HOWTO: Iptables для новичков

[Tugarin]

Итак, nmap я установил, даже без проблем почему-то
на команду nmap 62.113.x.x -p 6880-6999 он ответил мне
Starting Nmap 4.76 ( http://nmap.org ) at 2009-02-12 14:34 UTC
All 120 scanned ports on pppoe-x-x.tver.ru (62.113.x.x) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds

тоже самое сдалал с компом, на котором должен работать торрент
Starting Nmap 4.76 ( http://nmap.org ) at 2009-02-12 14:35 UTC
All 120 scanned ports on 192.168.0.199 are filtered
MAC Address: 00:0C:6E:EF:44:A9 (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 3.80 seconds

Что-то не особо порты открылись.

[-sanches-]

Итак, nmap я установил, даже без проблем почему-то
на команду nmap 62.113.x.x -p 6880-6999 он ответил мне
Starting Nmap 4.76 ( http://nmap.org ) at 2009-02-12 14:34 UTC
All 120 scanned ports on pppoe-x-x.tver.ru (62.113.x.x) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds

тоже самое сдалал с компом, на котором должен работать торрент
Starting Nmap 4.76 ( http://nmap.org ) at 2009-02-12 14:35 UTC
All 120 scanned ports on 192.168.0.199 are filtered
MAC Address: 00:0C:6E:EF:44:A9 (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 3.80 seconds

Что-то не особо порты открылись.

Я ошибся. Надо на один из этих портов повесить какой-нибудь сервис, например в transmission запустить web-interface с портом 6880.  Затем просканировать сканером тот ип:порт, на котором запущен transmision. Проделать это на обоих компах. Тогда стане более понятно, в какую сторону копать. 

[Lieutenant]

Помогите пожалуйста.
заблокировал порт 27015 командой:
iptables -A OUTPUT -p udp --sport 27015 -j REJECT

теперь не знаю как разблокировать

[-sanches-]

Помогите пожалуйста.
заблокировал порт 27015 командой:
iptables -A OUTPUT -p udp --sport 27015 -j REJECT

теперь не знаю как разблокировать

Код: [Выделить]

iptables -D OUTPUT -p udp --sport 27015 -j REJECT


[Quickly]

Извените, но у меня проблема установил Ubuntu и не работает инет, инет через внутренюю сетку, сеть настроил вроде работает нормально, но инет не могу настроить, в Windows стоит программа "Трафик Инспектор" особых проблем не было указал сервер, имя и пароль все, нажал подключился, а вот здесь не могу разобраться, помогите

[mikhail]

Извените, но у меня проблема установил Ubuntu и не работает инет, инет через внутренюю сетку, сеть настроил вроде работает нормально, но инет не могу настроить, в Windows стоит программа "Трафик Инспектор" особых проблем не было указал сервер, имя и пароль все, нажал подключился, а вот здесь не могу разобраться, помогите

А интернет где не работает? На Linux компьютере или в локальной сети? Если не работает на Linux компьютере, то нужно быстренько настроить его, но необходимо знать как провайдер предлагает осуществлять подключение (PPPoE или VPN). Расскажите нам, пожалуйста.
Если интернет не работает в локальной сети то нужно:
- если вы получаете динамический адрес не забыть включить переменную ip_dynaddr вдобавок к ip_forward и написать одну строчку для маскарадинга вроде этой:

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -s 192.168.24.0/24 -o ppp0 -j MASQUERADE
- если у вас провайде выдает постоянный адрес то ip_dynaddr не надо включать и вместо маскарадинга можно добавить что-то вроде:

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -s 192.168.24.0/24  -j SNAT --to-source 85.236.85.99
Но это все уже писали выше... Поподробнее, что у вас?

[mikhail]

Доброго времени суток, всем читающим
У меня есть следующий праткический вопросик: как заставить один компьютер из квартирной локальной сети идти в интернет через ppp0 с помощью маскарадинга (один провайдер) а второй компьютер из квартирной локальной сети идти в интернет через ppp1 тоже с маскарадингом (другой провайдер)
Я пробовал добавлять в таблицу маршрутизации две маршрута к 0.0.0.0/0:

(Нажмите, чтобы показать/скрыть)

192.168.31.7    0.0.0.0         255.255.255.255 UH    0      0        0 eth1
192.168.24.202  0.0.0.0         255.255.255.255 UH    0      0        0 eth0
85.113.63.105   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
192.168.24.101  0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.24.2    0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.24.1    0.0.0.0         255.255.255.255 UH    0      0        0 eth0
85.236.160.0    0.0.0.0         255.255.224.0   U     0      0        0 eth1
172.30.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp1
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

И одновременно с этим заменял правило маскарадинга для всей моей локальной сети 192.168.24.0/24 через ppp0 на два отдельных правила для каждой машиный через разные ppp0 и ppp1 интерфесы соответственно. НЕ РАБОТАЛО. Наверное у брандмауера получилось два шлюза по умолчанию и он запутался?

