HOWTO: Iptables для новичков

[fisher74]

Да, есть... Извиняюсь. А интернет ползёт через tun? Может правило "-A FORWARD -o tun+ -j ACCEPT" дырочку для таких действий оставило?
Если покажешь результирующую таблицу правил - будет наглядней

Код: [Выделить]

sudo iptables-save

[AnrDaemon]

Катит. Просто ты забываешь, что это два действия, соответственно нужно два правила.

[MAKAPOH]

Катит. Просто ты забываешь, что это два действия, соответственно нужно два правила.

да да )) осенило, спс

[Macht59]

Здравствуйте.

Решил не заводить отдельную тему и поделиться своим горем тут 
Нужно сделать из моего компьютера шлюз. Схема следующая:

eth0------>pptp(vpn)------>Internet
eth1------>LAN

Надеюсь понятно
Дальше в терминал пишу такое:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --append FORWARD --in-interface eth1 -j ACCEPT
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

На клиентской машине (из eth1) в шлюз пишу свой локальный IP, DNS из

Код: [Выделить]

cat /etc/ppp/resolv.conf
nameserver 195.24.128.65
nameserver 195.24.128.164

Не могу понять где ошибка.

[AnrDaemon]

Забыл ещё один маскарад.
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE

[Macht59]

Забыл ещё один маскарад.
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE

СПАСИБО!!!!!
Нет слов просто как я рад)))

[AnrDaemon]

У тебя инет на ppp0, а маскарадил ты только локалку (eth0).

[Macht59]

Теперь ясно 
Пользователь решил продолжить мысль 08 Ноября 2010, 01:27:53:И вот еще вопросик:

Как бы проконтролировать доступ только с определенных IP адресов?

На пример:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADEУже дает полный доступ ко мне как ко шлюзу, даже без добавления строки

Код: [Выделить]

iptables --append FORWARD --in-interface eth1 -j ACCEPTПробовал

Код: [Выделить]

iptables --append FORWARD --in-interface eth1 -j DROP
iptables --append FORWARD --in-interface eth1 -s 192.168.0.2 -j ACCEPT
- не помогло

[AnrDaemon]

-P FORWARD DROP

[Macht59]

На сколько я понял это должно выглядеть так...

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -P FORWARD DROP
iptables --append FORWARD --in-interface eth1 -s 192.168.0.2 -j ACCEPT

не помогло

[AnrDaemon]

iptables-save
?

[fisher74]

AnrDaemon, как бы намекает, что надо смотреть все действующие правила, а не скрипты их загружающие.
Могут возникнуть "дыры" из-за неправильной их последовательности или остатков от прошлых экспериментов.
Первое решается дефолтно-запрещающнй политикой: сначала запрещаешь все форварды и инпуты правилами "-P FORWARD DROP" и "-P INPUT DROP", а потом разрешается необходимое
Второе (ошмётки): лечится очисткой цепочек командой -F

[Macht59]

AnrDaemon, как бы намекает, что надо смотреть все действующие правила, а не скрипты их загружающие.
Могут возникнуть "дыры" из-за неправильной их последовательности или остатков от прошлых экспериментов.
Первое решается дефолтно-запрещающнй политикой: сначала запрещаешь все форварды и инпуты правилами "-P FORWARD DROP" и "-P INPUT DROP", а потом разрешается необходимое
Второе (ошмётки): лечится очисткой цепочек командой -F

Перезагрузился (все настройки iptables упали). Дальше в терминал пишу:

Код: [Выделить]

root@macht:~# iptables --flush  OUTPUT
root@macht:~# iptables --flush  INPUT
root@macht:~# iptables --flush  FORWARD
Признаться, меня, не смотря на мои не глубокие познания в данной области, смущает строка:

Код: [Выделить]

-P INPUT DROPПосле ввода вышеуказаной перестали грузиться сайты в браузере у меня на мешине (сервер). По этому я ее убрал. Дальше:

Код: [Выделить]

root@macht:~# iptables --flush  INPUT
iptables -P FORWARD DROP
iptables --append FORWARD --in-interface eth1 -s 192.168.0.2 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADEИ не работает... Почему?
Если поставить

Код: [Выделить]

iptables -P FORWARD ACCEPTинтернет моментально появляется. Возможно что-то не так со строкой

Код: [Выделить]

iptables --append FORWARD --in-interface eth1 -s 192.168.0.2 -j ACCEPT
Пользователь решил продолжить мысль 08 Ноября 2010, 11:37:32:

iptables-save
?

Код: [Выделить]

iptables-save
# Generated by iptables-save v1.4.4 on Mon Nov  8 10:35:53 2010
*nat
:PREROUTING ACCEPT [2186:198472]
:OUTPUT ACCEPT [4334:252908]
:POSTROUTING ACCEPT [23:1579]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Nov  8 10:35:53 2010
# Generated by iptables-save v1.4.4 on Mon Nov  8 10:35:53 2010
*filter
:INPUT ACCEPT [37891:15035440]
:FORWARD DROP [2:135]
:OUTPUT ACCEPT [42530:10067545]
-A FORWARD -s 192.168.58.39/32 -i eth1 -j ACCEPT
COMMIT
# Completed on Mon Nov  8 10:35:53 2010

PS. Вместо 192.168.0.2 тут 192.168.58.39.

[Mam(O)n]

Так и обратные пакеты надо пропускать тоже. Тут очень хорошо помогает conntrack, который отслеживает установленные коннекты:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

также и к INPUT это очень хорошо применимо:

Код: [Выделить]

iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


[AnrDaemon]

Уже давал и ещё раз дам ссылку
https://forum.ubuntu.ru/index.php?topic=99586.0