HOWTO: Iptables для новичков

[Syrex]

Стоит webmin,уже из него установил пакет iptables,но вот в настройке теряюсь.
Скажите,где можно почтитать ман по настройке iptables через webmin ?

[AnrDaemon]

Почитай просто ман по настройке iptables.
Вебмином для этого лучше не пользоваться там слишком много всяких галочек.

[Syrex]

Почитай просто ман по настройке iptables.
Вебмином для этого лучше не пользоваться там слишком много всяких галочек.

Читал,не все доконца понял,но из того,что понял создал правила.

Хочу сразу сказать,что это(там 1 по дефолту) не помагало:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

[MAKAPOH]

а на мой вопрос кто нить сможет ответить?
https://forum.ubuntu.ru/index.php?topic=20334.msg550309#msg550309

[Artur_nv]

Привет!
не подскажите следующее, в предыдущей верии убунты iptables можно было остановить и запустить делая следующее
/etc/init.d/iptables  start/stop
и весь конфиг хранился в /var/lib/iptables
Как это сделать в версии 9,10, т.к. было оч удобно?
и заранее спасибо

[White Sloun]

Привет!
не подскажите следующее, в предыдущей верии убунты iptables можно было остановить и запустить делая следующее
/etc/init.d/iptables  start/stop
и весь конфиг хранился в /var/lib/iptables
Как это сделать в версии 9,10, т.к. было оч удобно?
и заранее спасибо

Предполагаю что start/stop <имя службы> (из-за замены system v init => upstart), хотя о подобном (/var/lib/iptables) хранении конфигов слышу впервые.

[Mam(O)n]

При переходе на upstart в /etc/init.d всёравно остаются симлинки-заглушки. А загрузку правил iptables через SysV Init (/etc/init.d) из дебиана выпилили, няз, еще до появления убунты. Так что это скорее всего самопал. Т.к. я не использую никакие динамические настройки сети, я такой вот костыль написал, который юзает iptables-save/iptables-restore:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/bash
# Following lines are in conformance with LSB 1.2 spec
### BEGIN INIT INFO
# Provides:            iptables-init
# Required-Start:      networking
# Required-Stop:
# Default-Start:       2 3 4 5
# Default-Stop:        1
# Description:         iptables initialization
### END INIT INFO

CONF=/etc/iptables.conf
IPT=/sbin/iptables
IPTS=/sbin/iptables-save
IPTR=/sbin/iptables-restore
MKT=/bin/mktemp
tables="filter:INPUT,OUTPUT,FORWARD nat mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING raw:PREROUTING,OUTPUT"

block() {
        if [ $1 -eq 0 ]; then
                echo -n "Unblock "
                rule=ACCEPT
        else
                echo -n "Block "
                rule=DROP
        fi
        echo -n "all iptables chains..."
        F=0
        for tabledesc in $tables; do
                table=$(echo $tabledesc | awk -F: '{print $1}')
                if $IPT -L -vnt $table > /dev/null 2>&1; then
                        echo -n "$table..."
                        for chain in $(echo $tabledesc | awk -F: '{print $2}' | tr , ' '); do
                                $IPT -t $table -P $chain $rule || F=1
                        done
                fi
        done
        if [ $F -eq 0 ]; then
                echo " Ok."
                return 0
        else
                echo " FAILED!"
                return 1
        fi
}

clean() {
        echo -n "Clean all iptables chains..."
        F=0
        $IPT -L -vn > /dev/null || F=1
        for table in $(echo $tables | awk -F: -vRS=' ' '{print $1}'); do
                if $IPT -L -vnt $table > /dev/null 2>&1; then
                        echo -n "$table..."
                        $IPT -t $table  -F      || F=1
                        $IPT -t $table  -X      || F=1
                fi
        done
        if [ $F -eq 0 ]; then
                echo " Ok."
                return 0
        else
                echo " FAILED!"
                return 1
        fi
}

init() {
        echo -n "Perform to iptables loading configuration file..."
        T=$($MKT)
        $IPTS > $T
        if $IPTR < $CONF; then
                echo " Ok."
                return 0
        else
                echo " FAILED!"
                $IPTR < $T
                rm $T
                return 1
        fi
}

