HOWTO: Iptables для новичков

[aSmile]

спасибо, поправил

[Maulder]

Привет! всем....

такой вопрос: как запретить в iptables прослушивать радио поток.? или через тот же  iptables запретить маил агент.

[MaratSh]

такой вопрос: как запретить в iptables прослушивать радио поток.? или через тот же  iptables запретить маил

А гугл у тебя уже заблокирован через iptables?  
Обязательно проверь, работает гугл или нет, вот ссылки для проверки: 1 и 2

[Maulder]

А гугл у тебя уже заблокирован через iptables?  
Обязательно проверь, работает гугл или нет, вот ссылки для проверки: 1 и 2

 

работает!!!!!!!!!!!!!!!!!!!!! твой ГУГЛ........

если что....... Я спрашивал не у гугла а у насиления этотого форума.........  следующий раз прочти внимательней пост......

[MaratSh]

если что....... Я спрашивал не у гугла а у насиления этотого форума.........  следующий раз прочти внимательней пост......

Может быть, после прочтения выше обозначенных ссылок на гугл, у тебя появились более конкретные вопросы, кроме как "дайте мне готовый конфиг!"?

[thunderamur]

Maulder
куча смайлов, крик, многоточия и грамматические ошибки - просто киберхамство какое-то 

[Maulder]

если что....... Я спрашивал не у гугла а у насиления этотого форума.........  следующий раз прочти внимательней пост......

Может быть, после прочтения выше обозначенных ссылок на гугл, у тебя появились более конкретные вопросы, кроме как "дайте мне готовый конфиг!"?

а я и непросил готовый скрипт ... я просил просто подсказать куда копать... может кто сталкивался.. что бы мне быстрее решить свой вопрос... вот я и обратился на этот форум... но только не в гугле копать.... я и сам знаю что там в первую очередь копают.... но ведь зачемто был создан этот форум..??!!
мне кажется что он и  был создан и менно для быстрого и правельно решения вопросов и менно связаных с Iptables !!!


Пользователь решил продолжить мысль 05 Августа 2010, 10:14:23:

Maulder
куча смайлов, крик, многоточия и грамматические ошибки - просто киберхамство какое-то 

Сори если что то непондравилось... но я так привык уже... многоготочие я пишу уже попривычки.... я работаю админом.. и меня и ногда дастают с тупыми вопросами вот и я уже на такие вопросы автоматом отвечаю многоточием.... 

[MaratSh]

но ведь зачемто был создан этот форум..??!!
мне кажется что он и  был создан и менно для быстрого и правельно решения вопросов и менно связаных с Iptables !!!

Конечно же, этот форум был создан специально для того, чтобы все делали Copy-Paste из гугла, стараясь найти ответ на чрезвычайно сложные вопросы оДмина Maulder.

P.S: А я на тупые вопросы отвечаю ссылками в гугл.  

[Maulder]

если для тебя это просто то ответь на мой вопрос а не  дерзи.....

[AnrDaemon]

Тебе уже ответили. Так лень почитать готовое решение?

[Maulder]

Вот Iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Thu Aug  5 17:41:42 2010
*mangle
:PREROUTING ACCEPT [127345702:63771906559]
:INPUT ACCEPT [19927531:12119017589]
:FORWARD ACCEPT [107417520:51652821141]
:OUTPUT ACCEPT [20972969:13082838750]
:POSTROUTING ACCEPT [123301800:64436917514]
COMMIT
# Completed on Thu Aug  5 17:41:42 2010
# Generated by iptables-save v1.4.1.1 on Thu Aug  5 17:41:42 2010
*filter
:INPUT DROP [64:3487]
:FORWARD DROP [23:1402]
:OUTPUT ACCEPT [20972969:13082838750]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.0.50.2/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.4/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.10/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.11/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.12/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.13/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.14/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.15/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.16/32 -m mac --mac-source -j ACCEPT
-A INPUT -s 10.0.50.17/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.18/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.19/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.20/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.21/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.22/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.23/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.24/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.25/32 -m mac --mac-source -j ACCEPT
-A INPUT -s 10.0.50.26/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.27/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.28/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.29/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.30/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.31/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.32/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.33/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.34/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.35/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.37/32 -m mac --mac-source  -j ACCEPT
-A INPUT -s 10.0.50.38/32 -m mac --mac-source  -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 206 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
-A INPUT -m string --string "google.ru" --algo kmp --to 65535 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth1 -p tcp -m state --state NEW -m multiport --dports 1025:65535 -j ACCEPT
-A FORWARD -o eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -o eth0 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A FORWARD -s 10.0.50.32/32 -p udp -m udp --dport 87 -m state --state NEW -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 206 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 5190 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A FORWARD -m string --string "google.ru" --algo kmp --to 65535 -j DROP
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 8585 -j ACCEPT
-A FORWARD -o eth1 -p udp -m state --state NEW -m udp --dport 8585 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m multiport --dports 1494,1495,1496 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A FORWARD -o eth1 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 10.0.50.2/32 -p tcp -m tcp --dport 58004 -m state --state NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Thu Aug  5 17:41:42 2010
# Generated by iptables-save v1.4.1.1 on Thu Aug  5 17:41:42 2010
*nat
:PREROUTING ACCEPT [8387962:499180388]
:POSTROUTING ACCEPT [436900:29871556]
:OUTPUT ACCEPT [655190:45763314]
-A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 58004 -j DNAT --to-destination 10.0.50.2
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Aug  5 17:41:42 2010

 

А теперь вопрос почему не работают вот эти правела.?

iptables -A FORWARD -m string --string "google.ru" --algo kmp --to 65535 -j DROP
iptables -A INPUT -m string --string "google.ru" --algo kmp --to 65535 -j DROP

[MaratSh]

iptables -A FORWARD -m string --string "google.ru" --algo kmp --to 65535 -j DROP
iptables -A INPUT -m string --string "google.ru" --algo kmp --to 65535 -j DROP

А этот модуль string у тебя установлен?

Пользователь решил продолжить мысль [time]Thu Aug  5 22:47:53 2010[/time]:Да кстати, вот что пишут в man iptables про этот String

(Нажмите, чтобы показать/скрыть)

string
       This modules matches a given string by using some pattern matching strategy. It requires a linux kernel >= 2.6.14.

       --algo {bm|kmp}
              Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)

       --from offset
              Set the offset from which it starts looking for any matching. If not passed, default is 0.

       --to offset
              Set the offset from which it starts looking for any matching. If not passed, default is the packet size.

       [!] --string pattern
              Matches the given pattern.

       [!] --hex-string pattern
              Matches the given pattern in hex notation.

[Maulder]

да установлен вот этот модуль xt_string.ko он как я понял и есть ключ к моей проблеме... вот только пролапатил гугл... ненашол ответа.. как его подключить или подгрузить....

подскажите.....

прописывал я это не ту толку все равно не банит.... modprobe ipt_string

[Mam(O)n]

У тебя -m state --state RELATED,ESTABLISHED -j ACCEPT всё пропускает еще до проверки.

[Maulder]

Привет! и как быть ??