HOWTO: Iptables для новичков

[Alex_x86]

Чё-то тут такого огорода нагородили с этим логированием...
А нельзя просто время от времени поглядывать сколько пакетов прошло по какому правилу через

Код: [Выделить]

iptables -L -n -v
?

Кажися оно. СПАСИБО!!!!!!!!!!

[Avolon]

Привет вопросик есть
Ubuntu server 10.4
 в ptables TARPIT есть такая фигня но у мну не заводится (((

TARPIT iptables: No chain/target/match by that name
2.6.32-25-generic
xtables-addons стоит

iptebles 1.4.4 стоит grep CONFIG_NETFILTER_XTABLES /boot/config-*
/boot/config-2.6.32-21-generic:CONFIG_NETFILTER_XTABLES=m
/boot/config-2.6.32-22-generic:CONFIG_NETFILTER_XTABLES=m
/boot/config-2.6.32-23-generic:CONFIG_NETFILTER_XTABLES=m
/boot/config-2.6.32-24-generic:CONFIG_NETFILTER_XTABLES=m
/boot/config-2.6.32-25-generic:CONFIG_NETFILTER_XTABLES=m

что еще нада??

[Mam(O)n]

xtables-addons стоит

Кто такой xtables-addons? Я в репах его не нашел. Зато нашел xtables-addons-common и xtables-addons-source, которые предоставляют исходники и утилиты для сборки модулей (в описании пакета -common есть заветная команда для сборки модулей)

[Avolon]

xtables-addons-common стоит ( ща обновил iptables 1.4.9
выдает слкдующее
iptables -A INPUT -p tcp -m tcp -m multiport --dports 135,139,1025 -j TARPIT
iptables: target "TARPIT" has version "libxtables.so.2", but "libxtables.so.5" is required.

симлинк делал не помогло ((
Пользователь решил продолжить мысль 28 Сентября 2010, 22:41:18:ААА все заработаловот тут прочитал http://agapoff.name/memento-mori-iptables.html
Пользователь решил продолжить мысль 30 Сентября 2010, 12:11:55:Привет у мну есть скрипт

(Нажмите, чтобы показать/скрыть)

#!/bin/bash
#eth0-inet
#eth1-lokalka
ipt="/sbin/iptables"; [ ! -f $ipt ] && ipt=`which iptables`
[ ! -f $ipt ] && echo "Couldn't find iptables, exiting!" && exit 1

$ipt -F
$ipt -t nat -F
$ipt -t mangle -F
$ipt -X
$ipt -t nat -X
$ipt -t mangle -X
$ipt -A INPUT -i lo -j ACCEPT

# отбрасываем tcp с неправильными флагами
$ipt -N bad_tcp_packets

# tcp, прошедшие основную проверку
$ipt -N allowed
# все пакеты соотв. протоколов
$ipt -N tcp_packets
$ipt -N udp_packets
$ipt -N icmp_packets


# предохраняет от определенных типов атак, подробности в приложении B4 к Iptables Tutorial
$ipt -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP

# принимаем все пакеты, относящиеся к уже установленным соединениям
$ipt -A allowed -p TCP --syn -j ACCEPT
$ipt -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# а все остальные из этой цепочки сбрасываем
$ipt -A allowed -j DROP

# разрешаем необходимые типы
$ipt -A icmp_packets -p ICMP -s 0.0.0.0/0 --icmp-type 3 -j ACCEPT # Dest unreachable
$ipt -A icmp_packets -p ICMP -s 0.0.0.0/0 --icmp-type 11 -j ACCEPT # Time exceeded
$ipt -A icmp_packets -p ICMP -s 0.0.0.0/0 --icmp-type 12 -j ACCEPT # Parameter problem
#при пинговании нашей машины вместо сообщения о таймауте будет приходить сообщение Host unreachable
#$ipt -A icmp_packets -p ICMP -s 0.0.0.0/0 --icmp-type 8 -j REJECT --reject-with icmp-host-unreachable
#Настройка от спуфинг-атаки
$ipt -A tcp_packets -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
$ipt -A tcp_packets -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
$ipt -A tcp_packets -i eth0 -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset


# INPUT:

# incoming from LAN:
$ipt -A INPUT -p tcp -j bad_tcp_packets
$ipt -A INPUT -p all -i eth1 -j ACCEPT
$ipt -A INPUT -p all -i lo -j ACCEPT
$ipt -A INPUT -p udp -i eth1 --dport 67 --sport 68 -j ACCEPT
# incoming from INET:
$ipt -A INPUT -p all -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -p tcp -i eth0 -j tcp_packets
$ipt -A INPUT -p udp -i eth0 -j udp_packets
$ipt -A INPUT -p icmp -i eth0 -j icmp_packets
###Защита от пинг смерти
$ipt -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type echo-request -j DROP
#VPN
$ipt -A INPUT -p gre -j ACCEPT

#$ipt -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed

$ipt -A INPUT -i eth1 -m tcp -p tcp --dport 1723 -j ACCEPT
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j allowed
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
$ipt -A INPUT -i eth1 -m tcp -p tcp --dport 20001 -j ACCEPT
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 20001 -j allowed
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 20001 -j ACCEPT

