HOWTO: Iptables для новичков

[Stiff]

Народ помогите!!! В общем ситуация такая:
eth0 - интернет (по dhcp)
eth1 - локалка 10.10.10.0-255
ppp0 - vpn 10.249.5.0-255
НА сервере ubuntu8.10  поднят DHCP (eth1=10.10.10.1 раздает 10,10,10,5-254) и VPN (10.10.10.1, раздает 10,249,5,5-254 с выходом в инет)
Если на клиентской машине статически прописать адрес шлюза, моего eth1 (10.10.10.1) то он выбивает сервак...и у других клиентов тут же пропадает инет.
Какую команду нужно прописать чтобы заблокировать подмену ip моего интерфейса (ну типа чтобы этому компу вышла надпись что ip уже присвоен, как обычно ето бывает в Windowsких машинах)?

ps: я в этом деле новичок, все настраивал по мануалкам с нета, а вот про подмену ничего не нарыл. 

Коммутаторы в сети какие используются?
для решения вашей проблемы нужны управляемые железяки.

[zaslanec_13]

Народ помогите!!! В общем ситуация такая:
eth0 - интернет (по dhcp)
eth1 - локалка 10.10.10.0-255
ppp0 - vpn 10.249.5.0-255
НА сервере ubuntu8.10  поднят DHCP (eth1=10.10.10.1 раздает 10,10,10,5-254) и VPN (10.10.10.1, раздает 10,249,5,5-254 с выходом в инет)
Если на клиентской машине статически прописать адрес шлюза, моего eth1 (10.10.10.1) то он выбивает сервак...и у других клиентов тут же пропадает инет.
Какую команду нужно прописать чтобы заблокировать подмену ip моего интерфейса (ну типа чтобы этому компу вышла надпись что ip уже присвоен, как обычно ето бывает в Windowsких машинах)?

ps: я в этом деле новичок, все настраивал по мануалкам с нета, а вот про подмену ничего не нарыл. 

Коммутаторы в сети какие используются?
для решения вашей проблемы нужны управляемые железяки.

Обычные свитчи.
Не думаю, что можно реализовать ето только управляемыми свитчами...в Windowsких машинах данная функция включена (нет возможности присвоить ip если он используется на другой Windowsкой машине,даже в отсутсвии управляемых свитчей)
Вопрос как!?   

[Stiff]

А клиенты Windows или Linux?
Только что проверил на винде, прописываю ip, который уже есть (на Linuxовом сервере). Он присваивается (!) после чего появляются предупреждения о конфликте. Так что это защита только от случайного присвоения, кому надо - сделают

[zaslanec_13]

А клиенты Windows или Linux?
Только что проверил на винде, прописываю ip, который уже есть (на Linuxовом сервере). Он присваивается (!) после чего появляются предупреждения о конфликте. Так что это защита только от случайного присвоения, кому надо - сделают

клиенты Windows.
Так мне хотя бы сделать от случайного...Чтобы при смене ip другие клиенты в сети не страдали.

Можешь выслать команду(ы) для защиты от случайного присваивания?

[silent_lab]

 подскажите что может не так быть в iptables
структуры сети
adsl modem (ppoe)--->eth1---->squid+iptables+lawp+samba----->eth0------>локалная сеть
eth1 -->192.168.0.2
eth0--->192.168.1.1
хочется полностью защитьтся от атак с интернета
какя понял надо запретить все входящее или нет ! вот пример как у меня сейчас все сделано

#!/bin/bash # Включаем IP форвардинг echo "1" > /proc/sys/net/ipv4/ip_forward # Защита от Syn flood атаки echo "1" > /proc/sys/net/ipv4/tcp_syncookies IPT="/sbin/iptables" LO_INTERFACE="lo" WAN_INTERFACE="eth1" NAT_INTERFACE="eth0" # чистим все правила $IPT -t filter -F $IPT -t filter -X $IPT -t nat -F $IPT -t nat -X $IPT -t mangle -F $IPT -t mangle -X # защита от скрытого сканирования портов $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST  RST  -m limit --limit 15/minute -j ACCEPT # защита от атак с неправильными пакетами $IPT -A INPUT -p tcp --tcp-flags ALL       FIN,URG,PSH           -j DROP $IPT -A INPUT -p tcp --tcp-flags ALL       ALL                   -j DROP $IPT -A INPUT -p tcp --tcp-flags ALL       SYN,RST,ACK,FIN,URG   -j DROP $IPT -A INPUT -p tcp --tcp-flags ALL       NONE                  -j DROP $IPT -A INPUT -p tcp --tcp-flags SYN,RST   SYN,RST               -j DROP $IPT -A INPUT -p tcp --tcp-flags SYN,FIN   SYN,FIN               -j DROP # защита от провайдерства интернета $IPT -A INPUT -i eth1 -m ttl --ttl-lt 128 -j DROP $IPT -A INPUT -i eth1 -m ttl --ttl-gt 128 -j DROP # безлимитный трафик для lo интерфейса $IPT -t filter -A INPUT -i $LO_INTERFACE -j ACCEPT $IPT -t filter -A OUTPUT -o $LO_INTERFACE -j ACCEPT # Трансляция IP адресов (NAT) $IPT -t nat -A POSTROUTING -o $NAT_INTERFACE -j MASQUERADE $IPT -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE $IPT -t nat -A PREROUTING -s 192.168.1.0/24 -p udp -m multiport --dport 80,5190,8080 -j REDIRECT --to-port 3128 $IPT -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp -m multiport --dport 80,5190,8080 -j REDIRECT --to-port 3128

