HOWTO: Iptables для новичков

[InkVisitor]

-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j DROP
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j DROP

Не пойму смысла в этих правилах...
Сначала закрываем пакеты с eth0 на сеть 192.168.1.0/255.255.255.0, потом на какой-то ИП 224.0.0.1, а потом всё равно закрываем на всё остальное... может быть, стоило только

Код: [Выделить]

-A FORWARD -j DROP
прописать, и фатит?

[Vetal_krot]

Могу только сказать что я ети привила не содавал, они сразу такимы были.
Может нужно копать в сторону роут?..... типа прописать маршрут для каждого IР? Но и привязка МАС к IР всетаки тоже нужна.

[Acumen]

Значит так рассказываю:   

№1 - ppp0  Интернет подключение через протокол PPPoE с запросом логина и пароля!
№2 - eth0  Локальная сеть через которую посылаю запросы по протоколу PPPoE
№3 - eth1  Локальная сеть (домашняя).

Мне надо расшарить доступ к интернету в сеть № 3

Вот такие у меня дела!

Возился с http://easylinux.ru/node/190 - так и не понял! подскажите пожалуйста мне, что делать а?

Поставь firestarter

Во 1-вых у меня Ubuntu Server, 2-х я не знаю где читать про него и как настроить через него, нашел чета но это было на Desktop Edition!

[badfiles]

А нет и случайно такой программы, которая бы графически (или на консоли) изображала бы в человекопонятной форме текущее сосотяние правил iptables?

[InkVisitor]

Код: [Выделить]

sudo iptables -L -n -v 
sudo iptables -t nat -L -n -v
sudo iptables -t mangle -L -n -v

и т.п.

[Vetal_krot]

Лююди.... помогите с моей проблемой, подскажите в какую сторону копать, уже все перепробывал, в етоге получается - либо нет есть у всех, либо его нет ниукого

[InkVisitor]

Лююди.... помогите с моей проблемой, подскажите в какую сторону копать, уже все перепробывал, в етоге получается - либо нет есть у всех, либо его нет ниукого

https://forum.ubuntu.ru/index.php?topic=36632.msg260425#msg260425 - Ответ #1

[Vetal_krot]

https://forum.ubuntu.ru/index.php?topic=36632.msg260425#msg260425 - Ответ #1

ето немножко не то, но всеравно спасибо.

Опишу еще раз свою проблему - есть сеть за eth1 и инет за eth0, инет режу с помощью HTB все работае все отлично! но в HTB создаются правила для определенного ip (к примеру у Васи 512кб/с а у Пети 256кб/с, когда Васи нет в сети Петя поменял свой ip на Васин и имеет его скорость, потом приходит Вася включаетсвой комп и ему пишет "конфликт системы, даный ip уже использется" после чего у меня повляется гемор, есть еще такое: у меня в HTB прописаны правила до ххх.ххх.ххх.56 если поставить ip выше 56 то там уже идет не шейпеный инет, и какойто умним может забрать себе весь канал). Для начала хочу сделать привязку ip к мак и закрит весь доступ к нету после ххх.ххх.ххх.56

после загрузки системы у меня в iptables слудующее:

-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j LOG
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j DROP
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP

а вот что в роуте:

Destination           Gateway         Genmask         Flags   Metric   Ref    Use   Iface
192.168.1.0         0.0.0.0         255.255.255.0   U         0         0        0    eth1
192.168.0.0         0.0.0.0         255.255.255.0   U         0         0        0    eth0
0.0.0.0               192.168.0.1     0.0.0.0           UG      100       0        0    eth0

пробовал делать следующее:

для начала удалил правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
после чего нет перестал работать (то что нада)

после создал правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT

потом создал  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -j DROP

потом  -A FORWARD -s 192.168.1.ххх -i eth1 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

но интернет не заработал, после попробовал сделать так:

удалил правило  -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT

создал -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j DROP

и для каждого пользователя еще дописал -o eth0 
получилось следующее -A FORWARD -s 192.168.1.ххх -i eth1 -o eth0 -m mac --mac-source ХХ:ХХ:ХХ:ХХ:ХХ -j ACCEPT

но нет так и не заработал, в чем проблема? что я делаю не так? подскажите пожалуйста

[Vetal_krot]

Забыл сказать у меня еще установлены dnsmasq и ipmasq, с ими нужно чтото делать?

[InkVisitor]

Попробуй тут что-нибудь разобрать... То убрал... То добавил...
Сделай

Код: [Выделить]

iptables -L -n -v
и покажи, хотя бы цепочку FORWARD

[Vetal_krot]

вот что у меня в форварде после загрузки системы:

Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts     bytes      target       prot    opt     in     out           source               destination
  931    131K      ACCEPT      all        --     eth1   eth0    192.168.1.0/24       0.0.0.0/0   
  643    208K      ACCEPT      all        --       *      *         0.0.0.0/0               0.0.0.0/0           state RELATED,ESTABLISHED
    0     0             LOG          all        --       *      eth0    0.0.0.0/0               192.168.1.0/24      LOG flags 0 level 4
    0     0             DROP        all        --       *      eth0    0.0.0.0/0               192.168.1.0/24
    0     0             DROP        all        --       *      *         0.0.0.0/0               224.0.0.1   
    0     0             LOG          all        --       *      *         0.0.0.0/0               0.0.0.0/0           LOG flags 0 level 4
    0     0             DROP        all        --       *      *         0.0.0.0/0               0.0.0.0/0   

