HOWTO: Iptables для новичков

[mithrusc]

Здравствуйте, есть несколько простых вопросов по iptables
вот сделал примитивный конфиг с которым эксперементирую

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Tue Jul 21 05:17:49 2009
*filter
:INPUT DROP [2038:93041]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 137 --dport 32768:65535 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p udp -j RETURN
-A INPUT -p icmp -f -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 137:139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p udp -j ACCEPT
COMMIT
# Completed on Tue Jul 21 05:17:49 2009

запускается из /etc/network/if-up.d при поднятии интерфейса, знаю что извращение - но работает исправно, мне для эксперементов хватает.

Машина домашний мини сервер http / ftp / samba для небольшого количества поситителей.
Что хотелось бы знать
 - Как правильно запретить пинг по интерфейсу eth0 (интернет)

Код: [Выделить]

-A INPUT -p icmp -f -j DROP это запрещает обычный пинг, но таже nmap успешно сканирует машину.
-Нужно разрешить свободный доступ внутри диапазонов 192.168.0.100 -192.168.0.105(один из них пренадлежит серверу) (eth0 это, роутер)
-Как сделать чтобы с интерфейса eth1 раздавался интернет идущий на eth0? Разумеется повешу dhcp сервер а с eth1 пойдет кабель в свитч.
-Допустим мне нужно разрешить доступ к конкретному порту с конкретного ip
iptables A INPUT -s 192.168.0.102 -i eth0 -p tcp --dport 80 -j ACCEPT добавляет как диапазон адресов о.О
-и последний вопрос, как обьяснить то что когда я сканирую nmap'ом windows машину спрятанную за outpost уровень безопасности отображается как 260+, когда сканирую сервер 190+, хотя у windows машины открыто больше портов.

[terrible_user]

Здравствуйте, есть несколько простых вопросов по iptables
вот сделал примитивный конфиг с которым эксперементирую
....

Уж извени с save файлом я не дружу вот  пример в командах из скрипта, создается цепочка для обработки всяких пингов - соответственно что бы запретить меняеш на DROP

Код: [Выделить]

IPTABLES="/sbin/iptables"
# Обработка входящих icmp запросов (icmp-in)
        $IPTABLES -N icmp-in
        $IPTABLES -F icmp-in
        $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT
        $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type time-exceeded -j ACCEPT
        $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type destination-unreachable -j ACCEPT
        ## Разрешаем ping и т.п.
$IPTABLES -A INPUT -j icmp-in
то что ты сканируешь - это совсем другая тема


 

-Нужно разрешить свободный доступ внутри диапазонов 192.168.0.100 -192.168.0.105(один из них пренадлежит серверу) (eth0 это, роутер)

? ? ? ?

-Как сделать чтобы с интерфейса eth1 раздавался интернет идущий на eth0? Разумеется повешу dhcp сервер а с eth1 пойдет кабель в свитч.

При чет тут dhcp !?  Ключевые слова в поиске : iptables шлюз ubuntu nat


С указанием маски, или кучу правил поставить если диапазон разбросан


Думаешь уровень защиты 260+ этого будет достаточно ?

[mithrusc]

то что ты сканируешь - это совсем другая тема

ну nmap тоже пинг дает вначале о чем уведомляет

Думаешь уровень защиты 260+ этого будет достаточно ?

в каком смысле? насколько я понял там опредяется двумя или тремя фразами , что-то типа хорошая безопасность = > и комментарий сложность такая то - "удачи" , "легкая мишень"
и наверное смотря для чего.

Ключевые слова в поиске : iptables шлюз ubuntu nat

спасибо.

? ? ? ?

ну а что непонятно? допустим у меня роутер или машина раздает локальные адреса в этом диапазоне сама прикрыта фаерволлом, мне нужно разрешить хождение неограниченное трафика на любые порты в этом диапазоне ip

Уж извени с save файлом я не дружу

  так лучше?

(Нажмите, чтобы показать/скрыть)

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:netbios-ns:netbios-ssn
ACCEPT     udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn
ACCEPT     udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:32768:65535
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
REJECT     tcp  --  anywhere             anywhere            tcp flags:SYN,ACK/SYN,ACK state NEW reject-with tcp-reset
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       udp  --  anywhere             anywhere            udp dpt:netbios-dgm
REJECT     udp  --  anywhere             anywhere            udp dpt:113 reject-with icmp-port-unreachable
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
RETURN     udp  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:32768:65535
ACCEPT     udp  --  anywhere             anywhere            udp spts:32768:65535
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:netbios-ns:netbios-ssn
ACCEPT     udp  --  anywhere             anywhere            udp spts:netbios-ns:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT     udp  --  anywhere             anywhere            

Chain icmp-in (0 references)
target     prot opt source               destination        
REJECT     icmp --  anywhere             anywhere            state NEW icmp echo-request reject-with icmp-port-unreachable
REJECT     icmp --  anywhere             anywhere            state NEW icmp time-exceeded reject-with icmp-port-unreachable
REJECT     icmp --  anywhere             anywhere            state NEW icmp destination-unreachable reject-with icmp-port-unreachable

[vicerm]

Настроил ubuntu в качестве шлюза.
Инет раздается (squid). 
Проблема в получении почты. С pop-сервером соединяется, проходит авторизацию, определяется количество писем и все письма не скачиваются. Почта отправляется.

