HOWTO: Iptables для новичков

[qq34]

все выполнила. теперь правила выглядят так (взято из iptables.rules):

-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i eth0 -p udp -m udp --sport 137:139 -j DROP
-A INPUT -p udp -m udp --dport 137:138 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 137:138 -j DROP
-A INPUT -p udp -m udp --dport 445 -j DROP

iptables-save, далее iptables-restore, но все так и осталось  попробую перезагрузку
Пользователь решил продолжить мысль 12 Марта 2010, 16:15:28:да, про 445 порт знала, но он не участвовал в забросе пакетами на всякий случай и его заблокировала

[Mam(O)n]

iptables -A INPUT -p tcp --dport 139 -j DROP не вижу. Также 445 должен быть как udp так и tcp тоже

В общем, если подвести итоги, то /etc/iptables.rules должен быть таким:

Код: [Выделить]

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 139 -j DROP
-A INPUT -p udp -m udp --dport 137:138 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p udp -m udp --dport 445 -j DROP
COMMIT


[qq34]

а воз и ныне там *смайл убивает себя об стену* копи-паст, перезагрузка, рестор... и даже принтскрин... я почти в отчаянии. обращение к провайдеру результатов не дало.
Пользователь решил продолжить мысль 12 Марта 2010, 18:27:46:

[Mam(O)n]

Так каким образом проверяется закрытие портов? iptraf например показывает трафик, который еще до файрвола идёт.

[qq34]

насчет этой особенности iptrafa не знала. им, вобщем, и пользуюсь - он показывает, с каких портов идет траф. но в дополнение к нему есть gkrellm и системный монитор, которые показывает непосредственно наличие входящего трафа.

[Mam(O)n]

Он, как и tcpdump, показывает всё, что только возможно показать.
Пользователь решил продолжить мысль 12 Марта 2010, 18:59:00:

есть gkrellm и системный монитор, которые показывает непосредственно наличие входящего трафа.

Естественно. Сначала же приходит трафик, а лишь потом файрвол отсеивает, но никак же не наоборот.

[qq34]

показывать-то показывает... только толку от этого пока нет ( расстроенные чувства и эмоции одни  . извините за оффтоп.

[Mam(O)n]

расстроенные чувства и эмоции одни 

Ну зачем уж расстраиваться, файрвол работает, что ж еще нужно то еще... А трафик то он всё равно же придёт, не заставишь же удалённые машины его не генерировать..

[qq34]

удаленный траф пусть генерируется сколько влезет. пусть только файервол его не пропускает. но насколько я успела вникнуть в суть проблемы, она в основной своей массе заключается в некоторой криворукости одминов провайдера.
Пользователь решил продолжить мысль 12 Марта 2010, 19:15:34:но iptables это уже не касается

[AnrDaemon]

А не проще удалить самбу и не мучаться этой проблемой?

[qq34]

А не проще удалить самбу и не мучаться этой проблемой?

ее и так нет

[AnrDaemon]

Ну значит и проблемы нет. Не понимаю ваших мучений с iptables.
Это всё равно, что защищаться от шума на улице, поворачиваясь к окну задом.

[arreyofspace]

Господа нужна ваша помощь, прочитал много мануалов    по IPTABLES, кажется даже понял суть ИП.
Решил написать свои правила:
-Для открытия портов
-Для шары интернета
Но потерпел неудачу прошу вашей помощи 

Вот мой скрипт:

Код: [Выделить]

#!/bin/bash



# Descrizione Internet face
INTERNET_IP='192.168.100.2' # IP ASSEGNATO DA FASTWEB
INTERNET_IFACE='eth2' # SCHEDA RETE IN SISTEMA


###########################################################################
#
# 3. /proc set up.
#

#
# 3.1 Required proc configuration
#

echo "1" > /proc/sys/net/ipv4/ip_forward
# Разрешаем компьютеру выступать в роли маршрутизатора.

#
# 3.2 Non-Required proc configuration
#

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
# Смысл этого параметра достаточно прост -- все, что поступает к нам, проходит проверку на соответствие исходящего адреса с нашей таблицей маршрутизации и такая проверка считается успешной, если принятый пакет предполагает передачу ответа через тот же самый интерфейс.

#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Игнорируются широковещательные пинги.

#echo "128" > /proc/sys/net/ipv4/ip_default_ttl
# Здесь можно изменить TTL по умоглчанию

# Второй и третий разделы посвящены тонкой настройке и загружаемым модулям, их описание несколько выходит за рамки тематики этой статьи, хотя при необходимости будут ссылки и на эти разделы.

