HOWTO: Iptables для новичков

[Druge]

В XP уже пробовал прописать DNS - не помогло.
Пользователь решил продолжить мысль 02 Марта 2010, 11:36:33:А когда настраивал VPN на главном компе, тоже не виделись IP пока не прописал:

route add default dev ppp0
Пользователь решил продолжить мысль 02 Марта 2010, 13:41:30:Оппа... А сечас попробовал DNS прописать - соединение пошло, странно, но факт - спасибо.
Теперь думаю как эти DNS вставить на вторую домашнюю машину с Ubuntu 9.10 ?

[Syslik]

открываешь консоль и пишешь
sudo nano /etc/resolv.conf
добавляешь
nameserver=свой ДНС

затем нужно будет перезапустить сеть
sudo /etc/init.d/networking restart

[Druge]

Как то странно работает интернет на всех домашних машинах.
Cайты пингуются.
Но с браузера грузятся только некоторые.

Например Yandex.ru грузится, а vkontakte.ru нет

Такие сайты находятся в стадии запроса или ожидания загрузки - такое сообщение появляется в строке состояния браузера.
Это может продолжаться бесконечно долго.

Может недостаёт какого нибудь правила в основном компьютере?

Как устранить это, подскажите, если сталкивались с подобным?


Кажется нашёл причину.
С домашних машин не пингуется DNS сервера, а с основного компа пингуются.

80.64.109.227
217.74.144.227

Но почему, не разобрался ?

[AnrDaemon]

sudo iptables-save
с сервера покажи.

[Druge]

root@Linux-S:/home/alex# iptables-save
# Generated by iptables-save v1.4.4 on Wed Mar  3 12:08:58 2010
*nat
:PREROUTING ACCEPT [15:1643]
:POSTROUTING ACCEPT [354:22677]
:OUTPUT ACCEPT [362:23817]
-A POSTROUTING -o eth1 -m state --state NEW -j SNAT --to-source 10.200.209.149
COMMIT
# Completed on Wed Mar  3 12:08:58 2010
# Generated by iptables-save v1.4.4 on Wed Mar  3 12:08:58 2010
*filter
:INPUT ACCEPT [1553:579529]
:FORWARD ACCEPT [13:778]
:OUTPUT ACCEPT [1711:244597]
COMMIT
# Completed on Wed Mar  3 12:08:58 2010


10.200.209.149 - адрес моего сервера в локалке, смотрящей в интернет
eth1 - сеть, смотрящая в интернет
Внешний IP динамический

Первый вариант Iptables выглядел по другому, но результат тоже был неудачным:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Пользователь решил продолжить мысль 03 Марта 2010, 15:38:36:Добавил ещё правила, теперь все IP пингуются и пингуется DNS сервер, но как ни странно браузер страницы не грузит.
Пишет: подключение, отправка запроса и стоит.

root@Linux-S:/home/alex# iptables-save
# Generated by iptables-save v1.4.4 on Wed Mar  3 15:35:07 2010
*nat
:PREROUTING ACCEPT [955:80475]
:POSTROUTING ACCEPT [73:12134]
:OUTPUT ACCEPT [743:56036]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Mar  3 15:35:07 2010
# Generated by iptables-save v1.4.4 on Wed Mar  3 15:35:07 2010
*filter
:INPUT ACCEPT [11704:7578738]
:FORWARD ACCEPT [11959:5175042]
:OUTPUT ACCEPT [14134:1969392]
-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
COMMIT
# Completed on Wed Mar  3 15:35:07 2010

[Druge]

Проблема решилась!

[qq34]

прочитала больше половины этой ветки. проблема моя, наверно, не так уж и серьезна, но побороть ее я так и не смогла.
суть проблемы: заблокировать udp-порты 137-139. и все.
прописываю следующее:
 

sudo iptables -A INPUT -i eth0 -p udp --sport 137:139 -j DROP

сохраняю в файл iptables-save /home/user/iptables.rules
делаю рестор оттуда же, но входящие пакеты по указанным портам та и идут - об этом говорит iptraf, а системный монитор и gkrellm подтверждают входящий траффик. перезагрузка компьютера с последующим iptables-restor тоже не помогает. перечитала несколько указанных здесь мануалов, но так и не поняла, что я неправильно задала в команде и почему она не работает. буду благодарна всем откликнувшимся.

[AnrDaemon]

Как именно делаете восстановление?

