HOWTO: Iptables для новичков

[n00b95]

Доброго времени суток, может я совсем тупой или мне просто лень ковырятся, но честное слово уже не знаю где рыть. Суть проблемы такова:
Есть локальная сеть 192.168.198.0/24  Есть проксик 192.168.198.100 с внешним IP 10.10.10.10, есть удаленный почтовый сервер 20.20.20.20. Как правильно прописать правила что-бы пользователи локальной сети могли получать и отправлять почту  используя удаленный почтовый сервер. Точнее сказать как правильно прописать правила  в IPTABLES что-бы при коннекте пользователя на 192.168.198.100:8025 и 192.168.198.1:8110  запросы перенаправлялись на 20.20.20.20:25 и 20.20.20.20:110 соответственно .
з.ы. Можете закидать шапками и обозвать ленивым, но подскажите решение. спс за рание.

[Mam(O)n]

Решение зависит от текущих правил. Показывай sudo iptables-save
Пользователь решил продолжить мысль 27 Октября 2010, 11:28:19:

Есть проксик

Проксик или полноценный ip шлюз?
Пользователь решил продолжить мысль 27 Октября 2010, 11:28:53:И где в этой схеме прописываем правила?

[n00b95]

По существу, решил мигрировать с Виндов на linux, почитал немного и погрем мозгами, выбрал ubuntu. Раньше на машинке стоял почтовый сервер, сейчас то-же самое, но на связке posfix+dovecot, ну джабер сервер. Надо что-б пользователи могли работать с другим внешним почтовым сервером.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Wed Oct 27 12:41:32 2010
*mangle
:PREROUTING ACCEPT [1723:1048816]
:INPUT ACCEPT [1109:997670]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [656:989847]
:POSTROUTING ACCEPT [656:989847]
COMMIT
# Completed on Wed Oct 27 12:41:32 2010
# Generated by iptables-save v1.4.1.1 on Wed Oct 27 12:41:32 2010
*nat
:PREROUTING ACCEPT [646:54509]
:POSTROUTING ACCEPT [19:1557]
:OUTPUT ACCEPT [19:1557]
COMMIT
# Completed on Wed Oct 27 12:41:32 2010
# Generated by iptables-save v1.4.1.1 on Wed Oct 27 12:41:32 2010
*filter
:INPUT DROP [3:84]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [660:990583]
-A INPUT -i ! eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2049:2050 -j DROP
-A INPUT -p tcp -m tcp --dport 6000:6063 -j DROP
-A INPUT -p tcp -m tcp --dport 7000:7010 -j DROP
-A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
COMMIT

Использовать данный сервер как гатвей или прокси желания, нет
з.ы. я конечно могу долго и упорно курить мануалы, да я их покурю, но позже, пока нужно быстрое решение.

[Mam(O)n]

Это как я понял не межсетевой шлюз, а просто почтовый сервер, подключенный в локалку. Тогда ты не ту тачку ковыряешь. Нужно копать

проксик 192.168.198.100 с внешним IP 10.10.10.10

Пользователь решил продолжить мысль 27 Октября 2010, 13:12:48:Ну а если появится желание использовать данный сервер, как "гатвей или прокси", тогда

Код: [Выделить]

sysctl net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -d 192.168.198.100 -p tcp --dport 8025 -j DNAT --to 20.20.20.20:25
iptables -t nat -A PREROUTING -d 192.168.198.100 -p tcp --dport 8110 -j DNAT --to 20.20.20.20:8110
iptables -t nat -A POSTROUTING -d 20.20.20.20 -j MASQUERADE


[Maulder]

Привет!!! Есть проблемма нужно закрыть доступ для TeamViewer .....
уже что только не делал.....и tcpdump и iptables -L -n выявил ip и порты покоторым он ломится...там есть 80...но я немогу его закрыть....
и еще обнаружил ip адресса...но я их добавляю в блэк листы....но он находит другие..короче там подсети разные...а я немогу закрывать все подсети...

Помогите.....разобратся....

[n00b95]

2Mam(O)n Огромное спасибо работает, буду дальше раскуривать, но тут-же вылез "косячек", точнее сказать немного некоректно поставил вопрос. Удаленный почтовый сервер имеет плавающий IP адресс (вернее их у него несколько) и корректное обращение возможно только по имени, как будет правильно прописать не IP адресс, а  напрямую имя mailserver.ru

[Pro_ceed]

Доброго времени суток, прошу помочь, так как не силен в написании правил iptables. Такая ситуация: Компьютеры локальной сети ходят в интернет через шлюз Ubuntu 9.10 Server с установленным прозрачным Squid 3.0., dnsmasq. Весь трафик перенаправляется на squid. Елси в браузере указать использовать прокси сервер и прописать адрес любого внешнего прокси (например 218.29.234.50) то появляется доступ в инетрнет не зависимо от правил squida.

