HOWTO: Iptables для новичков

[ANt1T]

Эмм... по поиску не нашел...
Доброго времени суток, подскажите плз.
Есть следующая ситуация.
Сеть в квартире + 2 канала интернет. 1 для впн (внешний ип), 2 для анлим инета. соответственно 2 роутера, пускающие инет в домашнюю сеть.
Как бы поставить Ubuntu сервер (2 сетевые карты), чтобы роутить впн трафик на один ИП, а весь остальной на другой(аська, скайп, инет...)?
Так вот, можете подсказать, как это всё лучше сотворить, самый простой конфиг, ничего не ограничевая. Просто маршрутизацию на такую прелесть. (с портами и правилами я вроде понял всё, сам настрою).
Спасибо.

[AnrDaemon]

Можетя буду глупо выглядеть, но все-же я новичек.
Вопрос не новый, но я уже устал бороться своими силами, в инете мног чего написано, но у меня ничего не получается.
Я сделел шлюз на Ubuntu-сервере...настроил DHCP, SQUID.
Мне нужно пробросить 3389 порт из интернета на внутренний комп (192.168.0.2)
eth0 - инет(ip xxx.xxx.xxx.xxx); eth1 - внутренняя сеть(192.168.0.1)

если не сложно, то укажите два варианта с внешней на внутреннюю.
прямой: 3389->3389
с изменением портов 12345->3389

Заранее благодарен

Добрый совет - не делать этого.
Воспользуйся умением SSH сервера(+клиентов) мапить порты.
RDP штука дырявая по определению.
Пользователь решил продолжить мысль 29 Мая 2009, 20:14:42:

Эмм... по поиску не нашел...
Доброго времени суток, подскажите плз.
Есть следующая ситуация.
Сеть в квартире + 2 канала интернет. 1 для впн (внешний ип), 2 для анлим инета. соответственно 2 роутера, пускающие инет в домашнюю сеть.
Как бы поставить Ubuntu сервер (2 сетевые карты), чтобы роутить впн трафик на один ИП, а весь остальной на другой(аська, скайп, инет...)?
Так вот, можете подсказать, как это всё лучше сотворить, самый простой конфиг, ничего не ограничевая. Просто маршрутизацию на такую прелесть. (с портами и правилами я вроде понял всё, сам настрою).
Спасибо.

Переведи на русский, а? Похоже, ты сам не представляешь ясно, что ты хочешь сделать.

[G-Dogg]

написал iptables скрипт для 3х ай пи (планируется для 60-70), хочу поинетересоваться - правильно ли
написал для 3х IP на основе МэдКоксовских рекомендаций и примеров. Вопрос в цепочке FORWARD :
1. может вместо -i надо -s ??
2. как правильно DROP-нуть
3. вообще правильно я сделал?

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

###########################################################################
# 1. Конфигурация.                                                        #
###########################################################################
# Здесь задаются основные настройки брандмауэра, которые зависят от Вашей конфигурации сети.
#

############################################################################
# 1.1 Настройки интернет.
#
# INET_IP - Здесь должен быть указан реальный IP адрес, выданный провайдером услуг доступа в интернет.
# INET_IFACE - устройство, через которое осуществляется подключение к интернет.
# INET_BROADCAST - широковещательный адрес.
#

INET_IP="xxx.xxx.xxx.xxx"
INET_IFACE="eth0"
#INET_BROADCAST=""
############################################################################
# 1.2 Настройки локальной сети.
#
# Конфигурация локальной сети.
# LAN_IP - локальный IP адрес брандмауэра.
# LAN_IP_RANGE - широковещательный адрес + маска подсети.
# LAN_IFACE - интерфейс, подключенный к локальной сети.
#

LAN_IP="192.168.1.6"
LAN_IP_RANGE="192.168.1.0/24"
LAN_IFACE="eth1"



############################################################################
# 1.4 Локальный интерфейс "loopback".
#

LO_IFACE="lo"
LO_IP="127.0.0.1"

############################################################################

############################################################################

#
# 1.5 Путь к файлу iptables (обычно "/usr/sbin/iptables" или "/sbin/iptables").
#

IPTABLES="/sbin/iptables"

