Автор Тема: HOWTO: Iptables для новичков (Прочитано 527127 раз)

chikatillo · « **Ответ #750 :** 26 Мая 2010, 18:06:11 »

В смысле что это значит?

AnrDaemon · « **Ответ #751 :** 26 Мая 2010, 18:30:11 »

Ничего особенного, разработчики iptables дурью маются.

vektor-mw · « **Ответ #752 :** 27 Мая 2010, 00:38:34 »

Возникла такая проблема. Компьютер с ОС Ubuntu 10.4
Есть несколько сетевых интерфейсов:
eth0 - сеть провайдера
ppp0 - vpn соединение (белый ip)
wlan0 - соединение по wi-fi c ноутбуком
ifconfig:

Цитировать

eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
   inet addr:172.16.xxx.xxx Bcast:172.16.xxx.xxx Mask:255.255.248.0
   UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
   RX packets:76344 errors:0 dropped:0 overruns:0 frame:0
   TX packets:16667 errors:0 dropped:0 overruns:0 carrier:3
   collisions:0 txqueuelen:1000
   RX bytes:14930808 (14.9 MB) TX bytes:2486551 (2.4 MB)
   Interrupt:29

lo Link encap:Локальная петля (Loopback)
   inet addr:127.0.0.1 Mask:255.0.0.0
   UP LOOPBACK RUNNING MTU:16436 Metric:1
   RX packets:177 errors:0 dropped:0 overruns:0 frame:0
   TX packets:177 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:0
   RX bytes:18333 (18.3 KB) TX bytes:18333 (18.3 KB)

ppp0 Link encap:Протокол PPP (Point-to-Point Protocol)
   inet addr:xxx.xxx.xxx.xxx P-t-P:192.168.130.10 Mask:255.255.255.255
   UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1460 Metric:1
   RX packets:6497 errors:0 dropped:0 overruns:0 frame:0
   TX packets:6972 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:3
   RX bytes:4907216 (4.9 MB) TX bytes:1119108 (1.1 MB)

wlan0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
   inet addr:192.168.10.3 Bcast:192.168.10.7 Mask:255.255.255.248
   UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
   RX packets:1194 errors:0 dropped:0 overruns:0 frame:0
   TX packets:1186 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:1000
   RX bytes:145114 (145.1 KB) TX bytes:382694 (382.6 KB)

настраиваю маршрутизацию с помощью iptables, вот save:

Цитировать

# Generated by iptables-save v1.4.4 on Wed May 26 22:39:08 2010
*nat
:PREROUTING ACCEPT [8451:856374]
:POSTROUTING ACCEPT [402:27717]
:OUTPUT ACCEPT [391:27172]
-A POSTROUTING -s 192.168.10.4/32 -o ppp0 -j SNAT --to-source xxx.xxx.xxx.xxx
-A POSTROUTING -s 192.168.10.4/32 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx
COMMIT
# Completed on Wed May 26 22:39:08 2010
# Generated by iptables-save v1.4.4 on Wed May 26 22:39:08 2010
*filter
:INPUT DROP [4392:462913]
:FORWARD ACCEPT [1879:459865]
:OUTPUT ACCEPT [2893:362278]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.10.4/32 -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
COMMIT
# Completed on Wed May 26 22:39:08 2010

Смысл в следующем, на ноуте не открываются сайты (все кроме yandex как ни странно), хотя пинги проходят, почта работает (smtp, pop)
Сайты в сети провайдера открываются...
Когда гружусь в винде (настроена маршрутизация с помощью kerio) все отлично, то есть дело не в ноутбуке.
Подскажите в чем может быть проблема?

mithrusc · « **Ответ #753 :** 28 Мая 2010, 13:34:00 »

как правильно использовать pre-up(в /etc/network/interfaces) вместе с sleep ?
pre-up sleep .3
pre-up iptables-restore /path/path/config
?
Смысл в том что иногда vpn подключение не успевает подняться а iptables уже подгружает конфиг и нужного интерфейса нет (ppp0)

AnrDaemon · « **Ответ #754 :** 28 Мая 2010, 15:43:48 »

Положить скрипт (с именем без точки) в /etc/network/if-pre-up.d/
Правила iptables класть в up !!
Создать можно скриптом

Код: [Выделить]

#! /bin/bash
cp --backup=numbered -aT -- /etc/network/if-up.d/iptables-rules /var/backups/iptables-rules
echo -e "#! /sbin/iptables-restore\n`iptables-save`" > /etc/network/if-up.d/iptables-rules
chmod +x /etc/network/if-up.d/iptables-rules

the_madghost · « **Ответ #755 :** 29 Мая 2010, 16:04:07 »

Цитата: vektor-mw от 27 Мая 2010, 00:38:34

Смысл в следующем, на ноуте не открываются сайты (все кроме yandex как ни странно), хотя пинги проходят, почта работает (smtp, pop)
Сайты в сети провайдера открываются...
Когда гружусь в винде (настроена маршрутизация с помощью kerio) все отлично, то есть дело не в ноутбуке.
Подскажите в чем может быть проблема?

