HOWTO: Iptables для новичков

[Psych]

elenhil
Попробуйте роуты прописать.

upd: так, на всякий... networking перезагружать не забывайте.

[elenhil]

вот с роутами хз
вроде пытался но не получилось. Плюс, забыл добавить, с самого шлюза локалка провайдера пингуется

[AnrDaemon]

Вторую сетевую некуда воткнуть,

Чё?

да и кабель второй тянуть не очень хочется.

А надо...

Модем от права - huawei smartax mt880 с дефолтной прошивкой мог поднять одно соединение. После препрошивки может поднять одно сам + одно с компа.

Фиговый модем... проще было USB брелок тогда повесить, он бы и как вторая сетевая поработал.

Но вопрос в другом. Пытаюсь добавить правила для запрета всех входящий кроме уже поднятых соединений.

-P OUTPUT ACCEPT
-A INPUT -s локалка -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-P INPUT DROP

Исходящие разрешаем,
локалку разрешаем,
обратку разрешаем,
всё остальное запрещаем.

Но для iptables нельзя указать алиасы. Как быть в этом случае?

Ставить вторую сетевую самый правильный вариант.
Либо опираться на адреса вместо интерфейсов.

Все что пробовал приводит к полному исчезновению инета. Как запретить ненужный входящий трафик?

Вопрос неправильно стоит... Запретить - самое простое действие.

[elenhil]

разобрался, оказывается, надо было добавить во эти строчки:

Код: [Выделить]

iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

[winhex]

AnrDaemon, корпус и мать mini-itx pci-слот занят wi-fi сетевой (точка доступа hostapd) поэтому 2-ю сетевую разве что в usb воткнуть...

Фиговый модем... проще было USB брелок тогда повесить, он бы и как вторая сетевая поработал.

Ну модем какбэ работает, никаких проблем или глюков не было ни разу.... Ну а схема с алиасами работает без вопросов. Чем она плоха на твой взгляд?
Добавил правила, что ты написал + исправил те ошибки. Получилось вот что:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Jun  3 19:53:20 2010
*nat
:PREROUTING ACCEPT [6641:657882]
:POSTROUTING ACCEPT [5974:411071]
:OUTPUT ACCEPT [5980:412759]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Jun  3 19:53:20 2010
# Generated by iptables-save v1.4.4 on Thu Jun  3 19:53:20 2010
*mangle
:PREROUTING ACCEPT [34184:3805157]
:INPUT ACCEPT [31366:2841240]
:FORWARD ACCEPT [2818:963917]
:OUTPUT ACCEPT [46691:9377985]
:POSTROUTING ACCEPT [49509:10341902]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Jun  3 19:53:20 2010
# Generated by iptables-save v1.4.4 on Thu Jun  3 19:53:20 2010
*filter
:INPUT DROP [2773:259147]
:FORWARD ACCEPT [2819:964358]
:OUTPUT ACCEPT [14990:6262619]
-A INPUT -s 192.168.2.0/24 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Jun  3 19:53:20 2010

В результате все получилось как надо. Респект!

[Maulder]

1. создал правила

Код: [Выделить]

iptables -A INPUT -j   LOG --log-prefix "iptables: "
iptables -A OUTPUT -j  LOG --log-prefix "iptables: "
iptables -A FORWARD -j LOG --log-prefix "iptables: "

а если вместо LOG использовать ULOG? у меня пишет в var/log/ulog

Опеши свои  настройки... как ты сделал что бы писались логи в отдельный файл.

[AnrDaemon]

man iptables

[Maulder]

а самому обьяснить не судьба...?
хоть я уже и разобрался.....
iptables -A INPUT -i eth1  -j LOG --log-level 4 --log-prefix "INPUT''


вот и все......

так и знал что на этом форуме стали что то часто посылать по ману....

[AnrDaemon]

а самому обьяснить не судьба...?

За $50 я с удовольствием буду читать тебе мануалы вслух в течение двух часов.
С выражением.

так и знал что на этом форуме стали что то часто посылать по ману....

Это потому, что там всё это есть. Не подумай плохого...

[Maulder]

да я знаю что есть .... ну ведь зачемта создали этот форум.!!??

охото было по спрашивать.... узнать мнения... других....
Пользователь решил продолжить мысль 24 Июня 2010, 13:55:50:да я знаю что есть .... ну ведь зачемта создали этот форум.!!??

охото было по спрашивать.... узнать мнения... других....

[binstat]

доброго времени суток... не получается пробросить RDP во внешку 

содержание rc.local:
WAN=ppp0
EXT_PORT_RDP=40033
INT_PORT_RDP=3389
INT_HOST_RDP=192.168.5.1
iptables -F
iptables -t nat -F
iptables -t nat -I PREROUTING -p tcp --dport ${EXT_PORT_RDP} -i ${WAN} -j DNAT --to {INT_HOST_RDP}:${INT_PORT_RDP}
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
exit 0

вот что выдает sudo iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

вот что выдает sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:40033 to:192.168.5.1:3389

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

[no_fhantazzy]

Добрый вечер!

Объясните, пожалуйста, тупому (команды, которые нашел в сети, не спасают)

Нужно: чтобы рабочая станция не пинговалась извне (совсем)

Пишу, как советуют умные люди,
net.ipv4.icmp_echo_ignore_all = 1

в файл
/etc/sysctl.conf

и нифига, онлайн сканеры прекрасно меня пингуют, и данные выдают по задержке сигнала

UPD: чуть раньше удалось закрыть все порты, хотя и с десятого раза
ну не умею я, пока, все методом тыка - а с пингом вообще затык

[djrust]

# Разрешаем себе ping наружу - нас же не попингуешь - пакеты отбрасываются.

Код: [Выделить]

iptables -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT
# Название сетевой на которую интернет приходит
INET_IFACE="ethX"

[no_fhantazzy]

ввел в терминале, указав eth0
- без успеха

сейчас попробую добавить это в rc.local, - и с путем к iptables

[Mam(O)n]

iptables -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-request -j DROP вообщето
Пользователь решил продолжить мысль 16 Июля 2010, 14:16:59:И опять же зависит от того, что уже в цепочке INPUT есть...