HOWTO: Iptables для новичков

[InkVisitor]

запретить в itables прохождение  arp и других широковещательных пакетов из домашней сетки (eth1)  в сеть провайдера (eth0)

А в чём, собственно говоря, проблема? По-моему, тут проще написать, что разрешить, чем написать, что запретить...

других широковещательных пакетов

Это ж сколько их нужно будет вылавливать... Каждый вирус (ежели венда) - несколько портов резать...
Ночной кошмар одмина...

[Lion-Simba]

Помогите написать привило чтобы запретить в itables прохождение  arp и других широковещательных пакетов из домашней сетки (eth1)  в сеть провайдера (eth0)

Решение "в лоб", однако не проверял:

Код: [Выделить]

iptables -t filter -A FORWARD -i eth1 -o eth0 -m pkttype --pkt-type broadcast -j DROP

Широковещательные пакеты и без этого не должны переходить из одной сети в другую, если их специально не маршрутизировать. Адреса домашней подсети и подсети провайдера разные?

[kolyan_k]

Добрый день уважаемые!!
созрел  маленький вопросик ... если нетрудно подскажите!
имею публикацию
iptables -t nat -A PREROUTING --d 169.254.0.41(внешний) -i  eth0 -p tcp -m tcp - -dport 3389 -j DNAT - -to-destination 192.168.0.1(внутренний):3389

но к сожалению она не работает... чего мне необходимо??
Как можно сделать так чтобы из инета цеплялся только определенный адрес а не все подряд?

[terrible_user]

но к сожалению она не работает... чего мне необходимо??

ну проброс порта в локальную сеть, на первый взгляд все верно, но то ли криво переписано но с расставлением '-' тут точно беда

Код: [Выделить]

iptables -t nat -A PREROUTING -d 169.254.0.41 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
а вот что  имелось ввиду ?

Как можно сделать так чтобы из инета цеплялся только определенный адрес а не все подряд?

[kolyan_k]

но к сожалению она не работает... чего мне необходимо??

ну проброс порта в локальную сеть, на первый взгляд все верно, но то ли криво переписано но с расставлением '-' тут точно беда

Код: [Выделить]

iptables -t nat -A PREROUTING -d 169.254.0.41 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
а вот что  имелось ввиду ?

Как можно сделать так чтобы из инета цеплялся только определенный адрес а не все подряд?

спасибо!! за ответ!!
к примеру у меня есть  внешний  ip 194.226.89.117  к нему ципляеться по этому  правилу публикации на 3389 порт  другой  ip 194.226.89.220 и больше чтобы никто не мог приципиться... вот примерно так...

[terrible_user]

но к сожалению она не работает... чего мне необходимо??

ну проброс порта в локальную сеть, на первый взгляд все верно, но то ли криво переписано но с расставлением '-' тут точно беда

Код: [Выделить]

iptables -t nat -A PREROUTING -d 169.254.0.41 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
а вот что  имелось ввиду ?

Как можно сделать так чтобы из инета цеплялся только определенный адрес а не все подряд?

спасибо!! за ответ!!
к примеру у меня есть  внешний  ip 194.226.89.117  к нему ципляеться по этому  правилу публикации на 3389 порт  другой  ip 194.226.89.220 и больше чтобы никто не мог приципиться... вот примерно так...

может просто добавить источник ?

Код: [Выделить]

iptables -t nat -A PREROUTING --source 194.226.89.220 -d 194.226.89.117 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination *какой-нибудь внутренний ip*:3389
конечно не хочется повторятся, но все ровно не въехал, лучше говорить какая задача стоит

[kolyan_k]

terrible_user
вот сматрите у меня есть удаленные пользователи на 1С, 1с работает по терминалу... внешний ip пользователей известен 194.226.89.117, они коннектяться к моему внешнему ip известному 194.226.89.220.
через правило написанное выше!
вопрос заключаеться в том можно ли указать чтобы iptables разрешал правило только данному ip 194.226.89.117
а любым другим  ip нет....

[terrible_user]

terrible_user
вот сматрите у меня есть удаленные пользователи на 1С, 1с работает по терминалу... внешний ip пользователей известен 194.226.89.117, они коннектяться к моему внешнему ip известному 194.226.89.220.
через правило написанное выше!
вопрос заключаеться в том можно ли указать чтобы iptables разрешал правило только данному ip 194.226.89.117
а любым другим  ip нет....

Вот теперь ясно, как и было сказано чуть выше надо указать источник , только теперь понятнее стало куда какой ip поставить

Код: [Выделить]

iptables -t nat -A PREROUTING --source 194.226.89.117 -d 194.226.89.220 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination *ip тарминала*:3389

[MAKAPOH]

в iptables есть вот такие строчки:

Код: [Выделить]

*nat
-A POSTROUTING -s 192.168.1.7 -o eth0 -j SNAT --to-source 10.126.1.234
-A PREROUTING -d 10.126.1.234 -j DNAT --to-destination 192.168.1.7
-A POSTROUTING -s 192.168.1.3 -o eth0 -j SNAT --to-source 10.126.1.254
-A PREROUTING -d 10.126.1.254 -j DNAT --to-destination 192.168.1.3
-A POSTROUTING -s 192.168.1.2 -o eth0 -j MASQUERADE
то есть серверу присвоены 3 внешних ip и 3 клиента с сети 192.168.1.0 выходят во внешнюю сеть с адресами 10.126.1.234, 10.126.1.244, 10.126.1.254

как сделать возможным соединение этих компьютеров по внешнему адресу? например что 10.126.1.234 мог соединиться с 10.126.1.254 (соответственно 192.168.1.7 должен соединиться с 192.168.1.3). Нужно для работы с DC++
причем ping проходит а все остальное почему то нет

так же с 192.168.1.7 например не проходит даже пинг на адрес 10.126.1.234 (на самого себя)

[kolyan_k]

terrible_user
вот сматрите у меня есть удаленные пользователи на 1С, 1с работает по терминалу... внешний ip пользователей известен 194.226.89.117, они коннектяться к моему внешнему ip известному 194.226.89.220.
через правило написанное выше!
вопрос заключаеться в том можно ли указать чтобы iptables разрешал правило только данному ip 194.226.89.117
а любым другим  ip нет....