# Очистка всех правил в iptables

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#
# 1.6 Дополнительно.
#

# Пользователи.

# Пользователь №1

USER_IP_1="192.168.1.10"
USER_MAC_1="00:1a:4b:c6:bc:6e"

# Пользователь №2

USER_IP_2="192.168.1.11"
USER_MAC_2="00:0f:fe:41:4c:87"

# Пользователь №3

USER_IP_3="192.168.1.12"
USER_MAC_3="00:0f:fe:00:00:87"


############################################################################################
# 2. Загрузка модулей                                                                      #
############################################################################################

#
# Проверка инициализации модулей
#

/sbin/depmod -a

#
# 2.1 Требуемые модули
#

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

#
# 2.2 Нетребуемые модули
#

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc



# 4. Настройка правил.
#

############################################################################################
# 4.1 Таблица Filter                                                                       #
############################################################################################

#
# 4.1.1 Политики по умолчанию
#

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# 4.1.2 Создание пользовательских цепочек
#

#
# Создание цепочки для "плохих" пакетов
#

$IPTABLES -N bad_tcp_packets

#
# Создание отдельных цепочек для различных протоколов
#

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#
# Создание цепочек для подсчета трафика
#

# Для общего трафика

$IPTABLES -N trafficcount

# Для https

$IPTABLES -N secured


#
# 4.1.3 Содержимое пользовательских цепочек
#


#
# Цепочка bad_tcp_packets
#
# Отфильтровываются все пакеты, которые распознаются как NEW, но не
# являются SYN пакетами, а также обрабатываются SYN/ACK пакеты,
# имеющие статус NEW.
# Эта цепочка может быть использована для защиты от вторжения
# и сканирования портов.
#

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#
# Цепочка allowed
#
# Дополнительная проверка.
# По задумке цепочка вызывается из цепочки tcp_packets, на прошедшие
# проверку пакеты.

# Проверяем, является ли пакет SYN пакетом, т.е. запросом на соединение.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT

# Пропускаем все пакеты с признаком ESTABLISHED и RELATED.
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

# Сбрасываем все остальные пакеты.
$IPTABLES -A allowed -p TCP -j DROP

#
# Цепочка tcp_packets
#
# По идее рулит входящими tcp пакетами из инета.
# Но поскольку у нас нет никаких инет-сервисов в локалке
# мы просто перекидываем все пакеты в allowed.

$IPTABLES -A tcp_packets -p TCP -s0/0 -j DROP

#
# Правила для UDP.
#

#
# В сетях Microsoft Вас может завалить бродкастами.
# Правило блокирует широковещательные пакеты, поступающие на порты
# со 135 по 139. Эти порты используются протоколами SMB и NetBIOS.
# Данное правило предотвращает переполнение таблицы трассировщика в
# сетях Microsoft.
#

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \
--destination-port 135:139 -j DROP

#
# Это правило блокирует DHCP запросы извне.
#

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
--destination-port 67:68 -j DROP

#
# Правила для ICMP.
# Тут проверяется тип ICMP сообщения. Пропускаются только
# ICMP Echo Request, TTL equals 0 during transit и
# TTL equals 0 during reassembly. Все остальные типы ICMP
# сообщений должны проходить и так, т.к. имеют состояние RELATED.
#
# Чтобы брандмауэр перестал откликаться на ping -
# закомментируйте эту строчку.

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A icmp_p -p ICMP -s 0/0 -j DROP

#
# Цепочка для подсчета трафика.
#
$IPTABLES -A trafficcount -p ALL -j RETURN


######################################################################
# 4.1.4 Цепочка INPUT.                                               #
######################################################################

#
# Фильтруем "плохие пакеты" через цепочку bad_tcp_packets.
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Правила для "своих" сетей, т.е. не для интернета.
#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT


#
# Правила для пакетов, приходящих из интернета.
#

# Это правило эквивалентно правилу, стоящему в цепочке alowed и в некоторой степени
# является избыточным, однако, оно несколько разгружает сетевой фильтр,
# поскольку значительная доля трафика пропускается этим правилом и не проходит
# всю последовательность до цепочки alowed.

