HOWTO: Iptables для новичков

[InkVisitor]

редактор какой-то странный по команде sudo vi открывается, не дает мне вписать туда текст скрипта. Помогите

Попробуйте

Код: [Выделить]

sudo nano


[White Sloun]

создал файл  /etc/iptables

Код: [Выделить]

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/tcp_syncookies
IPT="/sbin/iptables"
LO_INTERFACE="lo"
WAN_INTERFACE="eth0"
NAT_INTERFACE="eth1"

$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X

$IPT -t filter -A INPUT -i $LO_INTERFACE -j ACCEPT
$IPT -t filter -A OUTPUT -o $LO_INTERFACE -j ACCEPT

$IPT -t nat -A POSTROUTING -o $NAT_INTERFACE -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE

пытаюсь автоматом загрузить не работает
пишу iptables-restore < /etc/iptables - ругается на ошибку в 3 строчке, причем если что-то другое написать, все равно ругается на 3 строку, помогите уже мне, как мне загружать автоматом правила для тэйблс - ничего не выходит (((((

Дак у тебя ж  /etc/iptables - это скрипт, его нужно запускать, а не скармливать на вход iptables-restore! Если хочешь через такую загрузку - сохраняй вывод iptables-save, а потом этот вывод скармливай iptables-restore.

[MadKox]

Или просто добавь в /etc/rc.local строчку /etc/iptables (предварительно убедись, что /etc/iptables исполняемый и работает нормально). Попробуй сначала просто выполнить в терминале

Код: [Выделить]

sudo /etc/iptables


[G-Dogg]

Или просто добавь в /etc/rc.local строчку /etc/iptables (предварительно убедись, что /etc/iptables исполняемый и работает нормально). Попробуй сначала просто выполнить в терминале

Код: [Выделить]

sudo /etc/iptables
[/quot]
сделал следующее
root@ubuntu:~# chmod +x /etc/iptables
root@ubuntu:~# sudo /etc/iptables

вот что написала мне консоль:
sudo: unable to execute /etc/iptables: No such file or directory

[MadKox]

создал файл  /etc/iptables

Точно создал?


ЗЫ - Вторую команду

Код: [Выделить]

root@ubuntu:~# sudo /etc/iptables надо без sudo, т.к. и так под рутом.

ЗЗЫ - и вообще, клади свой скрипт в /usr/sbin - так и путаницы меньше будет и запускать его можно будет просто набрав в консоли его название (из под рута или sudo).

[G-Dogg]

по статье, указанноой выше, где писался скрипт - не вышло, скрипт почему-то не срабатывал.
 зато помогло простое добавление строчки /usr/bin/rc.firewall в файл /etc/rc.local , само собой rc.firewall исполняемый. и все заработало. спасибо всем ,к то помогал.
ЗЫ. осталось научиться самому писать такие rc.firewall'ы по своим требованиям 

[HNKNTA]

можно ли при помощи iptables определенному приложению дать доступ только к нескольким сетевым интерфейсам, а не ко всем?

[MadKox]

Смотря какому 
iptables работает на уровне пакетов-протоколов-портов-... а не на уровне приложений. Но некоторые приложения используют определенные порты. Например apache по умолчанию сидит на 80-м порту. Соответственно если имеем, например eth0, lo, eth1, wlan0 и не хотим давать доступ к www серверу с eth1 - разрешаем входящий трафик с интерфейсов eth0, lo, wlan0 на 80-й порт, а с eth1 - запрещаем.

[HNKNTA]

MadKox спасибо за подсказку

[-sanches-]

можно ли при помощи iptables определенному приложению дать доступ только к нескольким сетевым интерфейсам, а не ко всем?

Можно фильтровать пакеты в зависимости от ID процесса (PID) и не только
man iptables

owner
       This module attempts to match various characteristics of the packet creator, for locally-generated packets.  It is only valid in the OUTPUT chain, and  even  this  some
       packets (such as ICMP ping responses) may have no owner, and hence never match.

       --uid-owner userid
              Matches if the packet was created by a process with the given effective user id.

       --gid-owner groupid
              Matches if the packet was created by a process with the given effective group id.

       --pid-owner processid
              Matches if the packet was created by a process with the given process id.

       --sid-owner sessionid
              Matches if the packet was created by a process in the given session group.

       --cmd-owner name
              Matches if the packet was created by a process with the given command name.  (this option is present only if iptables was compiled under a kernel supporting this
              feature)

       NOTE: pid, sid and command matching are broken on SMP

[HNKNTA]

нужно было ограничить торрент клиент, он использует определенный порт. вроде получилось, сделал скрипт, который при поднятии определенного интерфейса блочит нужный порт на этот интерфейс. спасибо за помощь

[Stiff]

можно ли при помощи iptables определенному приложению дать доступ только к нескольким сетевым интерфейсам, а не ко всем?

Можно фильтровать пакеты в зависимости от ID процесса (PID) и не только
man iptables

owner
       This module attempts to match various characteristics of the packet creator, for locally-generated packets.  It is only valid in the OUTPUT chain, and  even  this  some
       packets (such as ICMP ping responses) may have no owner, and hence never match.

       --uid-owner userid
              Matches if the packet was created by a process with the given effective user id.

       --gid-owner groupid
              Matches if the packet was created by a process with the given effective group id.

       --pid-owner processid
              Matches if the packet was created by a process with the given process id.

       --sid-owner sessionid
              Matches if the packet was created by a process in the given session group.

       --cmd-owner name
              Matches if the packet was created by a process with the given command name.  (this option is present only if iptables was compiled under a kernel supporting this
              feature)

       NOTE: pid, sid and command matching are broken on SMP

Уже долго ищу способ, как заставить работать pid-owner, sid-owner и cmd-owner?
Первые два работают, а вот про остальные в документации написано:

Код: [Выделить]

(Please  note:  This  option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux
kernel sources.  And if support for this option is available for the specific Linux kernel source version, that support might not be enabled
in the current Linux kernel binary.)


[-sanches-]

Если машина с несколькими ядрами, то не должно работать, судя по сообщению
 NOTE: pid, sid and command matching are broken on SMP

[AlexeyK]

Прошу подсказать по проблеме.
есть локальная сеть (отдел) и внешняя сеть eth1 (предприятие).Две сети связываются через роутер, с правилами iptables.
NAT поднимается командой:
$IPTABLES -t nat -A POSTROUTING -o eth1 -j SNAT --to-source $TO_IP  (адрес во внешней сети).

Можно ли поднимать NAT для определенного адреса из локальной сети, подставляя определенный адрес из внешней сети?
Делал так:
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.20 -j SNAT --to-source $10.60.1.6  (адрес во внешней сети).
не проходят пакеты.

Понимаю, что где-то не правильно, разбираться щас времени нету (завал на работе), а начальник требует еще вчера.
Помогите, плиз.

[Stiff]

Можно ли поднимать NAT для определенного адреса из локальной сети, подставляя определенный адрес из внешней сети?
Делал так:
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.20 -j SNAT --to-source $10.60.1.6  (адрес во внешней сети).
не проходят пакеты.

попробуй добавь iptables -t nat -A PREROUTING -d 10.60.1.6 -j DNAT --to-destination 192.168.0.20