HOWTO: Iptables для новичков

[tur22]

Странно но у меня не расшаривается интернет, не по мануалу не по любому из испробованных способов. сеть пингуется как с виндовой машины так и с Ubuntu,
ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:0a:eb:ac:c1:33 
          inet6 addr: fe80::20a:ebff:feac:c133/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8192 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6203 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:4572773 (4.5 MB)  TX bytes:1259129 (1.2 MB)
          Прервано:11 Base address:0xd000

eth1      Link encap:Ethernet  HWaddr 00:30:18:63:32:c4 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::230:18ff:fe63:32c4/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:66 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1319 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:5333 (5.3 KB)  TX bytes:88259 (88.2 KB)
          Прервано:10 Base address:0x2000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:736 errors:0 dropped:0 overruns:0 frame:0
          TX packets:736 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:82224 (82.2 KB)  TX bytes:82224 (82.2 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:94.181.36.185  P-t-P:91.144.132.203  Mask:255.255.255.255
          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:5527 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6091 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:4175549 (4.1 MB)  TX bytes:1118239 (1.1 MB)

route

(Нажмите, чтобы показать/скрыть)

net132.144.91-2 *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth1
default         net132.144.91-2 0.0.0.0         UG    0      0        0 ppp0

знающие люди расскажите как реализовать простое расшаривание инета как в винде. Ubuntu у меня десктоп 

[AnrDaemon]

sudo iptables -t nat -L

[georgir]

Доброго времени суток. Воспользовавшись данным на первой странице мануалом пытаюсь написать себе конфигурацию для шлюза, брандмауэра и почтового сервера в одном.

(Нажмите, чтобы показать/скрыть)

#                                               eth0                      eth1
#          Внутренняя сеть --------------------[ маршрутизатор ]---------------------- Internet
#         10.0.1.0/24              10.0.1.1           внешний ip-адрес           81.9.18.237



OUR_NET = "10.0.1.0/24"
IPT = "iptables"

sysctl -w net.ipv4.ip_forward="1"
# здесь можно использовать echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.9.18.237

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

#Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления)

$IPT -A INPUT -i eth0 --source $OUR_NET --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим маршрутизатору отвечать компьютерам во внутренней сети:

$IPT -A OUTPUT -o eth0 --destination $OUR_NET --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений:

$IPT -A FORWARD -i eth0 --source $OUR_NET --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений:

$IPT -A FORWARD -i eth1 --destination $OUR_NET --match state --state ESTABLISHED -j ACCEPT

#Разрешим подключатся к vpn

$IPT -A INPUT -p TCP --dport 1723 -j ACCEPT
$IPT -A INPUT -p 47 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 1723 -j ACCEPT
$IPT -A OUTPUT -p 47 -j ACCEPT

#Разрешим трафик SMTP, POP, IMAP, UDP, HTTP/HTTPS

$IPT -A INPUT -p TCP --dport 25,110,143,80,443 -j ACCEPT
$IPT -A OUTPUT -p TCP --dport 25,110,143,80,443 -j ACCEPT
$IPT -A INPUT -p UDP --dport 87 -j ACCEPT
$IPT -A OUTPUT -p UDP --dport 87 -j ACCEPT

#Блокируем icmp трафик, не нужен он нам вообще

$IPT -A INPUT --fragment -p ICMP -j DROP
$IPT -A OUTPUT --fragment -p ICMP -j DROP

Где в данной конфигурации закралась ошибка? Прошу дать более менее развернутое описание, или указание на неработающую цепочку

[tur22]

sudo iptables -t nat -L

хмм не работает, хз, почему то не хочет открывать страницу
на виндовой машине днс прописан  адрес 192.168.0.3

[kolyan_k]

Доброго времени суток! уважаемые у меня есть вопрос...  если я правильно понимаю то :
iptables -A FORWARD -i eth1 --source 192.168.1.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --destination 192.168.1.0/24 --match state --state ESTABLISHED -j ACCEPT
по этим выраженим в инет выходит целая подсеть.... можно ли как нибуть сделать  определенные ip адреса скажем 192.168.1.1 192.168.1.3 или я не правильно понимаю???

[georgir]

Доброго времени суток! уважаемые у меня есть вопрос...  если я правильно понимаю то :
iptables -A FORWARD -i eth1 --source 192.168.1.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --destination 192.168.1.0/24 --match state --state ESTABLISHED -j ACCEPT
по этим выраженим в инет выходит целая подсеть.... можно ли как нибуть сделать  определенные ip адреса скажем 192.168.1.1 192.168.1.3 или я не правильно понимаю???