commit() {
        echo -n "Commit iptables changes by saving configuration file..."
        F=0
        T=$($MKT)
        $IPTS > $T || F=1
        [ $F -eq 0 ] && mv -f $T $CONF || F=1
        if [ $F -eq 0 ]; then
                echo " Ok."
                return 0
        else
                echo " FAILED!"
                rm $T 2> /dev/null
                return 1
        fi
}

case "$1" in
        start|init|restart|reload|revert)
                init
                ;;
        unblock)
                block 0
                init
                ;;
        stop|clean)
                block 0
                clean
                ;;
        block)
                block 1
                clean
                ;;
        commit)
                commit
                ;;
        *)
                echo "Usage: $0 start|stop|reload|block|unblock|commit"
                exit 1
                ;;
esac

exit $?

upd: поправил пару багов.

[knazknazev]

после прочтения iptables-howto написал следующее (не шлюз, комп для серфинга)

iptables -F
#политики по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#разрешаем http, https, icq
iptables -A OUTPUT -p tcp -m multiport --dport 80,443,5190 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sport 80,443,5190 -m state --state RELATED,ESTABLISHED -j ACCEPT
#разрешаем DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#когда будет ssh:
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A OUTPUT -p udp --ѕport 22 -j ACCEPT

посмотрите пожалуйста, правильно||неправильно||криво?

и вдогонку вопрос - а какие порты использует apt-get update и upgrade?

[AnrDaemon]

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Не морочь мозги ни себе, ни людям. Раз разрешил какое-то исходящее соединение, значит оно уже разрешено, и не надо уточнять, что его еще и устанавливать разрешено.

apt использует любые порты. Почитай что-нибудь общеразвивающее о протоколе FTP. (HTTP у тебя уже разрешено, так что неактуально)

[serega_arz]

Люди помогите раскурить iptables.
Стоит Ubuntu 9.10 ,нужно создать политику что не разрешено то зло.
В общем открываю терминал и начинаю набирать правила:
например: sudo iptables -P INPUT DROP
                sudo iptables -P FORWARD DROP
                sudo iptables -P OUTPUT DROP
                и т.д.
По написанию правил я малость разобрался.Не разобрался как это все правильно сохранить что бы автоматом стартовало после перезагрузки или как прописать путь к скрипту http://www.posix.ru/network/iptables/ в /etc/rc.loca?

[Mam(O)n]

Я пару постов выше (#546) приводил скрипт, который сохраняет текущее состояние таблиц iptables. Его можно сохранить в /etc/init.d/iptables, дать права (chmod +x /etc/init.d/iptables) и включить в автозагрузку (update-rc.d iptables defaults). Сохранять текущее состояние можно будет с помощью invoke-rc.d iptables commit. Остальные команды (start, stop, block, unblock) кагбэ говорят за себя.

[serega_arz]

Еще долготерзающие меня вопросы.
1)Как правильно сохранить скрипт в /etc/init.d/iptables ? Я делал просто запускал наутилус с правами root и создавал там файл
2)Как убрать с файла права (chmod +x /),а то я пока эксперементировал столько прав наделал

[Mam(O)n]

Еще долготерзающие меня вопросы.
1)Как правильно сохранить скрипт в /etc/init.d/iptables ? Я делал просто запускал наутилус с правами root и создавал там файл

Плохо. Особенно плохо, если запускал наутилус с помощью sudo без смены домашнего каталога. Правильнее запускать с повышенными правами текстовый редактор. Да и то, gedit не лучший выбор.

2)Как убрать с файла права (chmod +x /),а то я пока эксперементировал столько прав наделал

chmod -x

[serega_arz]

Mam(O)n спасибо огромное,все получилось.

я такой вот костыль написал, который юзает iptables-save/iptables-restore

Без этого костыля ни как не получиться правила сохранять,это баг разработчиков?
Как правила проверить на пробиваемось ?вдруг где ни то опечатка?

[Mam(O)n]

Нет, это фича. Гдето видел в мэйлистах разработчиков грамотное объяснение, почему оно так, но найти сейчас не могу.