# Каждое правило тут - сначала запускает пакет в цепочку подсчета трафика, затем обрабатывет далее

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j trafficcount
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT

# Отправляем tcp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets

# Отправляем udp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets

# Отправляем icmp пакеты в соответствующую цепочку.
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j trafficcount
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#
# Клиенты Microsoft Network имеют дурную привычку выдавать огромное количесво
# групповых пакетов в диапазоне адресов 224.0.0.0/8. Поэтому можно использовать данное
# правило для предотвращения засорения логов, в случае, если с внешней стороны
# имеется какая либо сеть Microsoft Network. Подобную же проблему решают два последних
# правила в цепочке udp_packets.
#

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "


# Все пропускаем.
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -j ACCEPT

#
# Из петли
#

# Все пропускаем.
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

####################################################################
# 4.1.5 Цепочка FORWARD.                                           #
####################################################################

# Фильтруем "плохие пакеты".

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets


# Пропускаем ответные пакеты в локальную сеть.

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j trafficcount
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#тут значит весь траф из локалки разрешен в интернет. пока что )
#$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -i $USER_IP_1 -p tcp -m multiport --destination-port 80,443,2044,5190 -j ACCEPT

$IPTABLES -A FORWARD -i $USER_IP_2 -p tcp -m multiport --destination-port 80,443,5190 -j ACCEPT

$IPTABLES -A FORWARD -i $USER_IP_3 -p tcp -m multiport --destination-port 80,5190 -j ACCEPT

$IPTABLES -A FORWARD -i $LAN_IFACE -j DROP



#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

###################################################################
# 4.1.6 Цепочка OUTPUT.                                           #
###################################################################

#
# Фильтруем "плохие пакеты".
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#
# Правила OUTPUT, определяющие, какие IP будут допущены.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

#
# Весь отбрасываемый траффик журналируется.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 Таблица nat.
#

#
# 4.2.1 Задаем политики по умолчанию.
#

#
# 4.2.2 Создаем пользовательские цепочки.
#



#
# 4.2.3 Содежимое пользовательских цепочек.
#

#
# 4.2.4 Цепочка PREROUTING.
#

#
# 4.2.5 Цепочка POSTROUTING.
#

#
# Включаем простой IP форвардинг и преобразование сетевых адресов.
#

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP


################################################################
# Защита от Syn flood атаки

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#
# 5. Включение перенаправления пакетов
# Лучше делать это в конце, ибо к моменту включения форвардинга все
# правила уже заданы.

echo "1" > /proc/sys/net/ipv4/ip_forward




exit 0

[Lion-Simba]

написал iptables скрипт для 3х ай пи (планируется для 60-70), хочу поинетересоваться - правильно ли
написал для 3х IP на основе МэдКоксовских рекомендаций и примеров. Вопрос в цепочке FORWARD :
1. может вместо -i надо -s ??

-i <имя входного интерфейса>
-s <IP-адрес источника пакета>

2. как правильно DROP-нуть

Смотря что нужно дропнуть.

[Tokh]

написал iptables скрипт для 3х ай пи (планируется для 60-70)... в цепочке FORWARD :
1. может вместо -i надо -s ??
3. вообще правильно я сделал?

Я так думаю, что надо и то и другое. Потому как нет гарантий, что на внешнем интерфейсе не окажутся входящие пакеты с внутренними адресами и наоборот. Эти возможности надо рассмотреть. Другое дело, что эти проверки можно растащить по разным цепям. Об этом ниже.

По части производительности.

Иногда бывает, что адресов гораздо больше чем нужных им портов. Я бы сделал как в http://www.opennet.ru/docs/RUS/iptables/index.html
Сначала выборка по протоколу (tcp, udp, ICMP), потом по номеру порта, потом уже по адресу клиента. Тогда получается, что правила меньше нагружают комп. И вместо Вашего "данный адрес может ходить через конкретный набор портов", получится "через данный порт и протокол может ходить кокретный набор адресов". Или другими словами, при этом получится для каждого протокола отдельная таблица (список) разрешённых портов (для ICMP нет понятия порт), а затем для каждого номера порта отдельная таблица допущенных адресов. Когда адресов много, то это ускоряет обработку.

Политика по умолчанию, настроена на DROP, т.е. она сбросит всё, что не было разрешено. Поэтому конкретно такие штуки как
$IPTABLES -A FORWARD -i $LAN_IFACE -j DROP
лишние.