[AnrDaemon]

Никакого отношения к iptables ваша проблема не имеет.
Запретите маршрутизацию пакетов на сервере.

[Mam(O)n]

Удаленный почтовый сервер имеет плавающий IP адресс (вернее их у него несколько) и корректное обращение возможно только по имени,

Чета недоговариваешь. Обращение к почтовому серверу по протоколам pop либо smtp не требует передачи имени хоста, к которому обращаешься. Если только это не http протокол. А в этом случае систему разрешения имен в твоей сети нужно ковырять, чтоб по этому имени отдавался айпи 192.168.198.100, коя задача к данному серверу отношения не имеет.

[fisher74]

...не силен в написании правил iptables.....
..Весь трафик перенаправляется на squid.

Не сильны мы в телепатии. Так что показывай правила

Код: [Выделить]

sudo iptables-save

Никакого отношения к iptables ваша проблема не имеет.
Запретите маршрутизацию пакетов на сервере.

Прокси сделали прозрачным, значит на то есть причина (хотя тоже не факт). Таже почта, те же клиент-банки.. И раз уж таблесы поворачивают не весь траффик, значит они неправильно настроены (уже догадываюсь, что нет дефолтного дропа в цепочке FORWARD)

[Pro_ceed]

Вот настройки IPtables:

(Нажмите, чтобы показать/скрыть)

INET_IFACE="ppp0"
LAN_IP="192.168.50.40"
LAN_IP_RANGE="192.168.50.0/24"
LAN_IFACE="eth2"
LO_IFACE="lo"LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -X
# Защита от Syn-flood
$IPTABLES -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Защита отскрытого сканирования портов
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Защита от Ping of death
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Запрещаем NEW и INVALID пакеты с ррр
$IPTABLES -A INPUT -i ppp+ -m state --state NEW,INVALID -j DROP
# Разрешаем пакеты, принадлежащие и относящиеся к уже установленному соединению
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW  ! -i ppp+ -j ACCEPT

#Настройки для VPN
$IPTABLES -A INPUT -i tun+ -j ACCEPT
$IPTABLES -A FORWARD -i tun+ -j ACCEPT
$IPTABLES -A FORWARD -o tun+ -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 3333 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 26 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 465 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -s $LAN_IP_RANGE -d $LAN_IP -p tcp --destination-port 3128 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -p tcp -d 192.168.200.1 --dport 3389 -j DNAT --to-destination 192.168.50.41:3389
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.50.41 --dport 3389 -j SNAT --to-source 192.168.50.40
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -d $LAN_IP -p tcp --destination-port 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -d $LAN_IP -p tcp --destination-port 8080 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 3128

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

$IPTABLES -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth2 -p tcp -m multiport --dports 20,21,26,465,25,110,3128
$IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth2 -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW,ESTABLISHED -j ACCEPT

Покопавшись в мануале по iptables пришел к выводу что, по идее, необходимо добавть следующие строки:
$IPTABLES -A FORWARD -s $LAN_Ip_RANGE  ! -d LAN_IP --dport 3128 -p TCP -j DROP
$IPTABLES -A FORWARD -s $LAN_Ip_RANGE  ! -d LAN_IP --dport 8080 -p TCP -j DROP

Пока не могу попробовать дописать правила.... так что если кто знает что это не оно прошу сказать....

[fisher74]

Если бы ещё лучше почитал, то нашёл бы
iptables -P FORWARD DROP
к тому же 8080 ты уже редиректил, зачем ты его потом пытаешься запретить?

[azg]

как полностью заблокировать мак адрес на внешнем интерфейсе?
правила вида
 iptables -I INPUT -i eth0 -p udp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -I INPUT -i eth0 -p tcp --dport 53 -m mac --mac-source 11:22:33:44:55:66 -j DROP

и iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

не помогают

[fisher74]

А в какую строчку они попали? А то может сначала разрешил порт 53, а потом пытаешься его кому-то прикрыть

[Pro_ceed]

Если бы ещё лучше почитал, то нашёл бы
iptables -P FORWARD DROP
к тому же 8080 ты уже редиректил, зачем ты его потом пытаешься запретить?

Вообще в правилах строчка "iptables -P FORWARD DROP" присутствует...