Работает пока что все через один интерфейс вот так:
Интернет доступен через интерфейс ppp0 и динамически меняющийся ip адрес на eth2. За eth0 находится локальная домашняя сеть получающая интернет путем маскарадинга:

Код: [Выделить]

INET_IFACE="ppp0"
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
$IPTABLES -t nat -A POSTROUTING -s 192.168.24.0/24 -o $INET_IFACE -j MASQUERADE

За eth1 находится локальная сеть второго провайдера, маршрутизация к кторой представлена под спойлером и локальные ресурсы которой доступны из моей квартирной сети.
А ppp0 является шлюзом по умочанию в интернет. Получается интернет - от одного провайдера, сеть - от второго.

И вообще, реально-ли заставить отдельно взятые машины или порты из квартирной сети воспользоваться инетом того провайдера, который сидит за eth1 и ppp1 а другие - ppp0, соответственно?
Ниже приведен вывод ifconfig:

(Нажмите, чтобы показать/скрыть)

mike@ubuntu-server:~$ ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:1e:90:8a:42:63  
          inet addr:192.168.24.1  Bcast:192.168.24.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:90ff:fe8a:4263/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:78978260 errors:0 dropped:0 overruns:0 frame:0
          TX packets:87876076 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000 
          RX bytes:61172442679 (61.1 GB)  TX bytes:106523493967 (106.5 GB)

eth1      Link encap:Ethernet  HWaddr 00:30:4f:4d:8b:3f  
          inet addr:192.168.134.110  Bcast:192.168.134.255  Mask:255.255.255.0
          inet6 addr: fe80::230:4fff:fe4d:8b3f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32571746 errors:3 dropped:25 overruns:3 frame:0
          TX packets:32298798 errors:0 dropped:0 overruns:1 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:30780126808 (30.7 GB)  TX bytes:29367834253 (29.3 GB)
          Interrupt:21 Base address:0xe400 

eth2      Link encap:Ethernet  HWaddr 00:30:4f:54:bc:5b  
          inet6 addr: fe80::230:4fff:fe54:bc5b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:556920 errors:0 dropped:0 overruns:0 frame:0
          TX packets:757106 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:147016259 (147.0 MB)  TX bytes:789846035 (789.8 MB)
          Interrupt:20 Base address:0xe800 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:254 errors:0 dropped:0 overruns:0 frame:0
          TX packets:254 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:16044 (16.0 KB)  TX bytes:16044 (16.0 KB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:94.180.71.168  P-t-P:85.113.63.105  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:554143 errors:0 dropped:0 overruns:0 frame:0
          TX packets:756509 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:134435350 (134.4 MB)  TX bytes:773165775 (773.1 MB)

ppp1      Link encap:Point-to-Point Protocol  
          inet addr:85.236.184.222  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:1100 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1408 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:268840 (268.8 KB)  TX bytes:443458 (443.4 KB)

Такие вот идеи начинают появляться в голове после двухкратного прокуривания переведенного Руководства по Iptables (Iptables Tutorial 1.1.19)
Буду очень признателен господам профессионалам за дельный совет...

[Lion-Simba]

Доброго времени суток, всем читающим
У меня есть следующий праткический вопросик: как заставить один компьютер из квартирной локальной сети идти в интернет через ppp0 с помощью маскарадинга (один провайдер) а второй компьютер из квартирной локальной сети идти в интернет через ppp1 тоже с маскарадингом (другой провайдер)

Для этого нужно использовать iproute2.

Шлюз по умолчанию на серваке должен быть один (в подавляющем большинстве случаев) - тот, через который будет ходить в инет сам сервак.

Нам потребуется две дополнительные таблицы маршрутизации, объявим их в /etc/iproute2/rt_tables:

Код: [Выделить]

...
101  comp1
102  comp2
Числа 101 и 102 взяты произвольно из диапазона 1-255.

Теперь в каждую таблицу нужно положить свой шлюз по-умолчанию:

Код: [Выделить]

# ip route add default dev ppp0 table comp1
# ip route add default dev ppp1 table comp2
Замечу, что в таблицы можно добавить и другие маршруты по необходимости. Например, для доступа к каким-то локальным ресурсам того или другого провайдера.