такая же проблема

vektor-mw · « **Ответ #756 :** 29 Мая 2010, 17:12:27 »

Все нашел))
https://forum.ubuntu.ru/index.php?topic=96422.0

mithrusc · « **Ответ #757 :** 29 Мая 2010, 20:13:35 »

AnrDaemon
Обьясните пожалуйста что дают все эти ключи что вы привели

Код: [Выделить]

cp --backup=numbered -aT -- /etc/network/if-up.d/iptables-rules /var/backups/iptables-rulesпонятно что делает копию файла

Код: [Выделить]

echo -e "#! /sbin/iptables-restore\n`iptables-save`" > /etc/network/if-up.d/iptables-rulesа зачем еще раз сохранять? тут что то еще есть
"chmod +x /etc/network/if-up.d/iptables-rules"
с этим понятно
network/if-up.d/
вот я смотрю у меня там bind9 висит, из этой папки скрипты выполняются только в случае поднятия одного из "интерфейсов"? Я уже хотел углубляться и писать скрипт который бы проверял получены ли ip адреса и выполнял действия.
udp:
тупо упихал все команды в скрипт в if-up.d взял только "закоментированную" шапку от bind9, отрабатывает.

AnrDaemon · « **Ответ #758 :** 29 Мая 2010, 23:20:12 »

Госсподи, дай мне ясности мышления... в общем, так.
Скрипт, который я привёл, не надо класть в network, это плохо кончится.
Этот скрипт лежит у меня в ~/bin и запускается только когда я что-то меняю в iptables.
Этот (приведённый мною) скрипт создаёт ДРУГОЙ скрипт, в каталоге /etc/network/if-up.d/ с именем iptables-rules.
Со всеми приличествующими моменту реверансами, типа создания бэкапа и делания скрипта исполнимым.

winhex · « **Ответ #759 :** 01 Июня 2010, 21:26:01 »

Не могу решить проблему.... есть шлюз, одна физическая сетевая. На модем смотрит eth0, на внутреннюю сеть - eth0:0
ifconfig

(Нажмите, чтобы показать/скрыть)

После добавления правила:

Код: [Выделить]

iptables -A FORWARD -s 192.168.2.0/24 -i ppp0 -m state --state NEW,ESTABLISHED -j ACCEPTв локалке появляется инет.
еще добавляю:

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128

и получается работа через прозрачный сквид.
Но вот закрыть входящие никак не получается. Пробовал добавить например такие правила:

(Нажмите, чтобы показать/скрыть)

пропадает инет как на самом шлюзе, так и в локалке. Подскажите как это решить?
Еще вопрос - я так понял iptables не может работать с алиасами? как указать ему интерфейс eth0:0?

AnrDaemon · « **Ответ #760 :** 01 Июня 2010, 21:55:34 »

А ppp0 откуда взялось? Настрой модем роутером и не мучайся.
И показывай iptables-save - я не онлайн-интерпретатор шелл-скриптов.

winhex · « **Ответ #761 :** 01 Июня 2010, 22:11:30 »

Цитировать

А ppp0 откуда взялось? Настрой модем роутером и не мучайся.

ppp0 появился после поднятия pppoe, модем настроен бриджом.
Модем роутером уже был, не пойдет так. Нужно шейпить трафик. Кроме того, у провайдера гостевые ресурсы доступны только после поднятия еще одного pppoe-соединения, а уже поднимать одно или два, большой разницы нет.
iptables-save:

(Нажмите, чтобы показать/скрыть)

AnrDaemon · « **Ответ #762 :** 01 Июня 2010, 22:24:10 »

Цитата: winhex от 01 Июня 2010, 22:11:30

Цитировать
А ppp0 откуда взялось? Настрой модем роутером и не мучайся.
ppp0 появился после поднятия pppoe, модем настроен бриджом.
Модем роутером уже был, не пойдет так. Нужно шейпить трафик.

Шейпи, кто не даёт? Вторую сетевую в комп, изолировать модем от локальной сети в принципе и шейпи на здоровье.

Цитировать

Кроме того, у провайдера гостевые ресурсы доступны только после поднятия еще одного pppoe-соединения, а уже поднимать одно или два, большой разницы нет.

Именно. Модемы (все, которые я видел) умеют поднимать до 8 (восьми) соединений одновременно.

