HOWTO: Iptables для новичков

[Mam(O)n]

http://www.protocols.ru/files/Papers/ipset.pdf

[chikatillo]

http://www.protocols.ru/files/Papers/ipset.pdf

спасибо за ман на русском...
Но вернусь к своему вопросу:
FATAL: Module ip_set not found.

[Mam(O)n]

Где ты там вычитал про то, что надо modprobe делать?

[chikatillo]

Где ты там вычитал про то, что надо modprobe делать?

А что делать у меня ошибка
 FATAL: Module ip_set not found.
ipset v2.5.0: Error from kernel: Protocol not available

[Mam(O)n]

Тьфублин. Действительно в убунте нет ipsets собранного. Тот, что в репах исходник он не совместим с последним ядром.

[chikatillo]

Тьфублин. Действительно в убунте нет ipsets собранного. Тот, что в репах исходник он не совместим с последним ядром.

Так как мне собрать  ipsets что бы он был совместим с последним ядром?

[Mam(O)n]

Щас попробовал, на 10.10 отлично собирается http://xtables-addons.sourceforge.net/ версии 1.30. Вот если чё собранный мной на скорую руку deb: http://ifolder.ru/19860494, при обновлении ядра оно слетит.

[chikatillo]

Щас попробовал, на 10.10 отлично собирается http://xtables-addons.sourceforge.net/ версии 1.30. Вот если чё собранный мной на скорую руку deb: http://ifolder.ru/19860494, при обновлении ядра оно слетит.

Т.е. если я вдруг обновлю ядро то надо заново устанавливать xtables?
 у меня  2.6.32-21-generic

[Mam(O)n]

Под каждую версию ядра должен быть собран свой модуль. Я собирал под своё 2.6.35-22-generic-pae.

[chikatillo]

Под каждую версию ядра должен быть собран свой модуль. Я собирал под своё 2.6.35-22-generic-pae.

т.е. мне надо свой deb. пакет собрать, ваш не подойдет?

[Mam(O)n]

Не, мой не подойдет.

[parfeon]

В чем может быть проблема

ip_forward прописан

правила стоят

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128

но все равно без прописывания прокси в браузере не получается.

Заранее спасибо!

[aSmile]

но все равно без прописывания прокси в браузере не получается.

Проки прозрачный?

[ventru22]

Доброго времени суток всем, помогите разобраться поднимаю шлюз, вот как настраивал NAT - трансляцию

(Нажмите, чтобы показать/скрыть)

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE

в /proc/sys/net/ipv4/ip_forward" - 1

iptables -L

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  192.168.0.0/24       anywhere            ctstate NEW
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables-save

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [7230:464270]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [28008:1652290]
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Mon Oct 25 16:44:39 2010
# Generated by iptables-save v1.4.4 on Mon Oct 25 16:44:39 2010
*filter
:INPUT ACCEPT [1217572:876983133]
:FORWARD DROP [673:37059]
:OUTPUT ACCEPT [1283436:1122674304]
-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT

заработали торенты, заработала контра, напрямую браузеры не выпускает, как теперь выпустить/впустить почту (25,110 порты)?

[Unreg]

# Generated by iptables-save v1.4.2 on Mon Oct 25 14:53:40 2010
*mangle
:PREROUTING ACCEPT [19702:5271106]
:INPUT ACCEPT [12424:4920104]
:FORWARD ACCEPT [7224:344305]
:OUTPUT ACCEPT [12740:4941393]
:POSTROUTING ACCEPT [19884:5279138]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Oct 25 14:53:40 2010
# Generated by iptables-save v1.4.2 on Mon Oct 25 14:53:40 2010
*nat
:PREROUTING ACCEPT [4303:237017]
:POSTROUTING ACCEPT [3835:205427]
:OUTPUT ACCEPT [334:21587]
-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Oct 25 14:53:40 2010
# Generated by iptables-save v1.4.2 on Mon Oct 25 14:53:40 2010
*filter
:INPUT ACCEPT [8389:4498898]
:FORWARD DROP [80:6560]
:OUTPUT ACCEPT [8839:4635236]
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Mon Oct 25 14:53:40 2010