Создадим правила для использования новых таблиц:

Код: [Выделить]

# ip rule add from 192.168.24.1 lookup table comp1
# ip rule add from 192.168.24.2 lookup table comp2
192.168.24.1 будет использовать таблицу comp1 и ходить через ppp0, а 192.168.24.2 будет использовать таблицу comp2 и ходить через ppp1.

Маскарадинг при этом можно здать примерно так:

Код: [Выделить]

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# iptables -t nat -A POSTROUTING -o ppp1 -j MASQUERADE

Но можно и как у вас, с дополнительным указанием подсети, которой разрешен маскарадинг. Главное, чтобы было правило для обоих интерфейсов.

[mikhail]

Ух-ты, Lion-Simba, спасибо большое!
В поисках инструкций по iproute2 нарыл себе перевод Linux Advanced Routing & Traffic Control HOWTO на OpenNET.
Непознанного но полезного материала на месяц вперед как минимум!

Да. Работает!!! И как оказалось пришлось добавить в новую таблицу еще и роутинг к локальной сетям провайдера и к нескольким домашним компьютерам, адреса которых, возможно, перекрываются с имеющимися в сети провайдера. Наконец-то самый дешевый тариф, который оплачивается только для поддержания обслуживания локальной сети тоже задействован.
Однако, заметил, что вот тут iproute2 не захотел принять команду:

Код: [Выделить]

# ip rule add from 192.168.24.1 lookup table comp1
# ip rule add from 192.168.24.2 lookup table comp2
Ругнулся, мол, неправильный аргумент "table"!
И принял вот таким образом:

Код: [Выделить]

# ip rule add from 192.168.24.1 table comp1
# ip rule add from 192.168.24.2 table comp2
Не подскажите что такое lookup в iproute2? В документации пока не наткнулся на это выражение.
Вот в разделе 4.2.1 Linux Advanced Routing & Traffic Control HOWTO есть пример правила, отвечающего за то, какая таблица будет использоваться при маршрутизации.

Код: [Выделить]

# ip rule add from $IP1 table T1
# ip rule add from $IP2 table T2

Можете привести какой-нибудь пример правила для iproute2 где будет использоваться команда lookup?
Так, из простого любопытства спрашиваю.

[slugg]

Приветствую, объясните мне что я делаю не так )

Код: [Выделить]

#!/bin/sh

UNPRIPORTS="1024:65535"
INET_IFACE="ppp0"

    # Сбросить правила и удалить цепочки.
    iptables -F
    iptables -X
   
    # Политики по умолчанию.
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT DROP

    # Разрешаем прохождение любого трафика по интерфейсу обратной петли.
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # SSH клиент (22)
    iptables -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport $UNPRIPORTS -j ACCEPT
    iptables -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 22 -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport 1020:1023 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1020:1023 --sport 22 -j ACCEPT

    # открываем порты 2106, 7777, 7778 с лимитом 200 пакетов в сек.
    iptables -A INPUT -p tcp -m limit --limit 200/sec -m tcp --dport 2106 -j ACCEPT
    iptables -A INPUT -p udp -m limit --limit 200/sec -m udp --dport 2106 -j ACCEPT
    iptables -A INPUT -p tcp -m limit --limit 200/sec -m tcp --dport 7777 -j ACCEPT
    iptables -A INPUT -p udp -m limit --limit 200/sec -m udp --dport 7777 -j ACCEPT
    iptables -A INPUT -p tcp -m limit --limit 200/sec -m tcp --dport 7778 -j ACCEPT
    iptables -A INPUT -p udp -m limit --limit 200/sec -m udp --dport 7778 -j ACCEPT
    iptables -A OUTPUT -p tcp -m limit --limit 200/sec -m tcp --dport 2106 -j ACCEPT
    iptables -A OUTPUT -p udp -m limit --limit 200/sec -m udp --dport 2106 -j ACCEPT
    iptables -A OUTPUT -p tcp -m limit --limit 200/sec -m tcp --dport 7777 -j ACCEPT
    iptables -A OUTPUT -p udp -m limit --limit 200/sec -m udp --dport 7777 -j ACCEPT
    iptables -A OUTPUT -p tcp -m limit --limit 200/sec -m tcp --dport 7778 -j ACCEPT
    iptables -A OUTPUT -p udp -m limit --limit 200/sec -m udp --dport 7778 -j ACCEPT


после исполнения данного скрипта должны закрыться все порты, открытыми должны остаться только 22, 2106, 7777, 7778 на всех сетевых соединениях.
с localhost все порты будут доступны или тоже только эти?