 

[kinderr]

Всем привет!
схема такая:
Интернет у меня раздает ubuntu 9.04 (eth0 - lan, eth1 - adsl) - за ним сейчас работаю. Настроена прокся - squid3.
внутрнення сеть (192.168.0.0/24) -> eth0 (192.168.0.8:2315 - squid3) -> eth1 (192.168.1.7) -> adsl (192.168.1.1) - internet

1. Полагаю нужно сделать forward
2. Дальше прописывать необходимые правила
Сейчас при отключенном фаерволе или включенном с разрешением вход соединений все работает (все прораммы нужные коннектятся). Попытался начать с этого http://easylinux.ru/node/190 но после отвалился инет как на моем компе, так и на клиентах. Обнулил все. попробовал в акой последовательности ввести команды (предварительно подкорректировав sysctl - на 1 исправил)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

Интернет отвалился как у меня, так и на клиентских машинах.
Подскажите, пожалуйста, с чего начать писать правила в моей ситуации?

[terrible_user]

Всем привет!
схема такая:
Интернет у меня раздает ubuntu 9.04 (eth0 - lan, eth1 - adsl) - за ним сейчас работаю. Настроена прокся - squid3.
внутрнення сеть (192.168.0.0/24) -> eth0 (192.168.0.8:2315 - squid3) -> eth1 (192.168.1.7) -> adsl (192.168.1.1) - internet

1. Полагаю нужно сделать forward
2. Дальше прописывать необходимые правила
Сейчас при отключенном фаерволе или включенном с разрешением вход соединений все работает (все прораммы нужные коннектятся). Попытался начать с этого http://easylinux.ru/node/190 но после отвалился инет как на моем компе, так и на клиентах. Обнулил все. попробовал в акой последовательности ввести команды (предварительно подкорректировав sysctl - на 1 исправил)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

Интернет отвалился как у меня, так и на клиентских машинах.
Подскажите, пожалуйста, с чего начать писать правила в моей ситуации?

Это все команды которые ты использовал?

[kinderr]

да, где что еще надо подкорректировать?
Пока начинаю только с серфинга. Потом уж постараюсь добавить правила для сего остального.

[TrEK]

мдя.. круто!
прочитай для начала хоть это...
https://forum.ubuntu.ru/index.php?topic=30793.0

[terrible_user]

мдя.. круто!
прочитай для начала хоть это...
https://forum.ubuntu.ru/index.php?topic=30793.0

Мне кажется это слишком жестоко в данной ситуации

2kinderr: Начинай с политики разрешения
1)

Код: [Выделить]

iptables -P OUTPUT ACCEPTТогда появится интернет на твоей машине
2) Что бы появился интернет в локалке нужно: это правило nat и второе собственно разрешение на продвижение (которое ты  вроде как-то изобразил)

[kinderr]

TrEK, спасибо за линк, почитаю, но думаю это немного не то. Я хотел бы понять порядок написания/выполнения правил. Мне не нужен готовый скрипт, который я вставлю в автозагрузку. Я напишу свой и пытаюсь начать с браузера. Сейчас у меня прекрасно все работает через сквид. Лимитирование скорости настрою в проксе. Я просто включаю фаервол и нужно прописать правила, вот какое первоге, с чего начать и порядок.
Пользователь решил продолжить мысль 24 Июля 2009, 10:49:41:terrible_user, да ты прав  , маленько жестоко.
какое правило nat?

[AnrDaemon]

Отмотай ЭТУ тему на 5 страниц назад... если лень читать с начала.
Порядок выполнения правил уже не раз и не два обсасывался со всех сторон.

[kinderr]

спасибо, не лень было читать, просто невнимательный наверное.
Пользователь решил продолжить мысль 24 Июля 2009, 12:15:34:Простите, но на 5 страниц назад, я не нашел описания по порядку выполнения.

[ANt1T]

Вопрос к знатокам.
Есть ли возможность сделать сервер с 3мя интерфейсами, в котором:
1 локальная сеть...
2 лимитированый инет канал
3 безлимит, но медленный
?

Нужно из 1 сети направлять от одних и тех же локальных хостов цепочки в обе инет сети. Например аську в одну сторону, запросы во всю 0.0.0.0 в другую сторону. Интересуют ответы по личному опыту... Приложение схем и конфигов с реализацией приветствуется =)

P.S. Вот только не надо некоторым начинать мудить, в стиле, а нафига тебе это надо? А не проще тебе идти в винду? и т.д. т.п., тоже сразу лесом.
P.P.S. В винде с этим возникали некоторые сложности, по этому если лень писать что-то конкретное, то хватит простого увереннго ответа: -да, iptables с этим справится на 5+!

[AnrDaemon]

Простите, но на 5 страниц назад, я не нашел описания по порядку выполнения.

https://forum.ubuntu.ru/index.php?topic=20334.msg438051#msg438051

Ровно 5 страниц назад.

Либо ссылка 4-5 постами ниже того, на
https://forum.ubuntu.ru/index.php?topic=20334.msg427901#msg427901
Пользователь решил продолжить мысль 24 Июля 2009, 14:16:50:

Вопрос к знатокам.
Есть ли возможность сделать сервер с 3мя интерфейсами, в котором:
1 локальная сеть...
2 лимитированый инет канал
3 безлимит, но медленный
?

Нужно из 1 сети направлять от одних и тех же локальных хостов цепочки в обе инет сети. Например аську в одну сторону, запросы во всю 0.0.0.0 в другую сторону. Интересуют ответы по личному опыту... Приложение схем и конфигов с реализацией приветствуется =)

P.S. Вот только не надо некоторым начинать мудить, в стиле, а нафига тебе это надо? А не проще тебе идти в винду? и т.д. т.п., тоже сразу лесом.
P.P.S. В винде с этим возникали некоторые сложности, по этому если лень писать что-то конкретное, то хватит простого увереннго ответа: -да, iptables с этим справится на 5+!

Да, это возможно. Выбирай выражения, когда на форуме постишь. Тебе никто ничем не обязан.

[kinderr]

Постараюсь разглядеть там порядок, спасибо)