Вот теперь ясно, как и было сказано чуть выше надо указать источник , только теперь понятнее стало куда какой ip поставить

Код: [Выделить]

iptables -t nat -A PREROUTING --source 194.226.89.117 -d 194.226.89.220 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination *ip тарминала*:3389

СПАСИБО  очень помогло все так как вы сказали!
у меня получаеться приерно следущие
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING --source 194.226.89.117 -d 194.226.89.220 -i  eth0 -p tcp --dport 3389 -j DNAT --to-destination *ip тарминала*:3389
iptables -A FORWARD -i eth1 - --source 192.168.1.0 - -match state - -state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 - --destination 192.168.1.0 - -match state - -state ESTABLISHED -j ACCEPT   этим я выпускаю  машины в нет некоторые
после этого хачу все остальное закрыть
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
в итоги получаеться  что у меня закрываеться все ..... терминал не работает.... машины в нет не идут...  не подскажите  как правильно???

[MAKAPOH]

мб установить действие по умолчанию в drop? правда я не знаю как

[AnrDaemon]

-P и устанавливает действие по умолчанию.
kolyan_k, iptables-save в спойлер с настройками.
Пока я полагаю, что ты забанил себе localhost.

[SupaFly]

Здравствуйте! Подскажите пожалуйста как можно проделать следующее:
Имеется шлюз, две сетевые карты: eth1 (192.168.0.2) - локал, eth2 (192.168.3.2) - к нему подрублен модем в режиме роутера. Необходимо пробросить порт 5900 на машину в локалке с ip 192.168.0.27, то бишь при подключении чтобы сразу пробрасывало на него.
Прописывал вот это:
iptables -t nat -A PREROUTING -p tcp -d внешний_IP --dport 5900 -j DNAT --to-destination 192.168.0.27:5900
iptables -A FORWARD -p tcp --dport 5900 -i eth2 -j ACCEPT
Результата никакого.
Перечень правил:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
# Generated by iptables-save v1.4.1.1 on Fri Nov  6 19:39:23 2009
*filter
:INPUT ACCEPT [4459:555688]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1154:305530]
-A INPUT -i eth2 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 5060 -j ACCEPT
COMMIT
# Completed on Fri Nov  6 19:39:23 2009
# Generated by iptables-save v1.4.1.1 on Fri Nov  6 19:39:23 2009
*nat
:PREROUTING ACCEPT [285:33871]
:POSTROUTING ACCEPT [40:3953]
:OUTPUT ACCEPT [96:14455]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Fri Nov  6 19:39:23 2009
# Generated by iptables-save v1.4.1.1 on Fri Nov  6 19:39:23 2009
*mangle
:PREROUTING ACCEPT [4477:565165]
:INPUT ACCEPT [4475:565069]
:FORWARD ACCEPT [2:96]
:OUTPUT ACCEPT [3995:2161816]
:POSTROUTING ACCEPT [4113:2179928]
COMMIT
# Completed on Fri Nov  6 19:39:23 2009

P.S. Сейчас в правилах проброс порта, необходимого для работы IP-телефона.

[roma333]

Здравствуйте! Подскажите пожалуйста как можно проделать следующее:
Имеется шлюз, две сетевые карты: eth1 (192.168.0.2) - локал, eth2 (192.168.3.2) - к нему подрублен модем в режиме роутера. Необходимо пробросить порт 5900 на машину в локалке с ip 192.168.0.27, то бишь при подключении чтобы сразу пробрасывало на него.
Прописывал вот это:
iptables -t nat -A PREROUTING -p tcp -d внешний_IP --dport 5900 -j DNAT --to-destination 192.168.0.27:5900
iptables -A FORWARD -p tcp --dport 5900 -i eth2 -j ACCEPT
Результата никакого.
Перечень правил:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
# Generated by iptables-save v1.4.1.1 on Fri Nov  6 19:39:23 2009
*filter
:INPUT ACCEPT [4459:555688]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1154:305530]
-A INPUT -i eth2 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 5060 -j ACCEPT
COMMIT
# Completed on Fri Nov  6 19:39:23 2009
# Generated by iptables-save v1.4.1.1 on Fri Nov  6 19:39:23 2009
*nat
:PREROUTING ACCEPT [285:33871]
:POSTROUTING ACCEPT [40:3953]
:OUTPUT ACCEPT [96:14455]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Fri Nov  6 19:39:23 2009
# Generated by iptables-save v1.4.1.1 on Fri Nov  6 19:39:23 2009
*mangle
:PREROUTING ACCEPT [4477:565165]
:INPUT ACCEPT [4475:565069]
:FORWARD ACCEPT [2:96]
:OUTPUT ACCEPT [3995:2161816]
:POSTROUTING ACCEPT [4113:2179928]
COMMIT
# Completed on Fri Nov  6 19:39:23 2009

P.S. Сейчас в правилах проброс порта, необходимого для работы IP-телефона.

А на роутере проброс порта выполнен?

[SupaFly]

А на роутере проброс порта выполнен?

Да, выполнен.