[Mam(O)n]

sudo iptables -A INPUT -i eth0 -p udp --sport 137:139 -j DROP

--sport это проверяются исходящие порты. Точно это нужно? Ведь по логике вещей обычно блокируют по портам назначения, т.е. --dport

[qq34]

Как именно делаете восстановление?

sudo iptables-restore </home/user/i[tables.rules

Ведь по логике вещей обычно блокируют по портам назначения, т.е. --dport

и такой вариант был. тоже не помогает.
Пользователь решил продолжить мысль 12 Марта 2010, 10:57:06:

Как именно делаете восстановление?

sudo iptables-restore </home/user/i[tables.rules

Ведь по логике вещей обычно блокируют по портам назначения, т.е. --dport

и такой вариант был. тоже не помогает.
Пользователь решил продолжить мысль 12 Марта 2010, 13:03:21:у файла iptables.rules нормальное имя ) предыдущее - опечатка
Пользователь решил продолжить мысль 12 Марта 2010, 15:08:11:только что просмотрела сохраненный iptables.rules и нашла в нем интересную строку:

-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i eth0 -p udp -m udp --sport 137:139 -j DROP
-A INPUT -p udp -m udp --dport 137:138 -j REJECT --reject-with icmp-port-unreachable

первые две строки - это то, что делала я. а с последней - не понятно...

[AnrDaemon]

Сделайте скриптик

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh
iptables-restore < /etc/iptables.rules

, положите его в /etc/network/if-up.d/, сделайте исполняемым. Правила положите в /etc/.
Кстати, покажите, что за правила.

[Mam(O)n]

но входящие пакеты по указанным портам та и идут - об этом говорит iptraf, а системный монитор и gkrellm подтверждают входящий траффик.

От входящих пакетов нельзя избавиться, правилами же не заставишь компы не посылать тебе пакеты... Главное, что система на них не отвечает.

только что просмотрела сохраненный iptables.rules и нашла в нем интересную строку:

-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i eth0 -p udp -m udp --sport 137:139 -j DROP
-A INPUT -p udp -m udp --dport 137:138 -j REJECT --reject-with icmp-port-unreachable

первые две строки - это то, что делала я. а с последней - не понятно...

Последняя это делал кто-то еще значит, раз не ты. Означает, что коннекты по udp/137 и udp/138 будут откланяться с icmp ответом port unreachable. Кстати. Порт 139 обычно по tcp протоколу используется.

[qq34]

iptables-restore < /etc/iptables.rules

эту строку (но с указанием своего файла) я прописывала в gedit /etc/rc.local перед строкой exit 0 (находила такое решение для автозапуска правил)
собственно, файл с правилами выглядит так:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Fri Mar 12 13:59:26 2010
*nat
:PREROUTING ACCEPT [154901:16366058]
:POSTROUTING ACCEPT [32732:1856344]
:OUTPUT ACCEPT [32732:1856344]
COMMIT
# Completed on Fri Mar 12 13:59:26 2010
# Generated by iptables-save v1.4.1.1 on Fri Mar 12 13:59:26 2010
*mangle
:PREROUTING ACCEPT [357178:52709747]
:INPUT ACCEPT [210191:37719413]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [225413:29225321]
:POSTROUTING ACCEPT [225461:29232149]
COMMIT
# Completed on Fri Mar 12 13:59:26 2010
# Generated by iptables-save v1.4.1.1 on Fri Mar 12 13:59:26 2010
*filter
:INPUT ACCEPT [210191:37719413]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [225413:29225321]
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i eth0 -p udp -m udp --sport 137:139 -j DROP
-A INPUT -p udp -m udp --dport 137:138 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Mar 12 13:59:26 2010

Mam(O)n, насчет строки

-A INPUT -p udp -m udp --dport 137:138 -j REJECT --reject-with icmp-port-unreachable

: добавить никто ее не мог, я одна дома. она могла сама появиться, потому что эти порты по какой-то причине нельзя заблокировать? звучит бредово, но все-таки...

[Mam(O)n]

она могла сама появиться, потому что эти порты по какой-то причине нельзя заблокировать? звучит бредово, но все-таки...

Не, такого быть не может. Тем более это правило означает именно блокировку. Само ничего не появляется, если этому не помочь.

В общем, если требуется заблокировать входящие netbois пакеты совсем, то обычно пользуются этими правилами:

Код: [Выделить]

iptables -A INPUT -p udp --dport 137:138 -j DROP
iptables -A INPUT -p tcp --dport 139 -j DROP


[AnrDaemon]

445 забыл.