[Eretic1988]

Доброго времени суток.
Покурил мануалы, решил всёже проконсультироваться.Да и вопросы есть.
Если я хочу не пропускать пакеты с адреса 127.0.0.1 то пишется так?:
iptables -A INPUT -i eth0 -s 127.0.0.1 -p tcp --dport http -j DROP

А теперь вопросы:
1) sport и dport их отличие?Так понял запрещать разрешать порты.Какая разница в явном задании и буквенном?Если я вообще не укажу порты что будет по умолчанию?Или вообще ошибка будет?
2) iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
эти команды полностью сбрасывают прошлые настройки?
3) Все настройки сохраняется автоматом?

[mikhail]

А теперь ответы на вопросы: (сгласно руководству по iptables 1.1.19)
1а. Критерий --sport:

Код: [Выделить]

--sport, --source-port
Пример:

Код: [Выделить]

iptables -A INPUT -p tcp --sport 22


(Нажмите, чтобы показать/скрыть)

Исходный порт, с которого был отправлен пакет. В качестве параметра может указываться номер порта или название сетевой службы. Соответствие имен сервисов и номеров портов вы сможете найти в файле /etc/services. При указании номеров портов правила отрабатывают несколько быстрее. однако это менее удобно при разборе листингов скриптов. Если же вы собираетесь создавать значительные по объему наборы правил, скажем порядка нескольких сотен и более, то тут предпочтительнее использовать номера портов. Номера портов могут задаваться в виде интервала из минимального и максимального номеров, например --source-port 22:80. Если опускается минимальный порт, т.е. когда критерий записывается как --source-port :80, то в качестве начала диапазона принимается число 0. Если опускается максимальный порт, т.е. когда критерий записывается как --source-port 22:, то в качестве конца диапазона принимается число 65535. Допускается такая запись --source-port 80:22, в этом случае iptables поменяет числа 22 и 80 местами, т.е. подобного рода запись будет преобразована в --source-port 22:80. Как и раньше, символ ! используется для инверсии. Так критерий --source-port ! 22  подразумевает любой порт, кроме 22. Инверсия может применяться и к диапазону портов, например --source-port ! 22:80. За дополнительной информацией обращайтесь к описанию критерия multiport.

Если же вы не укажите порт, то ошибки не будет. Правило отработает по остальным критериям, которые в нем указаны, для всех допустимых портов. А явное и буквенное задание - для вашего удобства, в основном. Также, в случае числового задания номеров портов правила дожны обрабатываться быстрее... Немножко

1б. Критерий --dport:

Код: [Выделить]

--dport, --destination-port
Пример:

Код: [Выделить]

iptables -A INPUT -p tcp --dport 22
Описание:
     Порт или диапазон портов, на который адресован пакет. Аргументы задаются в том же формате, что и для --source-port.

2. Задание политик по-умолчанию.
Команда:

Код: [Выделить]

-P, --policy
Пример:

Код: [Выделить]

iptables -P INPUT DROP
Описание:
     Задает политику по-умолчанию для заданной цепочки. Политика по-умолчанию определяет действие, применяемое к пакетам не попавшим под действие ни одного из правил в цепочке. В качестве политики по умолчанию допускается использовать DROP и ACCEPT.

3.
Правила сохраняются автоматом. До первой перезагрузки. Способы сохранения и восстановления наборов правил описаны выше и в руководстве.

[Eretic1988]

Спасибо mikhail! Уважил! Пробуем тестим.

[MOPO3]

Доброго времени суток!
Прошу помощи. Клиенты локалки выходят в интернет через сервер. На сервере установлен сквид, весь трафик по 80 порту редиректится на сквидовский 3128. Сквид необходим, но часть программ использующих 80 порт через сквид работает некорректно.  Клиентская программа использует для работы 80 порт на конкретном (допустим 80.90.100.110) хосте.
Возможно ли с помощью iptables пускать в интернет с клиентских компов программы работающие по 80 порту на определенные IP минуя сквид? Как вариант рассматривал переназначение 80 порта при обращении определенному внешнему IP на клиентской машине на какой-то иной порт и последующее преобразование этого порта на сервере обратно на 80.
Возможно ли так сделать, имеет это смысл или существуют более простые способы?




все решилось добавлением строчки

Код: [Выделить]

-- iptables -t nat -A PREROUTING  -d ! 80.90.100.110 -p tcp --dport 80 -j REDIRECT --to-port 3128

[roma333]

Вопрос такой, если в терминале создешь правило с помощью iptables, то при перезапуске компьютера или при изменении его конфигурации (например поделючение ppp) сохраняются ли эти правила?