HOWTO: Iptables для новичков

[ANt1T]

Да, это возможно. Выбирай выражения, когда на форуме постишь. Тебе никто ничем не обязан.

А я где-то указал, что обязан? Просто я считаю, что форум (тем более не дворовый), это место, где задают вопросы и получают ответы, обсуждают что-либо... А не вынуждены читать в каждом 8ом сообщении, что у кого-то мания величия, и что кто-то мнит себя кем-то уникальным, и уж точно выше других, голов на 5. Собственно P.S. относился именно к этим людям.
Как мне кажется, я хорошо выбираю слова, и если не додумывать, что я имел в виду, то в моих словах нет ничего страшного и оскорбляющего.
За ответ спасибо.

[nauman]

Спасибо, интересный мануал. Пока что настраиваю в качестве фаервола. Возникли вопросы, буду признателен за любые ответы по теме.
1. Как выводить логи в определенные файлы?
2. Как настроить iptables, чтобы детектировал, блокировал айпишники пингующих скажем на час, а затем снова включал их, при этом адрес добавлялся в базу и позднее из нее загружался?  Хочу настроить чтобы получиля полноценный фаервол.

[terrible_user]

Спасибо, интересный мануал. Пока что настраиваю в качестве фаервола. Возникли вопросы, буду признателен за любые ответы по теме.
1. Как выводить логи в определенные файлы?
2. Как настроить iptables, чтобы детектировал, блокировал айпишники пингующих скажем на час, а затем снова включал их, при этом адрес добавлялся в базу и позднее из нее загружался?  Хочу настроить чтобы получиля полноценный фаервол.

По 2 пункту : во первых зря ты так боишься пинга, во вторых recent
http://wiki.enchtex.info/howto/iptables/ssh-guard

только вместо ssh перенаправляй пинг в это правило

[Bkmz]

Уважаемые гуру iptables, неподскажите как заблочить multicast? Такая ситуация, в мой свитч, как я подозреваю, включен еще один пользователь нашей сети, и он последнее время стал сильно смотреть телек по сети. В итоге у меня забивается входящий канал сильно. Не подскажите как мне избавиться от этого трафик?
Дополнительная информация в этом топике
https://forum.ubuntu.ru/index.php?topic=63373.new

[nauman]

По 2 пункту : во первых зря ты так боишься пинга, во вторых recent
http://wiki.enchtex.info/howto/iptables/ssh-guard

только вместо ssh перенаправляй пинг в это правило

Cпасибо за ссылку. Непонятки с опцией --name name, т.е. дал имя к примеру outside_ping , где я могу его увидеть, тоесть просмотреть отловленные айпишники.
:-)
Вопрос снят, сам нашел: /proc/net/xt_recent/

Bkmzх
Нашел в мануале, может это поможет?
$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

[terrible_user]

Cпасибо за ссылку. Непонятки с опцией --name name, т.е. дал имя к примеру outside_ping , где я могу его увидеть, тоесть просмотреть отловленные айпишники.

Код: [Выделить]

cat /proc/net/ipt_recent/outside_ping

[nauman]

Созрел еще один вопрос. :-) как заблокировать адрес того, кто пытается сканировать порты моего компьютера?

[Bonifaciy]

Доброе время суток!
Проблема появилась после ковыряния в сабже. Пытался настроить squid. В итоге он не заработал, я решил его удалить, но настройки судя по всему остались..
Из того, что вводил, записано только это.
sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
sudo iptables -t nat -X PREROUTING -i eth1 -d ! 192.168.1.2/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.2:3128
В итоге интернет работает нормально, но из Менеджера пакетов Synaptic вылазит следующее:
W: Не удалось получить http://ru.archive.ubuntu.com/ubuntu/pool/universe/6/6tunnel/6tunnel_0.11rc2-2_amd64.deb
  Не удаётся соединиться с 192.168.1.2:8080 (192.168.1.2). - connect (111 Connection refused)
Выход в инет через роутер (192.168.1.1). Комп соотв(192.168.1.2).
Пытался обнулить этим набором команд:
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t mangle -X

Но всеравно не хочет обновляться, куда копать?

[AnrDaemon]

Выпрямить apt.conf ?

[Bonifaciy]

Выпрямить apt.conf ?

Будь добр скинуть свой, у меня там было написано как раз 192.168.1.2:8080, но после того как потер, он все равно ломится по нему.

Дальше интересней, в менеджере пакетов захожу настройки-параметры-сеть. Там стоит прямое подключение.
Ставлю галочку на прокси и от балды вбиваю туда адрес., выхожу, он на него ругается. Захожу обратно вытсавляю на прямой...
И он Обновляет!!
Но после перезапуска проги опять ломится на 192.168.1.2:8080.
Где лежат конфигши этого самого Synaptica?
Поиск ничего внятного не выдал.

[AnrDaemon]

Администрирование - прокси.

[Bonifaciy]

В администрировании прокси нет, в параметрах только. Там стоит *Прямое подключение*
И еще, обновления через консоль спокойно все обновляют...
Так что трабла гдето в синаптике зарыта

[AnrDaemon]

У синаптика своя собственная настройка прокси, но она, я так понял, работает только на апдейт листов.

[Bonifaciy]

Проблема решилась сама собой. Ядро обновил и заработало+)

[nauman]

Нужна помощь!
Решил раздать инет по сети, не хватает знаний, а гугл чтото не помогает.
eth0 смотрит в интернет.
к eth1 подключил ноут с XP.
В resolv.conf прописываю три DNS адреса от провайдера и на всякий случай 192.168.0.1

/etc/network/interfaces

auto lo
auto eth0
iface lo inet loopback
iface eth0 inet static
address 195.20.20.20 (вымышленный)
netmask 255.255.252.0
gateway 195.20.20.21 (вымышленный)

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
#gateway 192.168.0.1

на клиенте с XP
IP-адрес: 192.168.0.2
маска: 255.255.255.0
Шлюз: 192.168.0.1
DNS 192.168.0.1

Такое впечатление, что не работает DNS, обе карточки пингуются с клиента.  IPTABLES, думаю, что в порядке, разное перепробовал с настройками, интернет на сервере работает.

В приведенных настройках все верно или нужно чтото исправить?