables -A FORWARD -i $INT_ETH -o $EXT_ETH -j DROP

#------------ OUTPUT SECTION
iptables -P OUTPUT ACCEPT #open all ports for out-traff

#------------ TURN ON
iptables -t nat -A POSTROUTING -o $EXT_ETH -s 192.168.0.0/24 -j MASQUERADE #Turn on the NAT
iptables -t nat -A POSTROUTING -o $EXT_ETH -s 10.10.10.0/24 -j MASQUERADE


[AnrDaemon]

iptables-save
В подпись вставить, что ли?… Мы тут вам не онлайн интерпретаторы скриптов.

[fisher74]

При подключении к OVPN не идет пинг на сам сервер

Я Вам могу сказать, что его вообще никто не может пинговать. В скрипте нет ни одного намёка на icmp протокол

[Vlad.V]

При подключении к OVPN не идет пинг на сам сервер

Я Вам могу сказать, что его вообще никто не может пинговать. В скрипте нет ни одного намёка на icmp протокол

Понял, спасибо. Я думал что если его не запрещать, то он вроде как по умолчанию должен быть.
Спасибо!

[fisher74]

Этот протокол, как и любой другой (говорим исключительно про привычную нам сеть), бегает по ip. А значит для netfilter в плане анализа пакетов он от других не отличается.

[vlad001]

Здравствуйте! Есть программа на сервере, которая при её запуске/перезапуске слушает случайный порт. Вопрос, как открыть этот порт при условии что политика по умолчанию блокировать все входящие (входящие возможны только при их запросе)? Или нужно использовать фиксированный порт? Есть upnp (linux-igd), но насколько я понял, он действует для транзитных соединений.

[AnrDaemon]

Сказать программке использовать фиксированный порт, и открыть его.