HOWTO: Iptables для новичков

[-sanches-]

Доброго всем вечера!
Имеется следующе: сервер на убунте, стоит traffpro для учета трафика. на eth0 висит белый ип, по которому на eth1 раздается иет в серую сеть.
Собственно задача: есть ще один белый ип, который нужно дать клиенту в серой сети.
Вопрос: как собственно это грамотно организовать? Проброс портов не походит. нужно чтобы абсолютно весь трафик шел на комп клиента.
Заранее всем спасибо!

Белые ипы из разных сетей?

[danryx]

разные подсети.
первый
           ип 87.хх.хх.42
           маска 255.255.255.252
           шлюз 87.хх.хх.41
второй
           ип 87.хх.хх.30
           маска 255.255.255.252
           шлюз 87.хх.хх.29

[kvadrat095]

Люди добрые помогите.

Есть прокся на ubuntu две сетевухи eth0 локалка 192.168.0.1 eth1 инет ip статика
Суть проблемы: прописываю с другого инета прокси в браузере, внешний айпи + порт 3128 (работает через него), а это не есть гуд...
Почему то не работает редирект RDP на локальную машинку..
И как на счет безопасности данной конфы? соответствует ли правилу все, что не разрешено - Запрещено?
Подскажите, как быть?

Сильно не ругайте с Линкусом всего неделю.

конфа iptables (взял с форума):

#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 2525 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A FORWARD -i eth1 -o eth1 -j REJECT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -p tcp -d внешний_ип --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.1 --dport 3389 -j SNAT --to-source внешний_ип

[Tugarin]

Ребята, у меня проблема такая, после перехода на анлим появилось куча новых возможностей , а torrent не работает. Сам firewall писал мне хороший друг, я лишь попытался сиволапо дописать правила, чтоб   торрент-клиент на виндовой машине работал, но не получается, не работает торрент, не хочет качать. Вот что у меня есть, в чем проблема?

6880:6999 торрент клиент настроен на 1 из этих портов?

Именно, но не работает никак. Ой, соврал, работает не никак, а совершенно не так как нужно - изредка (раз в день) немножко покачает с одного пира и всё. Хотя дома под виндой таких проблем совсем нет, тот же самый торрент закачивается влёт

[-sanches-]

Ребята, у меня проблема такая, после перехода на анлим появилось куча новых возможностей , а torrent не работает. Сам firewall писал мне хороший друг, я лишь попытался сиволапо дописать правила, чтоб   торрент-клиент на виндовой машине работал, но не получается, не работает торрент, не хочет качать. Вот что у меня есть, в чем проблема?

6880:6999 торрент клиент настроен на 1 из этих портов?

Именно, но не работает никак. Ой, соврал, работает не никак, а совершенно не так как нужно - изредка (раз в день) немножко покачает с одного пира и всё. Хотя дома под виндой таких проблем совсем нет, тот же самый торрент закачивается влёт

Ну можно посмотреть, считает ли торрент-клиент указанный порт открытым. Если да, то тогда потестить utorrent под wine. Замечал, что некоторые торрент-клиенты в linux работают заметно хуже чем utorrent под wine.

[Tugarin]

Неа, вроде бы как не считает, пользую µTorrent, внизу горит желтый треугольник вместо зеленого кружка встроенный тест показывает, что порт закрыт

[-sanches-]

разные подсети.
первый
           ип 87.хх.хх.42
           маска 255.255.255.252
           шлюз 87.хх.хх.41
второй
           ип 87.хх.хх.30
           маска 255.255.255.252
           шлюз 87.хх.хх.29

ИМХО, лучше просить у провайдера сетку реальников и повесить себе на роутер, а потом раздавать реальники своим юзерам из выданой подсети.  
Еще можно повесить ип  87.хх.хх.30 на роутер и настроить NAT на фейковый ип, который будет на второй машине. 

[-sanches-]

Неа, вроде бы как не считает, пользую µTorrent, внизу горит желтый треугольник вместо зеленого кружка встроенный тест показывает, что порт закрыт

Попробуй это

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 6880:6999 \
-j DNAT --to $ADMIN_ADDR2поменять на

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 6880:6999 -m state  --state NEW,ESTABLISHED,RELATED \
-j DNAT --to $ADMIN_ADDR2

[Tugarin]

Не помогло к сожалению 

[danryx]

ИМХО, лучше просить у провайдера сетку реальников и повесить себе на роутер, а потом раздавать реальники своим юзерам из выданой подсети. 
Еще можно повесить ип  87.хх.хх.30 на роутер и настроить NAT на фейковый ип, который будет на второй машине.

Можно об обоих способах по подробнее??

[-sanches-]

Не помогло к сожалению 

Код: [Выделить]

nmap <ip> -p 6880-6999
Сканер портов что показывает?

[kvadrat095]

Добрых людей видимо нет...

Хотя бы подскажите почему редирект RDP не работает?

iptables -t nat -A PREROUTING -p tcp -d внешний_ип --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.1 --dport 3389 -j SNAT --to-source внешний_ип

Люди добрые помогите.

Есть прокся на ubuntu две сетевухи eth0 локалка 192.168.0.1 eth1 инет ip статика
Суть проблемы: прописываю с другого инета прокси в браузере, внешний айпи + порт 3128 (работает через него), а это не есть гуд...
Почему то не работает редирект RDP на локальную машинку..
И как на счет безопасности данной конфы? соответствует ли правилу все, что не разрешено - Запрещено?
Подскажите, как быть?

Сильно не ругайте с Линкусом всего неделю.

конфа iptables (взял с форума):

#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 2525 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A FORWARD -i eth1 -o eth1 -j REJECT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -p tcp -d внешний_ип --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.1 --dport 3389 -j SNAT --to-source внешний_ип

[Tugarin]

Не помогло к сожалению 

Код: [Выделить]

nmap <ip> -p 6880-6999
Сканер портов что показывает?

у меня какой-то урезаный linux, нету на нём такой команды

[Stiff]

у меня какой-то урезаный linux, нету на нём такой команды

нормальный у тебя linux, просто nmap не установлен

[Tugarin]

у меня какой-то урезаный linux, нету на нём такой команды

нормальный у тебя linux, просто nmap не установлен

Это да, но учитывая мой уровень познаний и степень удачливости при установке  nmap я обязательно  всё поломаю, хотя очень хочется попробовать