HOWTO: Iptables для новичков

[Alex_x86]

Спасибо. Но отсутствие записей (ИМХО) либо не было срабатывания правила. Либо правила не работают (не загрузились).
Меня интересует как проверить, что написанное правило используется, загрузилось и т.п.
Ветка для новичков так, что извините за вопросы.

[AnrDaemon]

Написать в правиле, которое тестируешь, вместо "-j ДЕЙСТВИЕ" - "-j LOG"
Только учти, что некоторые правила агрятся на каждый пакет, и запросто могут уложить логгер на лопатки.

[Alex_x86]

Это я понял. Но если по ходу жизни не было события на которое заточено правило, то как отличить отсутствие записей
в логгере от от случая когда правило написано, но iptables это правило и остальные правила не использует так как они не загрузились
после рестарта системы.

[AnrDaemon]

Создать этот случай самостоятельно... так трудно догадаться?

так как они не загрузились после рестарта системы.

Чё??

[Alex_x86]

Ставлю правило
iptables -A INPUT -p icmp --icmp-type echo-request -i ppp0 -j LOG --log-level INFO --log-prefix "ATAKA_PING"
iptables -A INPUT -p icmp --icmp-type echo-request -i ppp0 -j DROP
Прописано в файле /etc/iptables.up.rules

Запускаю тест http://www.pcflank.com/.
Получаю результат
      Packet' type         Status     
     TCP "ping"         stealthed    
     TCP NULL         stealthed    
     TCP FIN         stealthed    
     TCP XMAS         stealthed    
     UDP                 stealthed

Иногда результат Non-stealthed
acket' type         Status     
     TCP "ping"         non-stealthed    
     TCP NULL         non-stealthed    
     TCP FIN         non-stealthed    
     TCP XMAS         non-stealthed    
     UDP         non-stealthed

В /var/log/syslog нет никаких записей.

Почему результаты тестов разные, почему в лог не пишется?
Правило не используется (не загружено) Или правило неправильно записано?

[AnrDaemon]

Загрузка правил так вообще не проверяется. Я с вами кончусь... весь.
iptables-save и https://forum.ubuntu.ru/index.php?topic=99586.0

[bubuntu-ru]

Ставлю правило
iptables -A INPUT -p icmp --icmp-type echo-request -i ppp0 -j LOG --log-level INFO --log-prefix "ATAKA_PING"
iptables -A INPUT -p icmp --icmp-type echo-request -i ppp0 -j DROP
Прописано в файле /etc/iptables.up.rules

Запускаю тест http://www.pcflank.com/.
В /var/log/syslog нет никаких записей.

Почему результаты тестов разные, почему в лог не пишется?
Правило не используется (не загружено) Или правило неправильно записано?

Про псфланк.ком
http://s45.ЗАПРЕЩЁННЫЙ РЕСУРС/i107/1009/67/d3625ae3bf5e.png
http://s58.ЗАПРЕЩЁННЫЙ РЕСУРС/i161/1009/c6/c5ec7cfcc5b4.png
ресурс слабоват. По 2 ссылке, внизу тоже все открыто, просто места было мало для скрина.
Этот http://nmap-online.com/ получше будет, но тоже слабоват. Если тут всегда будет просить -PN, значит есть пинг защита.
типа так  -A -PN ай пи.
Можно пингануть свой адрес и с инета. Если есть 2 пк, то или с локалки, или прям со входа сетевой что в инет смотрит, только вместо ppp0, eth0(или какой в инет).
Правила которые выше про пинг можно поставить самые первые в инпуте и посмотреть что будет. Хотя  пинг идет предпоследним в моей цепочки перед дропом.
-p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ULOG --ulog-prefix "ping protection"
-p icmp -m icmp --icmp-type 8 -j DROP
в цепочке инпут сам пинг в дропе, но дроп только после моей цепочки.
пример
-A INPUT -m state --state INVALID -j DROP
............................................... -j DROP
-A INPUT ........ -j моя цепочка
-A INPUT -p icmp -j DROP
-A INPUT -p icmp -f -j DROP
в своей цепочке указано какой пинг разрешен. Если дроп пинга поставить вперед, то пинг будет дропаться и недойдет до того, что ему разрешили.
Вот  пинганул комп с фаером из локалки
Sep 18 17:45:22 c_____k ping protection IN=eth1 OUT= MAC=00:86:18:c8:a8:6d:00:1e:ec:1d:3f:7b:08:00  SRC=192.168.2.203 DST=192.168.2.201 LEN=84 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=13359 SEQ=52
Чтобы такая запись появилась надо реально пингануть с компа.
Логи по мне лучше так смотреть, чем пялиться в журнал.
grep "ping protection" "/home/c_____k/ulog/syslogemu.log"
или так посмотреть что выйдет
grep "ATAKA_PING" "/var/log/syslog"
Вместо log, применен ulog. LOG слишком спамит.

[AnrDaemon]

Что это было?

[Alex_x86]

Что это было?

А это что???
Не посылать всех к манам или давать ответы понятные только "посвященным"  это класс.
Squid3 и Privoxy я настроил по манам. А этот хороший iptables ни как не могу вот уже 6 сообщений в форум бросил,
а по полученным ответам свой первый вопрос так и не решил. 3,14здец.

[AnrDaemon]

Потрудись писать по-русски. Пожалуйста. Если ты думаешь так же, как пишешь - не удивительно, что у тебя ничего не получается. Каша в голове ещё никому пользы не приносила.

[bubuntu-ru]

Что это было?

А каком месте ошибки.

[AnrDaemon]

Что это было?

А каком месте ошибки.

Что вообще это был за поток сознания? У меня мозги сдались на третьей строчке, дальше только вздрагивали, встречая знакомые слова.

[bubuntu-ru]

Ааа. Понятно. Ну все как обычно, набор стандартный, а вон тот лысый заплатит картой. Пусть по вашему будет, в чужой огород зачем лезть.

[Alex_x86]

Гы-Гы-Гы поставлю Outpost от Agnitum под Вайном.
Хвати 3,14сюнами мериться.
Больше постов в ветке не пишу. Кроме "СПАСИБА" тому кто даст действенный совет.
В любом случае респект неравнодушным.

[InkVisitor]

Чё-то тут такого огорода нагородили с этим логированием...
А нельзя просто время от времени поглядывать сколько пакетов прошло по какому правилу через

Код: [Выделить]

iptables -L -n -v
?