# Descrizione Lan face
LAN_IP='192.168.0.5' # IP NELL LAN
LAN_IFACE='eth0' #SCHEDA RETE IN SITEMA
LAN_IP_RANGE='192.168.0.0/24'

# Descrizione local host
LOCAL_IP='127.0.0.1' # IP DI LOCALHOST
LOCAL_IFACE='lo' # LOCAL INTERFACE
LO_IP_RANGE="127.0.0.0/8"

# Descrizioni generali
IPTABLES='/sbin/iptables'

#PORTE
MYSQL_PORT="3306"
HTTP_PORT="80"
SHTTP_PORT='8080'
HTTPS_PORT="443"
FTP_PORT="21"
TORRENT_PORT="6881"
SMTP='25'
DOMAIN='53'
NFS='2049'
HYLAFAX='4559'
SSH='22'
XMPP='5269'
SAMBA='137'


#Inizio di impostazioni iptables

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT




$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets



# bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP


# allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

#
# TCP правила
#

$IPTABLES -A tcp_packets -p TCP --dport $FTP_PORT -j allowed
$IPTABLES -A tcp_packets -p TCP --dport $HTTP_PORT -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport $SSH -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport 8080 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport $HYLAFAX -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport $SAMBA -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport 138 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport 139 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport $XMPP -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/24 --dport $NFS -j allowed







#
# UDP порты
#

$IPTABLES -A udp_packets -p UDP --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 192.168.0.0/24 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 192.168.0.0/24 --destination-port 137 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 192.168.0.0/24 --destination-port 138 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 192.168.0.0/24 --destination-port 139 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 192.168.0.0/24 --destination-port  $HYLAFAX -j ACCEPT
# Это защита от мусора рассылаемого компами со службой мелкомягких сетей.
$IPTABLES -A udp_packets -p UDP -i $INTERNET_IFACE -d 255.255.255.255 --dport 135:139 -j DROP

#
# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.
#


$IPTABLES -A udp_packets -p UDP -i $INTERNET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP
$IPTABLES -A udp_packets -p UDP -i $LAN_IFACE -d 255.255.255.255 --destination-port 67:68 -j ACCEPT


#
# ICMP правила
#
$IPTABLES -A icmp_packets -p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP --icmp-type 11 -j ACCEPT

#
# 4.1.4 INPUT цепочка
#
# Это правило заруливает все пакеты на проверку корректности в цепочку bad_tcp_packets, созданную ранее, затем они попадут на проверку соответсвия портов назначения (tcp_packets) и если на запрашиваемый порт соединение разрешено происходит заключительная проверка корректности (allowed).

$IPTABLES -A INPUT -p tcp -m tcp --dport 6881 -j ACCEPT
$IPTABLES -A INPUT -p UDP --destination-port 6881 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Правила для безопасных маршрутов
#
$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -s $LO_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -s $INTERNET_IP -j ACCEPT

#
# Правила для входящих пакетив из локальной сети.
#

$IPTABLES -A INPUT -p ALL -d $LAN_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $LAN_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets

#
# Правила для входящих пакетив из интернета.
#

$IPTABLES -A INPUT -p ALL -d $INTERNET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INTERNET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INTERNET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INTERNET_IFACE -j icmp_packets

#
# Журналируются сброшенные пакеты для отладки.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "


# 4.1.5 FORWARD цепочка
# В цепочку FORWARD попадают только те пакеты, которые адресованы не нашему хосту, либо они переадресованы нами принудительно, здесь я ограничиваюсь проверкой на корректность и разрешаю прохождение всего траффика, ограничившись некоторой проверкой по принципу "что не запрещено, то разрешено".





#
# Некорректные TCP пакеты не ждут
#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
# Журналируются сброшенные пакеты для отладки.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "


#
# Специальные OUTPUT правила разрешающие который IP's разрешены.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP_RANGE -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INTERNET_IP -j ACCEPT

# Разрешаем уходить с нашего сетевого экрана только траффику с указанными ip адресами или их диапазоном.

#
# Журналируются сброшенные пакеты для отладки.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

#
# 4.2.4 PREROUTING chain
#

#$IPTABLES -t nat -A PREROUTING -d $LAN_IP -p tcp -m tcp --dport $HTTP_PORT -j DNAT --to-destination $DMZ_HTTP_IP
#$IPTABLES -t nat -A PREROUTING -d $LAN_IP -p tcp -m tcp --dport $FTP_PORT -j DNAT --to-destination $DMZ_FTP_IP

# Это правило заменит адрес получателя в запросе к HTTP сервру с адреса $LAN_IP на адрес $DMZ_HTTP_IP, перебросив этим соединение в вашу домашнюю сеть, обратная подстановка будет осуществляться автоматически. Раскомментируйте второе правило если у вас есть в домашней сети ftp сервер, к которому вы хотите разрешить доступ из сети LOCAL, добавляйте свои правила при необходимости. Аналогично будут выглядеть правила для переброса траффика из интернета (INET), только переменная $LAN_IP меняется на $INET_IP.

