HOWTO: Iptables для новичков

[fisher74]

upnp как раз и решает такие проблемы, но его(upnp) должен поддерживать и запрашивающий порт софт.
А так-то лучше фиксированный...

[vlad001]

К сожалению для самого сервера не решает (для программ, работающих на нём). Собственно про фиксированный порт догадывался, значит так и придётся оставить. В данном примере порт выбирается автоматически, если ли смысл?

[vlad001]

Здравствуйте! Подскажите что-нибудь о расширении string (iptables ... -m string --hex-string ... --algo bm ...) и u32 (iptables ... -m u32 --u32 ...)?

[AnrDaemon]

http://lmgtfy.com/?q=iptables+strings+matcher

[vlad001]

К сожалению, это я всё видел...

[AnrDaemon]

Тогда больше ничем не можем вам помочь.
Возвращайтесь в школу, учитесь читать и составлять алгоритмы.
Программирование входит в базовый обязательный курс средней школы.

[ulan44]

Доброго времени суток, как можно в iptables разрешить доступ допустим к ресурсу который имеет поддомены третьего и последующие уровни? Допустим *.vk.com или *.twitter.com при этом данные ресурсы имеют по несколько ip адресов.
До пустим в squid можно сделать что-то на подобие белого листа в котором будут записи типа *.vk.com и он будет нормально работать с поддоменами или тот же microtik если в правилах указать что можно ходить на ресурс *.vk.com то он спокойно все проглотить и пропустит

[AnrDaemon]

Не путайте назначение инструментов.
iptables ничего о доменах не знает.
И ответ на ваш вопрос - "никак".

[Dark Smoke]

Добрый вечер
Не получается порезать 80 порт

Код: [Выделить]

iptables -F

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

iptables -A INPUT -p tcp -s 192.168.1.10 --dport 443 -j REJECT
iptables -A INPUT -p tcp -s 192.168.1.10 --dport 80 -j REJECT

iptables -A OUTPUT -p tcp -s 192.168.1.10 --dport 443 -j DROP
iptables -A OUTPUT -p tcp -s 192.168.1.10 --dport 80 -j DROP
В чем проблема?

[AnrDaemon]

Проблема в том, что вы
1. Не договорили задачу.
2. Не показываете всех правил (iptables-save).

[fisher74]

...
3. Не описываете как тестируете решение

[Dark Smoke]

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Sun Jan 31 11:28:01 2016
*mangle
:PREROUTING ACCEPT [46499085:42671196516]
:INPUT ACCEPT [7262918:10111242491]
:FORWARD ACCEPT [39271051:32559874761]
:OUTPUT ACCEPT [3916186:358957281]
:POSTROUTING ACCEPT [43187196:32918829582]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Jan 31 11:28:01 2016
# Generated by iptables-save v1.4.21 on Sun Jan 31 11:28:01 2016
*filter
:INPUT ACCEPT [12289:1076888]
:FORWARD ACCEPT [729940:705371035]
:OUTPUT ACCEPT [9240:812516]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 443 -j DROP
-A OUTPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 80 -j DROP
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Sun Jan 31 11:28:01 2016
# Generated by iptables-save v1.4.21 on Sun Jan 31 11:28:01 2016
*nat
:PREROUTING ACCEPT [13660:1095359]
:INPUT ACCEPT [1594:161832]
:OUTPUT ACCEPT [345:21456]
:POSTROUTING ACCEPT [351:23450]
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A PREROUTING -p tcp -m tcp --dport 4040 -j DNAT --to-destination 192.168.1.10:3389
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Jan 31 11:28:01 2016
Тестирую так, сажусь за компьютер 192.168.1.10 и пробую там зайти на интернет странички. Еще открываю в консоле iptables -L -n -v смотрю на кол-во пакетов.

[fisher74]

сажусь за компьютер 192.168.1.10 и пробую там зайти на интернет странички.

И таким образом цепочка INPUT остаётся в стороне

И это Вы должны были увидеть в :

открываю в консоле iptables -L -n -v смотрю на кол-во пакетов.

[Dark Smoke]

И таким образом цепочка INPUT остаётся в стороне

Да я вижу что там все по нолям. Не пойму почеу не срабатывает правило, и интернет есть на 192.168.1.10

[fisher74]

Ошибку я озвучил. Теперь Ваша задача проанализировать эту ошибку, двигаясь по схеме прохождения пакетов по netfilter, понять, что ошибка очевидна и исправить её.