вот что показывает iptables-save после загрузки:

-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j LOG
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j DROP
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP

на сколько я понял ети правила формирует ipmasq, и еще если я удаляю правило -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT то инет перестает работать, и даже если опять вручную добавить ето правило инет всеравно не работает, нужно сделать либо reboot, либо ipmasq restart после чего опять появляется ето правило и начинает работать нет, может стоит удалить ipmasq и сделать весь маскардинг вручную?

[InkVisitor]

если я удаляю правило -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT то инет перестает работать, и даже если опять вручную добавить ето правило инет всеравно не работает, нужно сделать либо reboot, либо ipmasq restart после чего опять появляется ето правило и начинает работать нет, может стоит удалить ipmasq и сделать весь маскардинг вручную?

А добавляешь, случайно, не в конец таблицы после

Код: [Выделить]

-A FORWARD -j DROP
?

Удали, добавь, а потом смотри правила. Правила выполняются сверху вниз. И если после -A FORWARD -j DROP что-то будет, до него всё равно пакеты не дойдут.

[Vetal_krot]

Когда поставил строку " -A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT" перед "-A FORWARD -j DROP" то начинает работать

но когда создаю розрешения с привязкой мак к ip то всеравно ничего не работает, вот что у меня получается:

-A FORWARD -s 192.168.1.34 -i eth1 -o eth0 -m mac --mac-source 00:1D:72:18:1A:AC -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -o eth0 -j LOG
-A FORWARD -j LOG
-A FORWARD -j DROP

Почему оно не работает

З.Ы. Спасибо InkVisitor что просветил на счет расположения правил в iptables

[InkVisitor]

Код: [Выделить]

-A FORWARD -s 192.168.1.34 -i eth1 -o eth0 -m mac --mac-source 00:1D:72:18:1A:AC -j LOG --log-prefix " mac123 "
-A FORWARD -s 192.168.1.34 -i eth1 -o eth0 -m mac --mac-source 00:1D:72:18:1A:AC -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix " drop123 "
-A FORWARD -j DROP

Потом смотришь, куда какие пакеты ходят

Код: [Выделить]

iptables -L -n -v

Смотришь кого пускает, и кого не пускает

Код: [Выделить]

cat /var/log/messages | grep mac123
cat /var/log/messages | grep drop123

Узнаёшь кого именно не пускает. Как правило, тут же можно догадаться, ПОЧЕМУ не пускает. Исправляешь.

[denrider]

Помогите пожалуйста решить такую проблему:

Для первичной настройки iptables использовал guarddog, т.к. основным было максимально быстро дать народу доступ в инет, запустить сквид и включить шлюз в работу. Всё это сделано уже и можно спокойно заняться доводкой, так что таблицу правил, которую он мне сгенерил, я сейчас правлю руками. Формат таблицы, которую он мне сделал, мне удобен. Сразу видно откуда что идёт...

Гарддог генерит правила в таком виде:

-A f3to2 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A f3to2 -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A f3to2 -p udp -m udp --sport 137 --dport 1024:65535 -j ACCEPT
-A f3to2 -p udp -m udp --sport 137 --dport 137 -j ACCEPT
-A f3to2 -p udp -m udp --sport 138 --dport 138 -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 3900:3999 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 995 -m state --state NEW -j ACCEPT
-A f3to2 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 110 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 3128 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 3389 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A f3to2 -p udp -m udp --dport 53 -j ACCEPT
-A f3to2 -p udp -m udp --dport 123 -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 123 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 443 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --sport 1024:65535 --dport 25 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A f3to2 -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A f3to2 -p udp -m udp --sport 1024:65535 --dport 137 -j ACCEPT
-A f3to2 -p udp -m udp --sport 137 --dport 137 -j ACCEPT
-A f3to2 -p udp -m udp --sport 1024:65535 --dport 138 -j ACCEPT
-A f3to2 -p udp -m udp --sport 138 --dport 138 -j ACCEPT
-A f3to2 -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A f3to2 -p udp -m udp --sport 1024:65535 --dport 139 -j ACCEPT
-A f3to2 -j logdrop

Все не буду, наверное, вываливать, чтобы не захламлять тему.
Это правила для цепочки "Из VPN в Локалку" (название цепочки f3to2).

Не могу понять следующее, можно ли всю эту пачку правил заменить одним, которое разрешало бы прохождение из VPN в локалку любого трафика по всем портам?

Просто, когда пользователи подключаются по OpenVPN и пытаются получить доступ к некоторым ресурсам локальной сети, например снять почту со своих ящиков на Exchange, они это сделать не могут по понятной причине: не для всех протоколов и портов есть правила в iptables. А перечислять все порты, которые использует тот же Exchange ну совершенно никакого смысла, лучше бы дать доступ ко всему.