HOWTO: Iptables для новичков

[Michail1_1]

привет. при добавлении правила iptables -A INPUT -p tcp -m tcp --dport 22 -j TARPIT получаю сообщение No chain/target/match by that name. как заставить его работать?

p.s.
имеется модуль libxt_TARPIT.co, но он не подгружается командой -m. или надо всё-таки патчить ядро?

[zloymih]

1. создал правила

Код: [Выделить]

iptables -A INPUT -j   LOG --log-prefix "iptables: "
iptables -A OUTPUT -j  LOG --log-prefix "iptables: "
iptables -A FORWARD -j LOG --log-prefix "iptables: "
2. Создал /etc/rsyslog.d/iptables.conf с содержимым:

Код: [Выделить]

:msg, contains, "iptables:" /var/log/iptables.log
& ~
3. создал /etc/logrotate.d/iptables с содержимым

Код: [Выделить]

/var/log/iptables.log
{
rotate 7
daily
missingok
notifempty
delaycompress
compress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
В результате логи iptables стали записываться в отдельный файл, при этом в kern.log, syslog все еще сообщения появляются. Думаю нужно rsyslog еще поковырять.

Почему-то не работает когда использую startswith вместо contains

Код: [Выделить]

:msg, [b]startswith[/b], "iptables:" /var/log/iptables.log
& ~
Поиски привели к https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/450002 может грабли тут? кто сталкивался?

[Michail1_1]

1. создал правила

Код: [Выделить]

iptables -A INPUT -j   LOG --log-prefix "iptables: "
iptables -A OUTPUT -j  LOG --log-prefix "iptables: "
iptables -A FORWARD -j LOG --log-prefix "iptables: "

а если вместо LOG использовать ULOG? у меня пишет в var/log/ulog

[Michail1_1]

про tarpit ни кто не подскажет?

[roma333]

про tarpit ни кто не подскажет?

Google подскажет ... Например вот ссылка - http://system-administrators.info/?p=1608

[Michail1_1]

Google подскажет ... Например вот ссылка - http://system-administrators.info/?p=1608

за сцылку канечна спасибо. я там уже был. а из xtables как заставить работать?

[joni2009ok]

Надеюсь в этот раздел пишу просьбу!
В общем дело такое!
sams+squid+samsredir+bind + iptables
два интерфейса.
nat включил так

#!/bin/sh
  
  INET="eth1"
  
  INETIP="X.X.X.X"
  
  iptables -F INPUT
  iptables -F FORWARD
  iptables -F OUTPUT

  iptables -P INPUT ACCEPT
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD ACCEPT

  iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP
  echo "1" > /proc/sys/net/ipv4/ip_forward

Сразу вопрос! это же просто скрипт который я запустил. то есть поле перезапуска системы его по новой нужно включать?

[mos]

где у меня ошибка ) в геннах??? 

вообщем всё бегает НО с самого сервака не ходит во внешний мир

eth2-LAN
eth0-INET

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
# очищаем все настройки
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#активируем форвардинг пакетов

echo 1 > /proc/sys/net/ipv4/ip_forward

# Masquerade.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Всегда принимаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из LAN-сети к внешнему миру
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

# Разрешаем соединения, которые инициированы внутри (eth2)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth2 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешим входящие соединения на маршрутизатор с внутренней сети
iptables -A INPUT -i eth2 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим маршрутизатору отвечать компьютерам во внутренней сети
iptables -A OUTPUT -o eth2 --destination 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

Спасибо

[Mam(O)n]

iptables -A OUTPUT -o eth0 -j ACCEPT

[Druge]

На основном компьютере Ubuntu 9.10.

eth0 - домашняя сеть
eth1 - локальная сеть

Прописал  на основном компе в rc.local для доступа в интернет домашним компам ( один Windows XP, второй Ubuntu 9.10 ):

sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Со всех компьютеров пингуется сервер провайдера и локальная сеть.
Основной компьютер без проблем видит интернет, а домашние нет ( IP = 192.168.0.1/255.255.255.0 )
При попытке пинговать с домашних машин ya.ru , пишет: " неизвестный адрес".

Подскажите, плиз в чём проблема?

[Syslik]

По IP-шнику пингуется?

[Druge]

Я по IP не пробовал - не знаю его значение. Если подскажете попробую.

[Syslik]

ну например,
ping 77.88.21.8
или
ping 2.2.2.2

[Druge]

Да оба IP пингуются !

[Syslik]

Видимо проблема в DNS.
Пропиши на домашних компах адреса ДНС-серверов вручную.