HOWTO: Iptables для новичков

[nikulyan]

Прочёл всю тему не поленился, так вот, у многих спутниковый интернет, у меня то же......
Посоветуйте, что да куда копать, с чего начать, с двумя интерфейсами проще, отсюдо пришёл....
Туда ушёл..... Какие будут предложения .....

Я думаю, что без маскарада не отделатся, но он нагружает машину сильно, хотелось бы узнать
насколько сильно..... И как расчитать ....

[AnrDaemon]

nikulyan, я думаю, это тебе поможет.

[nikulyan]

БОЛЬШОЕ СПАСИБО !
ТЕМА ВОБЩЕ-ТО " ДЛЯ НОВИЧКОВ !"

Хоть как сильно нагружает ответить можно....
Как с тарелки ( с globax'а 127.0.0.1:3128 ) завернуть на squid

[AnrDaemon]

Для новичков, ты прав. Но есть разница между "новичек" и "нуб".
Поставь в сквиде тарелочку как парент прокси, а IPTABLES уже заверни на сквид.

[nikulyan]

Для новичков, ты прав. Но есть разница между "новичек" и "нуб".
Поставь в сквиде тарелочку как парент прокси, а IPTABLES уже заверни на сквид.

cache_peer 127.0.0.1 parent 1111 0 no-query default - так что ли ?
А вот как IPTABLES завернуть я не знаю - подскажите.....
Настроек сейчас у IPTABLES никаких, можно всё.....
и где мне правила строить, на dvb 0_0 или на ppp или и там и там....

[Tokh]

отсюдо пришёл.... Туда ушёл.....

По видимости, часто затруднение вызывает понимание того, в какой последовательности обрабатывается пакет. Где происходит маршрутизация, почему пакет идёт в INPUT или в FORWARD, в случае NAT, в какие именно моменты происходит замена адресов и портов назначения/источника.

В статье есть часть более общей схемы Kernel Packet Traveling Diagram http://www.docum.org/docum.org/kptd/

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

                            Network
                    -----------+-----------
                               |
                  +--------------------------+
          +-------+-------+        +---------+---------+
          |    IPCHAINS   |        |      IPTABLES     |
          |     INPUT     |        |     PREROUTING    |
          +-------+-------+        | +-------+-------+ |
                  |                | |   conntrack   | |
                  |                | +-------+-------+ |
                  |                | |    mangle     | | <- MARK WRITE  
                  |                | +-------+-------+ |
                  |                | |      IMQ      | |
                  |                | +-------+-------+ |
                  |                | |      nat      | | <- DEST REWRITE
                  |                | +-------+-------+ |     DNAT or REDIRECT or DE-MASQUERADE
                  |                +---------+---------+
                  +------------+-------------+
                               |
                       +-------+-------+
                       |      QOS      |
                       |    INGRESS    |
                       +-------+-------+
                               |
         packet is for +-------+-------+ packet is for
          this machine |     INPUT     | another address
        +--------------+    ROUTING    +--------------+
        |              |    + PDBB     |              |
        |              +---------------+              |
+-------+-------+                                     |
|   IPTABLES    |                                     |
|     INPUT     |                                     |
| +-----+-----+ |                                     |
| |   mangle  | |                                     |
| +-----+-----+ |                                     |
| |   filter  | |                                     |
| +-----+-----+ |                                     |
+-------+-------+                                     |
        |                               +---------------------------+
+-------+-------+                       |                           |
|     Local     |               +-------+-------+           +-------+-------+
|    Process    |               |    IPCHAINS   |           |    IPTABLES   |
+-------+-------+               |    FORWARD    |           |    FORWARD    |
        |                       +-------+-------+           | +-----+-----+ |
+-------+-------+                       |                   | |  mangle   | | <- MARK WRITE
|    OUTPUT     |                       |                   | +-----+-----+ |
|    ROUTING    |                       |                   | |  filter   | |
+-------+-------+                       |                   | +-----+-----+ |
        |                               |                   +-------+-------+
+-------+-------+                       |                           |
|    IPTABLES   |                       +---------------------------+
|     OUTPUT    |                                     |
| +-----------+ |                                     |
| | conntrack | |                                     |
| +-----+-----+ |                                     |
| |   mangle  | | <- MARK WRITE                       |
| +-----+-----+ |                                     |
| |    nat    | | <-DEST REWRITE                      |
| +-----+-----+ |     DNAT or REDIRECT                |
| |   filter  | |                                     |
| +-----+-----+ |                                     |
+-------+-------+                                     |
        |                                             |
        +----------------------+----------------------+
                               |
                  +------------+------------+
                  |                         |
          +-------+-------+       +---------+---------+
          |    IPCHAINS   |       |      IPTABLES     |
          |     OUTPUT    |       |    POSTROUTING    |
          +-------+-------        | +-------+-------+ |
                  |               | |    mangle     | | <- MARK WRITE  
                  |               | +-------+-------+ |
                  |               | |      nat      | | <- SOURCE REWRITE
                  |               | +-------+-------+ |      SNAT or MASQUERADE
                  |               | |      IMQ      | |
                  |               | +-------+-------+ |
                  |               +---------+---------+
                  +------------+------------+
                               |
                        +------+------+
                        |     QOS     |
                        |    EGRESS   |
                        +------+------+
                               |
                    -----------+-----------
                            Network



В общем-то это оно - схема прохождения пакета через компьютер, c пометками в каком месте надо делать NAT, в каких точках происходит маршрутизация, в каких точках, при необходимости, положено метить пакеты. Схема нагружена иллюстрацией ещё и для IPCHAINS, но IPCHAINS это предшественник iptables и большинству IPCHAINS не актуальны. Не осознав, не поняв этой схемы не получиться понять iptables.