#SSH
#$ipt -A INPUT -m tcp -p tcp --dport 22 -j ACCEPT
#DNS&MAIL
$ipt -A INPUT -i eth1 -m tcp -p tcp --dport 25 -j ACCEPT
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 25 -j allowed
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 25 -j ACCEPT
$ipt -A INPUT -i eth1 -m tcp -p tcp --dport 110 -j ACCEPT
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 110 -j allowed
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 110 -j ACCEPT
$ipt -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
$ipt -A INPUT -i eth0 -p udp --dport 53 -j allowed
$ipt -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$ipt -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i eth0 -p tcp --dport 53 -j allowed
$ipt -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i eth1 -m tcp -p tcp --dport 143 -j ACCEPT
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 143 -j allowed
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 143 -j ACCEPT
$ipt -A INPUT -i eth1 -m tcp -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 80 -j allowed
$ipt -A INPUT -i eth0 -m tcp -p tcp --dport 80 -j ACCEPT

#весь траф с 80 порта на прокси 3128 подсети 10.0 и 1.0
$ipt -t nat -A PREROUTING -m iprange --src-range 192.168.1.100-192.168.1.254 ! -d 192.168.1.0/24 -m multiport -p tcp --dports 80,8080 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -m iprange --src-range 192.168.10.2-192.168.10.254 ! -d 192.168.10.0/24 -m multiport -p tcp --dports 80,8080 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -i eth1 -s 192.168.1.5 -m multiport -p tcp --dports 80,8080 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -i eth1 -s 192.168.1.3 -m multiport -p tcp --dports 80,8080 -j REDIRECT --to-port 3128
#Перенапровление  портов с инета к нам
#$ipt -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.1.58:25
#$ipt -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.58:110

$ipt -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.58:80
$ipt -t nat -A PREROUTING -i eth0 -p tcp --dport 143 -j DNAT --to-destination 192.168.1.58:143
##Форвард портов между инетом и локалкой
$ipt -A FORWARD -s 192.168.10.0/24 -j ACCEPT
$ipt -A FORWARD -d 192.168.10.0/24 -j ACCEPT

$ipt -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$ipt -A FORWARD -d 192.168.1.0/24 -j ACCEPT

#Закрыли все что не разрешили
# дроп на инпут можно снять, если не критично
#$ipt -P INPUT DROP
$ipt -P FORWARD DROP

#маскеруем инет
$ipt -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE

Все оки все пускает тока кроме VPN что я не так сделал ((((( присканировании портов открыты тока 80 и 143

Подскожите что еще нада
VPN сервер на этойже тачке ))

[Maulder]

Подскажите как можно зактыть скачивание торрентов ?...

[aSmile]

Подскажите как можно зактыть скачивание торрентов ?...

может открыть только нужные порты, а остальное закрыть?

[Maulder]

так и сделал...... но все равно некоторые трекеры работают.....

закрываю через -m string --string "torents" --algo kmp --to 65535 -j DROP

но тогда закрывает и для меня.... а как сделать так что бы я мог качать торенты?

[aSmile]

добавь -s ! твой_айпи

[Maulder]

iptables INPUT -s ! 192.168.1.1 -m string --string "torents" --algo kmp --to 65535 -j DROP

не работает.... т.е не открываеет....торент сайты.....

[aSmile]

iptables INPUT

Неужели не выдал ошибки? Во-первых, нету -A, во-вторых, почему в INPUT?

[fisher74]

А !случайно в последних ревизиях не надо ставить перед условием?

Код: [Выделить]

iptables -I INPUT 1 ! -s 192.168.1.1 -m string --string "torents" --algo kmp --to 65535 -j DROP

[Maulder]

сори да пропустил А.... а что нужно...в место INPUT ?
Пользователь решил продолжить мысль 18 Октября 2010, 13:17:24:INPUT 1 вот это что .....здесь нет ошибки

[aSmile]

Сначала почитать про iptables
Обычно таки вещи делаются в цепочке FORWARD
Пользователь решил продолжить мысль 18 Октября 2010, 13:20:22:

А !случайно в последних ревизиях не надо ставить перед условием?

Код: [Выделить]

iptables -I INPUT 1 ! -s 192.168.1.1 -m string --string "torents" --algo kmp --to 65535 -j DROP

Последними не пользовался, но скорее всего вы правы.

[fisher74]

Да, чёт я INPUT тупо скопипастил... Звиняюсь. Конечно в таблицу FORWARD.

INPUT 1 вот это что .....здесь нет ошибки

Нет, нету, если обратить внимание на предыдущий параметр -I (Insert)

[Maulder]

т.е нужно ставить 1 после  INPUT ?
Пользователь решил продолжить мысль 18 Октября 2010, 13:36:20:iptables -A INPUT ! -s 192.168.1.1 -m string --string "torents" --algo kmp --to 65535 -j DROP

Так все работает...... спасибо....что подсказали....