Под этим выражением сети разрешается выходить, а вот выходит она или нет зависит от таблицы nat.

iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o eth1(инет интерфейс) -j SNAT --to-source x.x.x.x (можно MASQUERADE)
iptables -t nat -A POSTROUTING -s 192.168.1.3/24 -o eth1(инет интерфейс) -p tcp -m tcp --dport 443 -j SNAT --to-source x.x.x.x (можно MASQUERADE)

как то так. с уважением

[terrible_user]

Доброго времени суток! уважаемые у меня есть вопрос...  если я правильно понимаю то :
iptables -A FORWARD -i eth1 --source 192.168.1.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --destination 192.168.1.0/24 --match state --state ESTABLISHED -j ACCEPT
по этим выраженим в инет выходит целая подсеть.... можно ли как нибуть сделать  определенные ip адреса скажем 192.168.1.1 192.168.1.3 или я не правильно понимаю???

Хм..
Первым действие ты разрешаешь исходящий из сети в интернет, тогда почему бы просто не указать  --source 192.168.1.3
если разрешение на 2 адреса, тогда будет проще всем запретить и отдельно разрешать, сколько адресов столько и строчек правил для каждого ip
кстати если сам сервер-шлюз  имеет 192.168.1.1 на eth1, то его трафик не проходит через FORWARD.
то достаточно будет только разрешить для ...1.3

Код: [Выделить]

iptables -A FORWARD -i eth1 --source 192.168.1.3 --match state --state NEW,ESTABLISHED -j ACCEPT

[AnrDaemon]

sudo iptables -t nat -L

хмм не работает, хз, почему то не хочет открывать страницу
на виндовой машине днс прописан  адрес 192.168.0.3

Что не работает?? Ты хоть смысл этой команды понял, или вдолбил, не думая? А если я тебе cкажу rmrf от рута сделать - тоже сначала сделаешь, потом подумаешь?

[tur22]

Что не работает?? Ты хоть смысл этой команды понял, или вдолбил, не думая? А если я тебе cкажу rmrf от рута сделать - тоже сначала сделаешь, потом подумаешь?

ты же видишь количество моих сообщений, и участие на форуме, канечно тупо вдолбил
 
подозреваю что ключ -t указывает на таблицу nat,  - L хз

[Protopopulus]

tur22, в терминале: man iptables и узнаешь для чего какой ключ

[AnrDaemon]

Что не работает?? Ты хоть смысл этой команды понял, или вдолбил, не думая? А если я тебе cкажу rmrf от рута сделать - тоже сначала сделаешь, потом подумаешь?

ты же видишь количество моих сообщений, и участие на форуме, канечно тупо вдолбил
 
подозреваю что ключ -t указывает на таблицу nat,  - L хз

Ну так спроси, если не понимаешь... Не выключай мозг, не надейся, что придет добрый дядя и всё вдруг заработает.
Имей в виду, весь интернет хочет твоей смерти путем вторжения в задний проход.

[georgir]

Но но, не надо путать свои желания вторжения, с желаниями всего интеренета
И дабы мой пост не был тупым троллингом, поясню: iptables -t nat (указываем таблицу) -L (смотрим правила). Вместо ключа -L, можно указать ключ -F(а вот тут почитайте сами).

[tur22]

ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:0a:eb:ac:c1:33
          inet6 addr: fe80::20a:ebff:feac:c133/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8192 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6203 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:4572773 (4.5 MB)  TX bytes:1259129 (1.2 MB)
          Прервано:11 Base address:0xd000

eth1      Link encap:Ethernet  HWaddr 00:30:18:63:32:c4
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::230:18ff:fe63:32c4/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:66 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1319 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:5333 (5.3 KB)  TX bytes:88259 (88.2 KB)
          Прервано:10 Base address:0x2000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:736 errors:0 dropped:0 overruns:0 frame:0
          TX packets:736 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:82224 (82.2 KB)  TX bytes:82224 (82.2 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)
          inet addr:94.181.36.185  P-t-P:91.144.132.203  Mask:255.255.255.255
          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:5527 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6091 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:4175549 (4.1 MB)  TX bytes:1118239 (1.1 MB)

route

(Нажмите, чтобы показать/скрыть)

net132.144.91-2 *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth1
default         net132.144.91-2 0.0.0.0         UG    0      0        0 ppp0

nat

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

фуф наконец то описался, просто трагичность ситуации заключается в том что инет на второй машине нужен как воздух, от этого и сижу на W-s. как только удастся разделить то времени для экспериментов будет значительно больше

Имей в виду, весь интернет хочет твоей смерти путем вторжения в задний проход.

Это действительно страшно

[mrBraun]

Никак не получается организовать проброс порта в локальную сеть. Шлюз работает, интернет раздает.
Прописал строку;
$IPTABLES -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 2 -j DNAT --to-destination 192.168.0.110:22
 (где 192.168.1.100 - это внешний ip,  192.168.0.110 это комп внутри сети к которому хотелось бы получить доступ).
При ssh name@192.168.1.100 вылетает по времени.
netstat 2-ой порт на 192.168.1.100 не видит.
 iptables -t nat -L выдает (dnat tcp anywhere 192.168.1.100  tcp dpt:2 to192.168.0.110:2)

~$ route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.10    0.0.0.0         UG    100    0        0 eth1


Пдскажите куда копать.

[AnrDaemon]

Ламер... Не использовать порты из первой тысячи для личных нужд!