#
# 4.2.5 POSTROUTING chain
#

#$IPTABLES -t nat -A POSTROUTING -s $DMZ_IP_RANGE -o $LAN_IFACE -j SNAT --to-source $LAN_IP
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $INTERNET_IFACE -j SNAT --to-source $INTERNET_IP
#$IPTABLES -t nat -A POSTROUTING -s $DMZ_IP_RANGE -o $INET_IFACE -j MASQUERADE

# Эти правила нужны для того что бы на машинах в вашей домашней сети (DMZ) были доступны сеть LOCAL и INET. Если у вас в сети LOCAL есть друзья и ваш компьютер работает круглосуточно вы можете существенно сэкономить на оплате интернета грамотно использовав эту цепочку ;)

# Если у Вас нет "белого" ip адреса раскомментируйте третие правило, удалите или закомментируйте второе и раскомментируйте строку [echo "1" > /proc/sys/net/ipv4/ip_dynaddr] в третьем разделе.


######
# 4.3 mangle table
#

#
# 4.3.1 Установка политик
#

#
# 4.3.2 Создание пользовательских цепочек
#

#
# 4.3.3 Заполнение пользовательских цепочек
#

#
# 4.3.4 PREROUTING chain
#

#
# 4.3.5 INPUT chain
#

#
# 4.3.6 FORWARD chain
#

#
# 4.3.7 OUTPUT chain
#

#
# 4.3.8 POSTROUTING chain
#


А здесь iptables-save

Код: [Выделить]

# Generated by iptables-save v1.3.8 on Fri Mar 19 08:47:02 2010
*nat
:PREROUTING ACCEPT [535:33049]
:POSTROUTING ACCEPT [53:4253]
:OUTPUT ACCEPT [53:4253]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth2 -j SNAT --to-source 192.168.100.2
COMMIT
# Completed on Fri Mar 19 08:47:02 2010
# Generated by iptables-save v1.3.8 on Fri Mar 19 08:47:02 2010
*mangle
:PREROUTING ACCEPT [8216:503150]
:INPUT ACCEPT [169362:56346897]
:FORWARD ACCEPT [20686:9876862]
:OUTPUT ACCEPT [11746:11269888]
:POSTROUTING ACCEPT [252666:98868613]
COMMIT
# Completed on Fri Mar 19 08:47:02 2010
# Generated by iptables-save v1.3.8 on Fri Mar 19 08:47:02 2010
*filter
:INPUT DROP [39:3430]
:FORWARD ACCEPT [202:23126]
:OUTPUT DROP [3:3360]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -m tcp --dport 6881 -j ACCEPT
-A INPUT -p udp -m udp --dport 6881 -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 127.0.0.0/255.0.0.0 -i lo -j ACCEPT
-A INPUT -s 192.168.0.5 -i lo -j ACCEPT
-A INPUT -s 192.168.100.2 -i lo -j ACCEPT
-A INPUT -d 192.168.0.5 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -d 192.168.100.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth2 -p tcp -j tcp_packets
-A INPUT -i eth2 -p udp -j udp_packets
-A INPUT -i eth2 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT
-A OUTPUT -s 192.168.0.5 -j ACCEPT
-A OUTPUT -s 192.168.100.2 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 8080 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 4559 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 137 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 138 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 139 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 5269 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 2049 -j allowed
-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 137 -j ACCEPT
-A udp_packets -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 138 -j ACCEPT
-A udp_packets -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 139 -j ACCEPT
-A udp_packets -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 4559 -j ACCEPT
-A udp_packets -d 255.255.255.255 -i eth2 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255 -i eth2 -p udp -m udp --dport 67:68 -j DROP
-A udp_packets -d 255.255.255.255 -i eth0 -p udp -m udp --dport 67:68 -j ACCEPT
COMMIT
# Completed on Fri Mar 19 08:47:02 2010

HELPPPPPP!!! 

[Mam(O)n]

Но потерпел неудачу

Конкретнее. И не забываем про [spоiler][/spоiler]

[arreyofspace]

Но потерпел неудачу

Конкретнее. И не забываем про [spоiler][/spоiler]

Конкретней:
1. Интернет не шарица
2. HALAFAX na 4559  не работает