и еще немогу понять как правильно сделать прозрачный прокси всеравно надо указывать в настройках брайзера ip сервера но порт можно не минять ?акак чтоб етого не делать?сеть простая одноранговая без dns и всего прочего ? если можно помагите!

[Stiff]

А клиенты Windows или Linux?
Только что проверил на винде, прописываю ip, который уже есть (на Linuxовом сервере). Он присваивается (!) после чего появляются предупреждения о конфликте. Так что это защита только от случайного присвоения, кому надо - сделают

клиенты Windows.
Так мне хотя бы сделать от случайного...Чтобы при смене ip другие клиенты в сети не страдали.

Можешь выслать команду(ы) для защиты от случайного присваивания?

Какая крманда?  нету никакой команды. И сообщение появляется только у того клиента, кто сменил ip, другие не замечают
а так можешь попробовать создать на клиентах статическую запись arp с ip и mac сервера

[Lion-Simba]

Можешь выслать команду(ы) для защиты от случайного присваивания?

Какая крманда?  нету никакой команды.

Человек хочет сделать так, чтобы Linux машины тоже выдавали предупреждение о том, что установленный для них IP уже используется в сети.

[Twils]

Здарвствуйте. Скажите что я делаю не так?
Имеется ноутбук смотрящий в интернет через wifi карточку. имеется другой ноутбук не имеющий вафли. Два ноута соединены в сеть по проводам. Надо чтобы второй ноут имел инет. пропустить пакеты с вайфая на витую...
мои действия:
-первый ноут(в инет смотрящий) ubuntu на борту. второй - Win XP
-делаю sysctl -w net.ipv4.ip_forward="1"
что надо дописать в iptables чтоб все работало? накурилсо манов до головокружения но чтото не выходит...

[zloymih]

Ситуация:
Имеются комп и ноут.

в компьютере две сетевые карты:
 eth0 - смотрит в сеть 172.16.100.х и через нее же идет подключение к интернету через vpn.
 eth1 - смотрит  в сеть 192.168.0.х

VPN(pppo)<---------> eth0 [172.16.100.18]------iptables-----eth1[192.168.0.1]<--------->ноут [192.168.0.30]

На компе расшарил интернет по инструкции https://help.ubuntu.com/community/Internet/ConnectionSharing и с ноута можно выходить в инет.
В сети 172.16.100.х имеется некий dc++ хаб с которым ноутбук соединяется, но через некоторое время хаб разрывает соединение с ругательством "Your reported IP: 192.168.0.30 does not match your real IP: 172.16.100.18".

Вопрос:
1) Можно ли с помощью iptables сделать так, чтобы хаб думал что это комп с ним соединяется а не ноут?
2) разъясните правило "iptables -A POSTROUTING -t nat -j MASQUERADE"

и еще настройки iptables не сохраняются 
делаю так

Код: [Выделить]

auto lo
iface lo inet loopback


auto eth0
iface eth0 inet dhcp
up iptables-restore < /etc/network/iptables_rule
down iptable-save > /etc/network/iptables_rule

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
#gateway 192.168.0.1

Спасибо.

[MadKox]

В сети 172.16.100.х имеется некий dc++ хаб с которым ноутбук соединяется, но через некоторое время хаб разрывает соединение с ругательством "Your reported IP: 192.168.0.30 does not match your real IP: 172.16.100.18".

Если не путаю ничего - проблема в DC клиенте, т.к. он репортит не тот IPшник.

