HOWTO: Iptables для новичков

[Macht59]

Так и обратные пакеты надо пропускать тоже. Тут очень хорошо помогает conntrack, который отслеживает установленные коннекты:

Код: [Выделить]

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

также и к INPUT это очень хорошо применимо:

Код: [Выделить]

iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


Спасибо за ответ! Теперь все работает 

[Arh Di Angel]

Добрый день...
Случилось так что мне попал под управление сервак с установленной и настроенной Ubuntu  и, соответственно, IPtables. Настроен он был тогда когда деревья были большие, а трафик считался и оплачивался. Но время не стоит на месте и пришел на этот сервант безлимитный интернет! Но лимиты-то по прежнему были и как только какой-либо юзверь скачивал достаточно информации ему отрубался инет. Юзверь в слезах, я за компом в ручную обнуляю трафик и даю добро на сеть. Достало!
Подскажите пожалуйста, как безлимит поставить?.. 

[fisher74]

Нужно смотреть как организовано ограничение по траффику.

[Arh Di Angel]

Скажите где, посмотрю, скопирую, вставлю...

[AnrDaemon]

Смотреть на сервере... (Знаю, что ответ дурацкий, но более подробного ответа вы не дождётесь. Не потому, что мы злые, а потому, что ответ требует доступа к серверу, который есть только у вас...)

[Arh Di Angel]

Эмм... Вам нужны правила которые прописаны?

[AnrDaemon]

Ну, как вариант. Хоть будет, на чём гадать.
(Если до сих пор не понял - вариантов сбора статистики по трафику - вагон и маленькая тележка.)
Пользователь решил продолжить мысль 24 Ноября 2010, 13:54:28:Эээ... в меру дурацкий вопрос к гуру: есть какой-то способ передать некий параметр при переходе в пользовательскую цепочку? Чтобы в цепочке его проверить и принять какое-то решение. Что-то меня задалбывает дублировать правила при перенаправлении в коллектор...

[Arh Di Angel]

Эт понятно. Только правила до меня 3 админа писали, а разгребать их я один взялся...

Тогда ещё один вопрос. в /etc/iptable/ находятся файлы iptable, save.zzzz и save. все с правилами... С чего танцевать?..

[fisher74]

Определить какие именно грузятся при старте системы. Мест немного и любое из них будет содержать название одного из этих файлов.

[roma333]

Пользователь решил продолжить мысль 24 Ноября 2010, 13:54:28:Эээ... в меру дурацкий вопрос к гуру: есть какой-то способ передать некий параметр при переходе в пользовательскую цепочку? Чтобы в цепочке его проверить и принять какое-то решение. Что-то меня задалбывает дублировать правила при перенаправлении в коллектор...

А если использовать переменные для этого, как вариант переменную окружения завести?

[AnrDaemon]

Эээ... в меру дурацкий вопрос к гуру: есть какой-то способ передать некий параметр при переходе в пользовательскую цепочку? Чтобы в цепочке его проверить и принять какое-то решение. Что-то меня задалбывает дублировать правила при перенаправлении в коллектор...

А если использовать переменные для этого, как вариант переменную окружения завести?

Какие переменные окружения в нетфильтре, ты вообще о чём? O.o

[Arh Di Angel]

Определить какие именно грузятся при старте системы. Мест немного и любое из них будет содержать название одного из этих файлов.

Как я понял, все основные правила прописаны в "iptable", а в остальные файлы добавлялись новые компы и правила для них...

[connectof]

Не совсем понимаю принцип действия
-m state --state NEW,ESTABLISHED -j ACCEPT
опасно ли делать так, для таблицы INPUT/FORWARD в конце всех блокирующих правил (хотя и политика drop, но, на всякий случай закрыты опасные порты и отбрасываются левые пакеты)

Код: [Выделить]

-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPTФильтр настроен на DROP, input, output, forward
NAT на accept

с форвардом аналогично

Код: [Выделить]

-A FORWARD -s 192.168.1.0/24 -i eth0(внутренняя) -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state ESTABLISHED -j ACCEPTесли сканировать из внешки или с клиента сервер-шлюз - все закрыто что явно не открыто и не включена служба использующая порт, порты приходиться пробрасывать для клиентов(форвард и прероутинг правила) и открывать их на шлюзе и только после этого они открываются.
Кроме этих правил ничего что явно разрешает хождение трафика внутри локалки 192.x , нет, волшебство какое то или кривые руки...
Полностью не буду приводить правила, думаю понятно. Хотел спросить вот про этот огород

Код: [Выделить]

# spoofing
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
# other incorrect
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROPверны ли правила? нужно ли это нести в форвард? вроде бы можно задать значение общее для цепочек и вставить его перед правилом и в общую политику цепочек, дабы не городить огороды
что то вроде
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP [0:0]
:icmp-in - [0:0]
-A icmp-in блаблабла

[AnrDaemon]

Не совсем понимаю принцип действия
-m state --state NEW,ESTABLISHED -j ACCEPT

-m conntrack
state не работает с UDP.

опасно ли делать так, для таблицы INPUT/FORWARD

Определись уже, INPUT или FORWARD. От этого зависит ответ.
И мешать в одну кучу NEW и ESTABLISHED можно только в OUTPUT.