Но такие блокировки могут быть полезны, если через интернет организован VPN канал, содержимое которого нельзя выпускать в интернет. Если канал "упадёт" и его виртуальный адаптер станет несуществующим, то при определённой конфигурации трафик для VPN канала может пойти напрямую в инет. Из этого и тогда, при таких сервисах напрямую надо резать, только резать надо не в этой цепи, а в POSTROUTING, в табличке nat, непосредственно перед действием SNAT или перед маскарадингом. И при этом учитывать IP адреса или их диапазон в сочетании с исходящим адаптером, равным инет адаптеру. В POSTROUTING уже последняя точка, там оказываются пакеты уже обработанные согласно маршрутов, поэтому именно такое надёжнее резать там. Надёжнее - на случай своих логических ошибок.

Я бы подумал над журналированием разрешённого трафика тоже. В случае споров это позволяет самому быть уверенным в том, что какой-либо факт был или не был.

Иногда из цепочки INPUT можно выкинуть всю локалку, но оставив только избранное. Тогда, кстати, может пригодиться предложенный выше подход. Для Forward уже есть цепочки-таблички "допушенных" адресов. А из цепи Input, точно также как и из Forward, можно передавать "ход" в теже самые цепочки-таблички "допушенных" адресов, что используются для Forward (одна цепочка-табличка может быть использована несколькими другими). Если это согласуется с задуманным. Задумать-то можно поразному...

[malartem]

Добрый совет - не делать этого.
Воспользуйся умением SSH сервера(+клиентов) мапить порты.
RDP штука дырявая по определению.

я б с большим удовольствием.....но к сожалению не знаю как.
мне просто нужно проборосить РДП... хотел iptables, но уже правил 20 пробывал, ниче не получается.
теперь не знаю, что делать
Пользователь решил продолжить мысль 01 Июня 2009, 07:34:07:так как-же мне пробросить порт 3389
Пользователь решил продолжить мысль 02 Июня 2009, 08:39:12:я так понимаю, тем кто спец в iptables или тем кто пробросил порт 3389 объяснить как это сделать не должно составить особого труда...
напишите если не так сложно...... очень надо

[AnrDaemon]

А почитать самому? Это настолько просто, что я даже не знаю, с чего начать объяснение.
Наверное, проще всего будет отослать к хелпу putty - после него всё должно стать кристалльно ясно.

[G-Dogg]

написал iptables скрипт для 3х ай пи (планируется для 60-70)... в цепочке FORWARD :
1. может вместо -i надо -s ??
3. вообще правильно я сделал?

Я так думаю, что надо и то и другое. Потому как нет гарантий, что на внешнем интерфейсе не окажутся входящие пакеты с внутренними адресами и наоборот. Эти возможности надо рассмотреть. Другое дело, что эти проверки можно растащить по разным цепям. Об этом ниже.

По части производительности.

Иногда бывает, что адресов гораздо больше чем нужных им портов. Я бы сделал как в http://www.opennet.ru/docs/RUS/iptables/index.html
Сначала выборка по протоколу (tcp, udp, ICMP), потом по номеру порта, потом уже по адресу клиента. Тогда получается, что правила меньше нагружают комп. И вместо Вашего "данный адрес может ходить через конкретный набор портов", получится "через данный порт и протокол может ходить кокретный набор адресов". Или другими словами, при этом получится для каждого протокола отдельная таблица (список) разрешённых портов (для ICMP нет понятия порт), а затем для каждого номера порта отдельная таблица допущенных адресов. Когда адресов много, то это ускоряет обработку.

Политика по умолчанию, настроена на DROP, т.е. она сбросит всё, что не было разрешено. Поэтому конкретно такие штуки как
$IPTABLES -A FORWARD -i $LAN_IFACE -j DROP
лишние.

Но такие блокировки могут быть полезны, если через интернет организован VPN канал, содержимое которого нельзя выпускать в интернет. Если канал "упадёт" и его виртуальный адаптер станет несуществующим, то при определённой конфигурации трафик для VPN канала может пойти напрямую в инет. Из этого и тогда, при таких сервисах напрямую надо резать, только резать надо не в этой цепи, а в POSTROUTING, в табличке nat, непосредственно перед действием SNAT или перед маскарадингом. И при этом учитывать IP адреса или их диапазон в сочетании с исходящим адаптером, равным инет адаптеру. В POSTROUTING уже последняя точка, там оказываются пакеты уже обработанные согласно маршрутов, поэтому именно такое надёжнее резать там. Надёжнее - на случай своих логических ошибок.