разъясните правило "iptables -A POSTROUTING -t nat -j MASQUERADE"

Это правило говорит iptables делать всем пакетам приходящим в таблицу nat в цепочку POSTROUTING маскарадинг. Обычно указывают через какой интерфейс маскарадить, например (пример из скрипта)

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

На третий вопрос не отвечу, т.к. использую "неправильный" способ инициализации фильтра - запускаю при загрузке скрипт из rc.local, который "настраивает" iptables.

[viktor1962]

viktor@viktor-desktop:~$ sudo iptables -L -n
sudo: unable to resolve host viktor-desktop
[sudo] password for viktor:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
viktor@viktor-desktop:~$ sudo route -n
sudo: unable to resolve host viktor-desktop
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eth0
у меня ситуация такая- Оставляю комп на загрузке, а он нескачивает до конца встаёт! Может дело в настройках я ужо и незнаю на что грешить? И ещё модем сам -когда захочет-перезагружается. Подскажите!

[Bart7]

zloymih
Надо сделать скрипт иполняемым:

Код: [Выделить]

sudo chmod +x '/путь/имя_скрипта'а потом сделать автозапуск:

Код: [Выделить]

update-rc.d имя_скрипта start 40 S . stop 89 0 6 .Пользователь решил продолжить мысль 23 Мая 2009, 19:59:21:Взял скрипт отсюда: http://www.posix.ru/network/iptables/, там написано, что сетевой интерфейс ppp0, а какой мне поставить, у меня модем стоит и провайдер мегалайн

[AnrDaemon]

Ыыы... я сделал это!
Сервер в сети, на одной карте два (три! пока три... старая сеть, новая сеть и сеть роутера) IP.
Локалка старая 192.168.x.0/24
Локалка новая 192.168.1.0/24
Сеть роутера 192.168.10.1/24

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.0.0/16 -j SNAT --to-source 192.168.10.3

iptables-save > /etc/iptables.up.rules

nano /etc/network/interfaces

В параметры внешнего интерфейса дописать
  pre-up iptables-restore < /etc/iptables.up.rules

*писаю кипятком* Всё, время за полночь, пополз домой...
Пользователь решил продолжить мысль 28 Мая 2009, 03:59:13:Теперь остался один, нет два... хм... в общем, есть вопросы.
Подскажите, правильно ли я понимаю, что пакет идет по одному из двух (грубо) маршрутов?

Не нам: mangle:PREROUTING -> nat:PREROUTING -> mangle:FORWARD -> filter:FORWARD -> mangle:POSTROUTING -> nat:POSTROUTING
Нам: mangle:PREROUTING -> nat:PREROUTING -> mangle:INPUT -> filter:INPUT
От нас: mangle:OUTPUT -> nat:OUTPUT -> filter:OUTPUT -> mangle:POSTROUTING -> nat:POSTROUTING

И если да, то не понятно, почему nat:OUTPUT -> filter:OUTPUT, а не наоборот?

[Lion-Simba]

Подскажите, правильно ли я понимаю, что пакет идет по одному из двух (грубо) маршрутов?

Не нам: mangle:PREROUTING -> nat:PREROUTING -> mangle:FORWARD -> filter:FORWARD -> mangle:POSTROUTING -> nat:POSTROUTING
Нам: mangle:PREROUTING -> nat:PREROUTING -> mangle:INPUT -> filter:INPUT
От нас: mangle:OUTPUT -> nat:OUTPUT -> filter:OUTPUT -> mangle:POSTROUTING -> nat:POSTROUTING

Угу. http://www.linuxtopia.org/online_books/opensuse_guides/opensuse11.1_reference_guide/graphics/fire_tables.png

И если да, то не понятно, почему nat:OUTPUT -> filter:OUTPUT, а не наоборот?

ХЗ. Я честно говоря еще ни разу не использовал цепочку OUTPUT таблицы nat. Несмотря на очень хитрые правила маршрутизации.

[malartem]

Можетя буду глупо выглядеть, но все-же я новичек.
Вопрос не новый, но я уже устал бороться своими силами, в инете мног чего написано, но у меня ничего не получается.
Я сделел шлюз на Ubuntu-сервере...настроил DHCP, SQUID.
Мне нужно пробросить 3389 порт из интернета на внутренний комп (192.168.0.2)
eth0 - инет(ip xxx.xxx.xxx.xxx); eth1 - внутренняя сеть(192.168.0.1)

если не сложно, то укажите два варианта с внешней на внутреннюю.
прямой: 3389->3389
с изменением портов 12345->3389

Заранее благодарен