в конце всех блокирующих правил (хотя и политика drop, но, на всякий случай закрыты опасные порты и отбрасываются левые пакеты)

Неверно.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

Фильтр настроен на DROP, input, output, forward
NAT на accept

с форвардом аналогично

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

-A FORWARD -s 192.168.1.0/24 -i eth0(внутренняя) -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state ESTABLISHED -j ACCEPT

если сканировать из внешки или с клиента сервер-шлюз - все закрыто что явно не открыто и не включена служба использующая порт, порты приходиться пробрасывать для клиентов(форвард и прероутинг правила) и открывать их на шлюзе и только после этого они открываются.
Кроме этих правил ничего что явно разрешает хождение трафика внутри локалки 192.x , нет, волшебство какое то или кривые руки...
Полностью не буду приводить правила, думаю понятно. Хотел спросить вот про этот огород

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# spoofing
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
# other incorrect
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP

верны ли правила? нужно ли это нести в форвард? вроде бы можно задать значение общее для цепочек и вставить его перед правилом и в общую политику цепочек, дабы не городить огороды
что то вроде
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP [0:0]
:icmp-in - [0:0]
-A icmp-in блаблабла

На будущее - приводите правила полностью. А перед тем - прочитайте правила форума.
И загляните в https://forum.ubuntu.ru/index.php?topic=99586.0 за примерами использования conntrack.

(Нажмите, чтобы показать/скрыть)

# /opt/scripts/iptables-save-ordered
# Generated by iptables-save v1.3.8 on Sat Nov 27 00:39:36 2010
*mangle
:PREROUTING ACCEPT [6421896:2807194609]
:INPUT ACCEPT [4075028:1158103156]
:FORWARD ACCEPT [2345960:1649039213]
:OUTPUT ACCEPT [6220867:7168287743]
:POSTROUTING ACCEPT [8482960:8807346841]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356
COMMIT
# Completed on Sat Nov 27 00:39:36 2010
# Generated by iptables-save v1.3.8 on Sat Nov 27 00:39:37 2010
*nat
:PREROUTING ACCEPT [92279:5835112]
:POSTROUTING ACCEPT [34390:2928238]
:OUTPUT ACCEPT [34389:2928186]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 192.168.35.0/255.255.255.0 -d ! 192.168.35.0/255.255.255.0 -m conntrack --ctstate NEW -j SNAT --to-source 192.168.10.2
COMMIT
# Completed on Sat Nov 27 00:39:37 2010
# Generated by iptables-save v1.3.8 on Sat Nov 27 00:39:37 2010
*filter
:INPUT DROP [18692:3184093]
:FORWARD DROP [8105:326952]
:OUTPUT ACCEPT [6112683:7152956344]
:SSH_CHECK - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,25,110 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ! eth1 -j LOG
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i ! eth1 -j LOG
-A OUTPUT -o lo -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j ACCEPT
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Nov 27 00:39:37 2010

[connectof]

Спасибо что откликнулись AnrDaemon
По поводу примеров использования conntrack в голове каша такая же как и с established,related- уже установленные соединения, меня это вводит в ступор, да я вижу как используется там правило но это не помогает его понять.

state не работает с UDP.

будем знать

Определись уже, INPUT или FORWARD. От этого зависит ответ.

Я о том что это единственное разрешающее правило там, помимо открытия одиночного порта для клиента
вот правила,

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT - вот у вас так, conntrack насколько я понимаю используются для ограничения количества попыток соединений за определенное время? но тут нет параметров. У вас conntrack используется во всех правилах, маскардинга у вас нет у меня же адрес динамический.
-A PREROUTING -p tcp -m tcp --dport 42167 -j DNAT --to-destination 192.168.1.2:42167
-A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
:icmp-in
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth1 -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 445 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p udp -m udp --dport 3306 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 5000 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 5000 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -s 192.168.1.1 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.1 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i ppp0 -s 192.168.1.2 -p tcp -m tcp --dport 42167 -j ACCEPT
-A INPUT -i eth1 -s 192.168.1.2 -p tcp -m tcp --dport 42167 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
# spoofing
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
# another wrong flags
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# block NETBIOS Microsoft-DS
-A INPUT -i eth1 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 137:139 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 445 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 445 -j DROP  
-A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
# dhcp local
-A INPUT -s 192.168.1.0/24 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
#-A INPUT -s 192.168.2.1/32 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
# ?
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
# answer -connection closed
-A INPUT -p icmp -s 192.168.1.0/24 --icmp-type 3 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 42167 -j ACCEPT
#multicast
-A FORWARD -d 224.0.0.0/4 -j ACCEPT
-A FORWARD -s 224.0.0.0/4 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i ppp0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state ESTABLISHED -j ACCEPT  
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -p igmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -p gre -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --dport 1723 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 1701 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 137:139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 445 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 445 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p udp -j ACCEPT
# closing connection from other side
-A icmp-in -p icmp -m state --state NEW -m icmp --icmp-type 3 -j REJECT --reject-with icmp-port-unreachable
-A icmp-in -p icmp -m state --state NEW -m icmp --icmp-type 11 -j REJECT --reject-with icmp-port-unreachable
COMMIT


multiport --dports 9,22,25,110

т.е так 137:445 диапазон, а через , единичные порты, не знал, отдельное спасибо
Так же хотелось бы спросить, почему вы закрыли порт 110 pop3 именно так, а не тихим дроп?

-A INPUT -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT

Вот этот "!" он же в разных случаях по разному действует? можете пояснить в ситуации с input и forward

-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356

У меня есть правило которое исправляет mtu, но оно подгружается после поднятия ppp+
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1500 -j TCPMSS --clamp-mss-to-pmtu -o ppp0
без него страницы не открываются