HOWTO: Iptables для новичков

[зоррыч]

Опять не понял. Что за белиберду ты несёшь, ты что курил?

Помоему написано все предельно ясно и понятно)
есть правило которое должно работать,но по каким то причином не работает.

[aSmile]

а нельзя просто в /etc/hosts прописать, а?

[зоррыч]

а нельзя просто в /etc/hosts прописать, а?

можно, но хотелось бы все же реализовать на уровне пакетов это дело.  Уж очень хочется)

[AnrDaemon]

Ещё раз спрашиваю - что ты курил? Либо объясни нормально исходную постановку задачи.

[зоррыч]

Ещё раз спрашиваю - что ты курил? Либо объясни нормально исходную постановку задачи.

очень приятно отвечать на однотипные вопросы =)
что конкретно не понятно? какая именно строчка вводит вас многоуважаемый в заблуждение?

[Mam(O)n]

Зоррыч, может тебе нужно не д-натить а -j REDIRECT ?

[зоррыч]

Зоррыч, может тебе нужно не д-натить а -j REDIRECT ?

Если я правильно понимаю схему работы, то редирект работает только в рамках локальной машины (делает редирект на указанный порт).
А если мне потребуется изменить правило таким образом, чтобы адрес менялся не на 127.0.0.1,а на 192.168.0.10, то в этом случае редирект тут не поможет

[Mam(O)n]

Если я правильно понимаю схему работы, то редирект работает только в рамках локальной машины (делает редирект на указанный порт).

Перевод нужен?

  REDIRECT
       This target is only valid in the nat table, in the PREROUTING and  OUT‐
       PUT  chains,  and  user-defined chains which are only called from those
       chains.  It redirects the packet to the machine itself by changing  the
       destination  IP  to  the  primary  address  of  the  incoming interface
       (locally-generated packets are mapped to the 127.0.0.1 address).

А если мне потребуется изменить правило таким образом, чтобы адрес менялся не на 127.0.0.1,а на 192.168.0.10, то в этом случае редирект тут не поможет

Тогда уже понадобится DNAT.

[AnrDaemon]

Ещё раз спрашиваю - что ты курил? Либо объясни нормально исходную постановку задачи.

очень приятно отвечать на однотипные вопросы =)
что конкретно не понятно? какая именно строчка вводит вас многоуважаемый в заблуждение?

Непонятно, что ты вообще пытаешься сделать. И "ну шоб булО" - это не тот ответ, который я жду.

[зоррыч]

А если мне потребуется изменить правило таким образом, чтобы адрес менялся не на 127.0.0.1,а на 192.168.0.10, то в этом случае редирект тут не поможет

Тогда уже понадобится DNAT.

Есть идеи почему он может не работать? В реальности правила несколько другими  внешними адресами, поэтому я немонго изменил выводы. На смутивший некоторых товарищей локалхост. Но суть правил осталось прежней.


  

Непонятно, что ты вообще пытаешься сделать. И "ну шоб булО" - это не тот ответ, который я жду.

Все написано в моем первом сообщении =)

Нужно чтобы адрес в пакетах  к адресу  109.105.130.95  от локальной машины менялся на  адрес 127.0.0.1

ок, адрес 127.0.0.1 меняется на 192.168.0.10 ( как уже писал в  раельности адрес  другой,но не 127.0.0.1)

[Mam(O)n]

поэтому я немонго изменил выводы. На смутивший некоторых товарищей локалхост.

Нихренасебе немного., смысл то уже другой становится. Порой даже мелкое изменение может способствовать появлению новых более оптимальных путей решения. От правильно поставленной задачи с чёткими требованиями всегда зависит правильность решения.

Есть идеи почему он может не работать?

Хз. Убунты конечно под рукой нет, но щас проверил на домашнем роутере - так всё работает:

Код: [Выделить]

[root@WL500 root]# wget http://localhost
Connecting to localhost (127.0.0.1:80)
wget: server returned error: HTTP/1.0 401 Unauthorized
[root@WL500 root]# wget http://9.9.9.9 -O-
Connecting to 9.9.9.9 (9.9.9.9:80)
wget: cannot connect to remote host (9.9.9.9): Connection timed out
[root@WL500 root]# iptables -A OUTPUT -t nat -p tcp -d 9.9.9.9 -j DNAT --to 127.0.0.1
[root@WL500 root]# wget http://9.9.9.9 -O-
Connecting to 9.9.9.9 (9.9.9.9:80)
wget: server returned error: HTTP/1.0 401 Unauthorized



Сразу наклёвывается вопрос. Как проверяешь работоспособность?

[зоррыч]

поэтому я немонго изменил выводы. На смутивший некоторых товарищей локалхост.

Нихренасебе немного., смысл то уже другой становится. Порой даже мелкое изменение может способствовать появлению новых более оптимальных путей решения. От правильно поставленной задачи с чёткими требованиями всегда зависит правильность решения.

Есть идеи почему он может не работать?

