HOWTO: Iptables для новичков

[serega_arz]

Прошу помощи!!!
На VirtualBox поставил ubuntu 9.10 для эксперементов,делаю скрипт для iptables,делаю следующее:
создаю файл с настройками

touch /home/user/iptab.sh

делаю файл исполняемым

sudo chmod +x /home/user/iptab.sh

редактирую его

gedit /home/user/iptab.sh

добавляю правила,например:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
 

прописываю в /etc/rc.local  перед exit 0 путь /home/user/iptab.sh что бы запускался при запуске.
И все прокатывает,правила грузятся.Делаю точн также на настоящей Ubuntu,правила не грузятся :idiot2:подскажите где лопата зарыта

[Mam(O)n]

Сеть через /etc/network/interfaces поднимается? Интерфейс lo прописан?

[serega_arz]

Сеть через /etc/network/interfaces поднимается?

Модем бриджем,ADSL,настроен через pppoeconf,интернет подключается во время старта компа.

Интерфейс lo прописан?

#интерфейс обратной петли
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

[Mam(O)n]

Я про lo в /etc/network/interfaces. Покажи его.

[serega_arz]

Я про lo в /etc/network/interfaces

Ни че ни понимаю,файл interfaces вобще пустой

[Mam(O)n]

Пропиши в него:

Код: [Выделить]

auto lo
iface lo inet loopback


[serega_arz]

Ступил я молёха.
Вот /etc/network/interfaces

Код: [Выделить]

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

auto eth0
iface eth0 inet manual 
прописал так:

Код: [Выделить]

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual 
Правила грузятся!!!Интернет пропал,правила наверно не правильно написал,придется в 20й раз читать iptables
Mam(O)n премного благодарен!!!

[kolyan_k]

Доброго времени суток!
есть небольшой вопрос....?! имеется внутренний сайт который находится в нутри сети с адресом 192.168.0.11:83
можно ли завернуть  внешнии сайты к примеру mail.ru на внутренний? вот пробывал делать redirect
iptables -t nat -A PREROUTING -s 217.69.128.44 -p tcp -m tcp --dport 83 -j REDIRECT --to 192.168.0.11:83 ??
или есть возможность вообще отключить ?
 

[Mam(O)n]

Во первых:

iptables -t nat -A PREROUTING -d 217.69.128.44 -p tcp -m tcp --dport 80 -j REDIRECT --to 192.168.0.11:83

Во вторых:

....
;; ANSWER SECTION:
mail.ru.      3172   IN   A   217.69.128.41
mail.ru.      3172   IN   A   217.69.128.44
mail.ru.      3172   IN   A   217.69.128.43
mail.ru.      3172   IN   A   217.69.128.42
....

И, в третьих, обычно фильтрацию www сайтов делают на уровне > 4 OSI.

[altha]

Доброго времени суток, уважаемые!
Читал около недели форум, много чего написано интересного, но й меня вопрос следующего характера.
ADSL модем настроен в режиме роутер
eth0 - Inet 192.168.2.x
eth1 - local 192.168.1.10

Нужно пробросить стандартный порт Radmin'а 4899 в локальную сеть на 192.168.1.11. На ADSL модеме маппинг порта сделан.
На шлюзе Ubuntu Server 9.10 настроен NAT по такому принципу
http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html


Если не совсем сложно, помогите настроить или покажите в каком направлении мне начинать это делать. Заранее спасибо.
p.s. в локальной сети интернет есть

[Mam(O)n]

покажите в каком направлении мне начинать это делать

Код: [Выделить]

iptables -I FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4899 -j DNAT --to 192.168.1.11

[altha]

Это я понимаю должен вписать в /etc/nat ? в конце файла?.

[tltshnik]

У меня вопрос возник по iptables. Есть Ubuntu Serever 9.10 на нём eth0 смотрит в инет, а eth1 в локалку. Поднял dhcp. В локалке всего один комп с адресом (выдаётся убунтой) 192.168.100.2, у ubuntu адрес в локалке 192.168.100.1. Пинги по локалке ходят, а инета нет. Я так понимаю дело в iptables. Начал смотреть как ходят пакеты. Как я прочитал в инете первая проверка, которую встречает пакет - это PREROUTING в таблице mangle. Решил проверить как ходят пинги и написал

Код: [Выделить]

sudo iptables -F
sudo iptables -t mangle -I PREROUTING -i eth1 -j LOG


Когда из локалки пингую адрес сервера (192.168.100.1), то всё нормально, как только пингую что-то с внешки - нет пинга и в логи ничего не идёт =((

Почему? Ведь в PREROUTING в mangle идут все входящие пакеты, а не только адресованные этому компу... или я что-то не догоняю?

[Mam(O)n]

eth0 смотрит в инет, а eth1 в локалку... -t mangle -I PREROUTING -i eth1 -j LOG ... Когда из локалки пингую адрес сервера (192.168.100.1), то всё нормально, как только пингую что-то с внешки - нет пинга и в логи ничего не идёт =((

Не ловит в лог с внешки, потому, что ты задал конкретный входящий интерфейс -i eth1, который, как ты говоришь, торчит в локалке...

[tltshnik]

eth0 смотрит в инет, а eth1 в локалку... -t mangle -I PREROUTING -i eth1 -j LOG ... Когда из локалки пингую адрес сервера (192.168.100.1), то всё нормально, как только пингую что-то с внешки - нет пинга и в логи ничего не идёт =((

Не ловит в лог с внешки, потому, что ты задал конкретный входящий интерфейс -i eth1, который, как ты говоришь, торчит в локалке...

Да, видимо, я двояко выразился. Не ловит лог, когда я из локалки пингую внешний ip (208.67.222.222)...