HOWTO: Iptables для новичков

[aSmile]

т.е нужно ставить 1 после  INPUT ?

Про iptables читали?
Конкретнее это

[Maulder]

да читал..... и поменял местами свои правила........ вот и все заработало.....

[Eugene_sev]

Всем привет! Вопрос знатокам iptables
Хожу в интернет через ssh туннель : 

Код: [Выделить]

ssh 10.17.xx.xx -l login -D 5555этой командой поднимается socks на localhost:5555
Вопрос: как с помощью iptables перенаправить весь трафик на localhost:5555 или иными словами сделать глобальную соксификацию?

ps иксовый файерволл не предлагать ибо иксов нет..

[Maulder]

iptables -t nat  -A PREROUTING -i eth -p tcp или udp -m multiport --dports каккие порты хочешь такие и вписывай -j REDIRECT --to-port 5555

вро ди бы так..... у меня просто под рукой нет  консоли.... не могу посмотреть .....конкретно так или нет....попробуй....

[Eugene_sev]

Выдало ошибку:
AZBox[~]$ iptables -t NAT -A PREROUTING -i ra0 -p tcp  -m multiport --dports 80 -j REDIRECT --to-port 5555
iptables v1.2.11: can't initialize iptables table `NAT': iptables who? (do you need to insmod?)

[Mam(O)n]

Насчет соксификации смотри в сторону tsocks или dante-client

[Eugene_sev]

Насчет соксификации смотри в сторону tsocks или dante-client

смотрел... там условие ставить команду tsocks или socksiify перед названием приложения, а мне это не подходит

[Mam(O)n]

Ну с помощью них можно попробовать запустить какой-нить прозрачный http прокси и завернуть на него весь трафик...

[Durman]

Выдало ошибку:
AZBox[~]$ iptables -t NAT -A PREROUTING -i ra0 -p tcp  -m multiport --dports 80 -j REDIRECT --to-port 5555
iptables v1.2.11: can't initialize iptables table `NAT': iptables who? (do you need to insmod?)

не "NAT", а "nat"

имена встроенных таблиц строчными, а имена цепочек ПРОПИСНЫМИ

[Maulder]

поднимай прокси.... делай её прозрачной и все...

[chikatillo]

Подскажите, есть cкрипт iptables, можно ли записать в переменную  MART_INET_IP="ххх.ххх.ххх.ххх"  несколько айпи, к примеру:
MART_INET_IP="ххх.ххх.ххх.ххх,ххх.ххх.ххх.ххх,...."
если через , перечислять -то шибка...
или для каждого айпи нужно дублировать правила?

P.S. Пробрасываю порт для определенных айпи
$IPTABLES -t nat -A PREROUTING -p tcp -s $MART_INET_IP -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.100.10:3389                           

[Mam(O)n]

Нельзя перечислять. Но можно указывать маску подсети через /, например 192.168.100.0/24. Для перечислений же можно воспользоваться модулем set (ipset)

[chikatillo]

Спасибо, буду копать ipset

А как можно узнать присутствует ли у меня данный модуль - 10.04?
Видимо нет...
Для его установки нужно пересобрать ядро, никогда этого не делал...

[Mam(O)n]

sudo apt-get install ipset

[chikatillo]

sudo apt-get install ipset

Установил, но как мне его теперь в скрипт добавить через sbin/modbrobe
пишет не найден...
Вот нашел, но боюсь что-то накосячить

Код: [Выделить]

$ sudo apt-get install ipset
$ sudo apt-get install netfilter-extensions-source
$ uname -a
Linux host.domain.tld 2.6.26-1-686 #1 SMP Fri Mar 13 18:08:45 UTC 2009 i686 GNU/Linux
# версия пакета linux-headers должна совпадать с версией ядра, для которого собирается netfilter-extensions
$ sudo apt-get install linux-headers-2.6.26-1-686
$ sudo m-a build netfilter-extensions
$ sudo m-a update && m-a a-i netfilter-extensions