Хз. Убунты конечно под рукой нет, но щас проверил на домашнем роутере - так всё работает:

Код: [Выделить]

[root@WL500 root]# wget http://localhost
Connecting to localhost (127.0.0.1:80)
wget: server returned error: HTTP/1.0 401 Unauthorized
[root@WL500 root]# wget http://9.9.9.9 -O-
Connecting to 9.9.9.9 (9.9.9.9:80)
wget: cannot connect to remote host (9.9.9.9): Connection timed out
[root@WL500 root]# iptables -A OUTPUT -t nat -p tcp -d 9.9.9.9 -j DNAT --to 127.0.0.1
[root@WL500 root]# wget http://9.9.9.9 -O-
Connecting to 9.9.9.9 (9.9.9.9:80)
wget: server returned error: HTTP/1.0 401 Unauthorized



Сразу наклёвывается вопрос. Как проверяешь работоспособность?

Спасибо =) неверно проверял
Проверял с помощью команды netstat -tupn которая вероятно выдает  адрес еще до изменения, что и ввело в заблуждение.

[Иваныч]

Здравствуйте! Настроил iptables по шаблонному примеру. Хотя у меня конфигурации сети отличается немного. У меня интернет через роутер и локалки в принципе нет
Почему то при включенных правилах не удается передавать файлы через джабер. И сильно глючит FTP клиент. Он "не видит" файлы которые только что сам закачал на сервер. И посылает их снова и снова. В чем проблема  немогу разобраться. Порты вроде открыты. Ошибок в логах нет.

текст rc.firewall

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
INET_IP="192.168.1.2"
INET_IFACE="eth0"
INET_BROADCAST="192.168.1.255"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state


echo "1" > /proc/sys/net/ipv4/ip_forward


$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP


$IPTABLES -N bad_tcp_packets


$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW  -m limit --limit 3/hour -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 5141 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 5141 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $INET_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets


$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 15 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: " 

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 15 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

[jnrhsnm]

Привет всем.
В Linuxе начинающий, сделал простой пакетный фильтр. У меня все работает. Хотелось бы узнать мнение на сколько правильно все сделано.
 eth0 смотрит в мопед
 eth1 в локалку.
 Явно указаны днс провика.
 Серый айпи( на 10....) изменил не из-за боязни хакеров.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Sat May 15 17:16:24 2010
*mangle
:PREROUTING ACCEPT [45118794:35141739267]
:INPUT ACCEPT [40288326:33665092627]
:FORWARD ACCEPT [4678571:1460842263]
:OUTPUT ACCEPT [33307052:10316040307]
:POSTROUTING ACCEPT [37991701:11777781310]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat May 15 17:16:24 2010
# Generated by iptables-save v1.4.1.1 on Sat May 15 17:16:24 2010
*nat
:PREROUTING ACCEPT [1422922:129047418]
:POSTROUTING ACCEPT [374062:22645280]
:OUTPUT ACCEPT [1550687:142561361]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sat May 15 17:16:24 2010
# Generated by iptables-save v1.4.1.1 on Sat May 15 17:16:24 2010
*filter
:INPUT DROP [3845:459738]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INK - [0:0]
:OUTK - [0:0]
-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 13 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -s 89.232.109.74/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 89.232.109.74/32 -p udp -j ACCEPT
-A INPUT -s 217.23.176.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 217.23.176.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m limit --limit 7/min -j LOG --log-level 6
-A INPUT -d 192.168.2.201/32 -i eth1 -j INK
-A INPUT -d 10.2_7.39.1_2/32 -i eth0 -j INK
-A INPUT -i ppp0 -j INK
-A INPUT -i eth0 -j INK
-A INPUT -d 192.168.1.255/32 -i eth0 -j DROP
-A INPUT -d 255.255.255.255/32 -i ppp0 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -p udp -m udp --dport 135:139 -j DROP
-A INPUT -p icmp -j DROP
-A INPUT -p icmp -f -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -p icmp -j DROP
-A FORWARD -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 14 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -j OUTK
-A FORWARD -d 192.168.2.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.2.0/24 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j DROP
-A FORWARD -j LOG --log-level 6
-A OUTPUT -s 10.2_7.39.1_2/32 -d 89.232.109.74/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 10.2_7.39.1_2/32 -d 89.232.109.74/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 10.2_7.39.1_2/32 -d 217.23.176.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 10.2_7.39.1_2/32 -d 217.23.176.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j OUTK
-A OUTPUT -o eth1 -j OUTK
-A OUTPUT -o eth0 -j OUTK
-A OUTPUT -j LOG --log-level 6
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INK -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INK -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INK -s 192.168.2.0/24 -d 192.168.2.201/32 -i eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INK -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "INK" --log-level 6
-A INK -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INK -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "INK" --log-level 6
-A INK -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A INK -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "INK" --log-level 6
-A INK -p icmp -m icmp --icmp-type 8 -j DROP
-A INK -j DROP
-A OUTK -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTK -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTK -p icmp -j ACCEPT
-A OUTK -j ACCEPT
COMMIT
# Completed on Sat May 15 17:16:24 2010

[AnrDaemon]

А модем роутером кто мешал настроить?