Цитировать

# Generated by iptables-save v1.4.4 on Tue Jun 1 21:09:45 2010
*nat
:PREROUTING ACCEPT [13795:1403905]
:POSTROUTING ACCEPT [10702:833303]
:OUTPUT ACCEPT [10737:844783]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-- забыл "-d ! наш_IP"
-A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
-- забыл "-o ppp0"
COMMIT
# Completed on Tue Jun 1 21:09:45 2010
# Generated by iptables-save v1.4.4 on Tue Jun 1 21:09:45 2010
*mangle
:PREROUTING ACCEPT [167826:45778298]
:INPUT ACCEPT [167816:45777458]
:FORWARD ACCEPT [10:840]
:OUTPUT ACCEPT [195925:130584475]
:POSTROUTING ACCEPT [195935:130585315]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Jun 1 21:09:45 2010
# Generated by iptables-save v1.4.4 on Tue Jun 1 21:09:45 2010
*filter
:INPUT ACCEPT [167827:45778458]
:FORWARD ACCEPT [10:840]
:OUTPUT ACCEPT [195936:130585511]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-- У тебя уже есть (правильная) строка в mangle, тут это лишнее и работать не будет.
-A FORWARD -s 192.168.2.0/24 -i ppp0 -m state --state NEW,ESTABLISHED -j ACCEPT
-- Это что за бред? Как -s 192.168.2.0/24 может быть при -i ppp0 ?
COMMIT
# Completed on Tue Jun 1 21:09:45 2010

winhex · « **Ответ #763 :** 02 Июня 2010, 23:56:00 »

Вторую сетевую некуда воткнуть, да и кабель второй тянуть не очень хочется. Модем от права - huawei smartax mt880 с дефолтной прошивкой мог поднять одно соединение. После препрошивки может поднять одно сам + одно с компа.
Странно, что в этом iptables-save ошибки, т.к. все работает.... Но попробую их исправить, спасибо.
Но вопрос в другом. Пытаюсь добавить правила для запрета всех входящий кроме уже поднятых соединений. Для примера использую мануал из первого поста. Но для iptables нельзя указать алиасы. Как быть в этом случае? Все что пробовал приводит к полному исчезновению инета. Как запретить ненужный входящий трафик?

elenhil · « **Ответ #764 :** 03 Июня 2010, 00:24:11 »

Здраствуйте, возникла такая проблема.

есть дома локалка, подключена к интернету через шлюз
на шлюзе стоит Ubuntu server 10.04
на компах в локалке - Windows и Ubuntu 10,04

интернет переброшен через форвардинг:

Код: [Выделить]

root@ubuntu:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             192.168.0.0/24      

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

в /proc/sys/net/ipv4/ip_forward стоит 1

так вот, в чем собсно проблема.
Провайдер кроме доступа к интрнету дает доступ к локалке по ип 10.х.х.х
Так вот, в нитернет все нормально выходит, а ресурсы локалки недоступны.

погуглил, накопал что надо сделать маскарад.
сделал правило

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADEне реагирует =(

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

аналогично

в шлюзе стоит 2 сетевухи, нтернет по впн.
интерфейсы:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@ubuntu:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:24:01:04:cf:43  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::224:1ff:fe04:cf43/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:34371 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28837 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:11490000 (11.4 MB)  TX bytes:17555084 (17.5 MB)
          Interrupt:11 Base address:0xe000 

eth1      Link encap:Ethernet  HWaddr 00:26:5a:05:fa:16  
          inet addr:10.20.22.105  Bcast:10.20.23.255  Mask:255.255.248.0
          inet6 addr: fe80::226:5aff:fe05:fa16/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:63027 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45204 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:21622773 (21.6 MB)  TX bytes:13481245 (13.4 MB)
          Interrupt:12 Base address:0x2000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:17 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1573 (1.5 KB)  TX bytes:1573 (1.5 KB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:89.179.217.241  P-t-P:85.21.230.73  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:31707 errors:0 dropped:0 overruns:0 frame:0
          TX packets:36717 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:17306211 (17.3 MB)  TX bytes:11195622 (11.1 MB)

соответственно eth0-моя домашняя локалка
eth1 - внешний мир

так вот, как мне сделать так чтобы локальные ресурсы работали? не пойму =(

Форум русскоязычного сообщества Ubuntu

Автор Тема: HOWTO: Iptables для новичков (Прочитано 527127 раз)

chikatillo

Re: HOWTO: Iptables для новичков

AnrDaemon

Re: HOWTO: Iptables для новичков

vektor-mw

Re: HOWTO: Iptables для новичков

mithrusc

Re: HOWTO: Iptables для новичков

AnrDaemon

Re: HOWTO: Iptables для новичков

the_madghost

Re: HOWTO: Iptables для новичков

vektor-mw

Re: HOWTO: Iptables для новичков

mithrusc

Re: HOWTO: Iptables для новичков

AnrDaemon

Re: HOWTO: Iptables для новичков

winhex

Re: HOWTO: Iptables для новичков

AnrDaemon

Re: HOWTO: Iptables для новичков

winhex

Re: HOWTO: Iptables для новичков

AnrDaemon

Re: HOWTO: Iptables для новичков

winhex

Re: HOWTO: Iptables для новичков

elenhil

Re: HOWTO: Iptables для новичков