Я бы подумал над журналированием разрешённого трафика тоже. В случае споров это позволяет самому быть уверенным в том, что какой-либо факт был или не был.

Иногда из цепочки INPUT можно выкинуть всю локалку, но оставив только избранное. Тогда, кстати, может пригодиться предложенный выше подход. Для Forward уже есть цепочки-таблички "допушенных" адресов. А из цепи Input, точно также как и из Forward, можно передавать "ход" в теже самые цепочки-таблички "допушенных" адресов, что используются для Forward (одна цепочка-табличка может быть использована несколькими другими). Если это согласуется с задуманным. Задумать-то можно поразному...

Статью по iptables читал на 3 раза, все равно туплю, если бы мне на примере показали как разделить юзеров согласно вышенаписанному - был бы признателен

[AnrDaemon]

На листочке нарисуй схему. Поможет.

[malartem]

А почитать самому? Это настолько просто, что я даже не знаю, с чего начать объяснение.
Наверное, проще всего будет отослать к хелпу putty - после него всё должно стать кристалльно ясно.

я уже несколько раз весь мануал по iptables перечитал. Не помогает. Правила не срабатывают...
Проще говоря я сделал роутер по мануалу https://forum.ubuntu.ru/index.php?topic=3244.0
настроил dhcp сервер, поднял ssh, webmin(но он косячный, поэтому снес).. все работает.. инет у всех работает прекрасно, на клиентских машинах ниче прописывать не надо..
а вот пробросить порт из вне не могу.

пример правила 12345 -> 3389
iptables -A FORWARD -i eth0 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT 
iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 12345 -j DNAT --to-destination 192.168.0.2:3389

напрямую проброс 3389
iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 3389 -j DNAT --to-destination 192.168.0.2:3389 
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source ххх.ххх.ххх.ххх
iptables -A FORWARD -i eth0 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT

что не так?

[vivk]

может так?
sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.2 -p tcp -m multiport --dport 12345 -j DNAT --to ххх.ххх.ххх.ххх:3389

ну и в самом Squid убедится что порты открыты.

[malartem]

может так?
sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.2 -p tcp -m multiport --dport 12345 -j DNAT --to ххх.ххх.ххх.ххх:3389

ну и в самом Squid убедится что порты открыты.

Не сработало.
Где в Squide смотреть открытые порты?
Я в Squid у себя менял следующие правила:
http_port 3128 transparent
cache_dir ufs /var/spool/squid 100 16 256
acl our_networks src 192.168.0.0/24
http_access allow all

повторяю.. я новичек, поэтому и спрашиваю
сколько вообще нужно правил для проброски порта

все мои настройки связанные с доступом:
apt-get install dnsmasq
apt-get install ipmasq
apt-get install squid
/etc/squid/squid.conf
#изменения конфига
http_port 3128 transparent
cache_dir ufs /var/spool/squid 100 16 256
acl our_networks src 192.168.0.0/24
http_access allow all
iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

[AnrDaemon]

А почитать самому? Это настолько просто, что я даже не знаю, с чего начать объяснение.
Наверное, проще всего будет отослать к хелпу putty - после него всё должно стать кристалльно ясно.

я уже несколько раз весь мануал по iptables перечитал.
....
что не так?

Да хватит уже мучаться-то...
https://forum.ubuntu.ru/index.php?topic=58162

[malartem]

яж говорю я не спец
как с этим работать?
putty.exe -v -ssh -2 -P 22 -C -l user -pw password -R 3389:3389  xxx.dyndns.com, так я вижу на 127.0.0.1 rdp с
putty.exe -v -ssh -2 -P 22 -C -l user -pw password -R 3389:192.168.1.4:3389 xxx.dyndns.com

[AnrDaemon]

Млять, ну дал же тему... до конца почитать кто-то мешал, торопили? Со сковородкой занесенной над тобой стояли?
-R - мап порта из твоей сети в сеть сервера. Я могу представить себе, для чего это бывает надо, но оччень слабо.
-L - мап порта из сети сервера в твою. ЭТО тебе и надо.