Важный момент - независимо от направления и от интерфейса источника, все пакеты проходят одну и туже систему правил.

Правила iptables, о которых обычно идёт речь, не определяют куда пакет уйдёт. Правила iptables решают отбросить этот пакет или пропустить. А в какой интерфейс уйдёт пакет определяется не этими правилами. Хотя косвенно правила iptables могут повлиять, ведь действие NAT меняет пакет и тогда его маршрут может изменится.

Завернуть в Squid - это действие DNAT. В поиске выскочило вот это
https://forum.ubuntu.ru/index.php?topic=3244.msg119501#msg119501 + всё остальное... Делается примерно так.

P.S. Для новичков может быть неплох ufw. Надстройка над iptables, скрывающая детали iptables. Она может быть полезна для тех, у кого затеи просты и невелики. Остальные такие надстройки графические, из того что я видел. А вот ufw для командной строки, для совсем чайников, не нуждающихся в деталях, но желающих настроить себе фаервол из командной строки. Но и эта тема не для них.

P.S.S. AnrDaemon, нуб это сокрашение от newbie? Так newbie это и есть новичок, неофит, чайник, начинающий. Способный в будущем чему-то научиться, в отличии от белого пушистого зверька ламера или гара.

[AnrDaemon]

[off]Newbie - новичек, который может и хочет учиться.
noob - быдло, ничего не знающее и не считающее нужным учиться.[/off]

nikulyan, у тебя явные проблемы с пониманием того, как система работает.
Нарисуй на бумажке, со стрелочками "отсюда пришли, туда ушли, вернулись с ответом". Станет намного понятнее, уверяю.

[nikulyan]

[off]Newbie - новичек, который может и хочет учиться.
noob - быдло, ничего не знающее и не считающее нужным учиться.[/off]

nikulyan, у тебя явные проблемы с пониманием того, как система работает.
Нарисуй на бумажке, со стрелочками "отсюда пришли, туда ушли, вернулись с ответом". Станет намного понятнее, уверяю.

Не оскорбляйте.......
Я только начал, просто у меня сейчас сесия..... а тут подарили Р - III..... Хочется поскорей шлюз поднять....
На счёт "noob - быдло, ничего не знающее и не считающее нужным учиться" - я около десятка книг по Linuxу купил,
и не всегда там описывается, что нужно, в основном одно и то же, а терпение у меня имеется, и только закончу сессию, я и тебя заткну AnrDaemon .....
Три недели, всего, за Linux'ом, а меня - быдло, ничего не знающее и не считающее нужным учиться !
В винде долго просидел..... Теперь всё.... всё по другому.... тяжело, но своё я возьму....
Вот это приветливый народ - пользователи Linux.....

P.S. На днях придёт - Немет Э., Снайдер Г., Хейн Т. "Руководство администратора Linux", 2-е издание

[AnrDaemon]

1. Это был оффтоп, ни к кому в топике не относящийся. Если ты каждое слово, сказанное в твоем присутствии, будешь принимать на свой счет - плохо кончишь.
2. Я тебе без всяких шуток предложил способ, испробованный мной самим - взять бумагу, карандаш (простой карандаш, чтобы стереть можно было), НАРИСОВАТЬ путь трафика в твоей системе.
Я тебе гарантирую, что решение после этого станет кристалльно ясным. По крайней мере в теории. Которую уже с помощью книг нетрудно будет переложить в практику.
Ибо сидеть и читать талмуды можно только если у тебя куча времени, которое нечем занять.
А когда хочешь "побыстрее поднять шлюз" - нужно и шевелиться побыстрее. Не сидеть и читать в надежде, что на следующей страничке будет готовое решение, а реально решать проблему.

[nikulyan]

Я на счёт нарисовать - уже принял....
Третью неделю почти не сплю, днём сесия ---> ночь мануалы...
Засосало.... Ось понравилась....

[AnrDaemon]

Ну тогда вот.
https://forum.ubuntu.ru/index.php?topic=20334.msg427901#msg427901
Сам с этим маялся. Там сухая выжимка из той схемы двумя постами выше.

Неделю? Я третий месяц мучаюсь. Минус сессия плюс еще больше манов.

[byte916]

Ubuntu 9.04. Почему то после перезагрузки забывает всю iptables. Таблица целиком очищается. Ввожу эти правила:

Код: [Выделить]

sudo iptables -A OUTPUT -p TCP -o eth0 -m multiport --dports 137,138,139,445 -j DROP
sudo iptables -A OUTPUT -p UDP -o eth0 -m multiport --dports 137,138,139,445 -j DROP
. Как сделать чтобы правила запомнились на дольше чем до первой перезагрузки?

[AnrDaemon]

Прочитать топик до того, как постить - не?
Ссылка в моем предыдущем посте.

[byte916]

Прочитал...
Есть какой нибудь способ помимо перезагрузки, чтобы не вводить пароль каждый раз при загрузке?
т.е. я имею ввиду чтобы при загрузке не появлялась командная строка, в которую надо было бы написать пароль чтобы эти правила применились

[AnrDaemon]

Ничего не понял, какой пароль?