Forewarning: Мая есть пить, за ашипки не ругать.
Сложно конечно, я себе всю эту структуру представлял более топорно, по поводу статуса соединения, кое что нашел.
TCP соединение всегда устанавливается передачей трех пакетов, которые инициализируют и устанавливают соединение, через которое в дальнейшем будут передаваться данные. Сессия начинается с передачи SYN пакета, в ответ на который передается SYN/ACK пакет и подтверждает установление соединения пакет ACK. После этого соединение считается установленным и готовым к передаче данных.
Представлял топорно, или структуру топорно?
По поводу спойлера - conntrack как раз следит за этим, и ещё за кое-чем. Я сам до конца не разбирался, но по диагонали документацию пробежал.
но, насколько я понимаю соединение не может быть установлено если есть общее запрещающее правило или правило указывающие конкретно что именно запрещено,
Вообще - да. В частности - надо смотреть конкретные наборы правил.
из моих правил выходит что -m state --state NEW,ESTABLISHED -j ACCEPT, дыры, т.е оно пропускает все
Скажем так, большую часть. В отсутствие RELATED не проходят сервисные пакеты, это может вводить в ступор некоторые приложения.
И, как я уже сказал, мешать NEW с ESTABLISHED - создавать слабо управляемую (если вообще) кашу.
AnrDaemon
Такая попытка по меньшей мере странная Smiley
Если это открытый шлюз, conntrack использовать для разрешения как-то бессмысленно. Скорее, это должно быть единственное запрещающее правило.
Если это брандмауэр с натом - тогда одним правилом тут не отделаешься.
Попытка сделать брандмауэр с натом конечно же, что вы посоветуете?
Нарисовать схему маршрутизации в сети на большом листе. А3 или больше.
Ваши сомнения в целесообразности беспочвенны, это поможет
Просто распечатайте на второй лист
вот эту табличку, поставьте палец на свою схему маршрутизации и воообразите себя пакетом. Проведите пальцем по всей карте, выписывая названия таблиц и цепочек, через которые проходит пакет. Дополните их правилами... Потом внесите всё в компьютер.
Немного не понял структуры ваших сетей.
eth1 локальная сеть от провайдера, довольно таки загаженная, сыплется неимоверное количество попыток соединений в секунду по разным портам.
Фигня всё это... Я вот на следующей неделе ещё одну хаутушку опубликую, думаю, вам будет небезынтересно.
ppp0 поднят openl2tpd, интернет.
eth0 локальная сеть
Ясно.
Для ограничения дятлов используется модуль state в цепочке SSH_CHECK.
Мда conntrack, connlimit, путал их, так не приходилось использовать. conntrack оказывается более продвинутый вариант -m state.
Скорее, более адекватный и современный.
Сложно понять нечто большее не имея соотв. образования.
Вы всё правильно поняли
Для _настройки_ большего знать в общем-то необязательно. Хотя, не скрою, желательно.
О state и conntrack, lor
По-моему, обычный звездёж
Что в общем-то обычно для лора. (Это не значит, что они не правы, просто не понравился заданный участниками тон разговора)
conntrack управляет состоянием соединений, правила типа icmp type 11 и 3 мне не нужны?
Нет. Правило
-m conntrack --ctstate ESTABLISHED,RELATED, записанное в начало цепочки, вообще покрывает, как вы видели, более 90% всех проходящих пакетов. Ибо раз мы разрешили установку этого соединения, глупо перепроверять на валидность каждый отдельный входящий в него пакет.
предотвращения ситуации с переначиванием уже заDNATенных пакетов.
пакетов которые перенаправлены на конкретную машину внутри сети? что значит "переначиванием"? что с ними происходит? я понял лишь то что conntrack помогает определить статус nat пакетов, и что то предпринимает. Но на практике это ничего не дает
Мая есть пьян и ленив. Так что копаться в поиске не беду, просто скажу, что возможна ситуация, в которой уже перенаправленное установленное соединние оказывается ещё раз перенаправлено, уже по другому адресу либо с другими параметрами, что напрочь убивает возможность его использования.
При этом внешне правила кажутся рабочими.
Ты ещё тут?
хотел тоже самое спросить, спасибо что так развернуто ответили, не поленились
Ну, "ты ещё тут" относилось к пакету... надеюсь, это было понятно
OUTPUT DROP - это почти всегда ошибка в настройке.
виндовые машины в сети есть, хоть они и всегда чистые и под контролем, лучше перестраховаться думал я
DROP в цепочке OUTPUT никак не поможет, а вот вредит изрядно, заставляя писать куча странных, плохо читаемых правил, которые потом ещё приходится комментировать (чтобы не забыть) и поддерживать в актуальном виде.
(Кивая в сторону вышеупомянутой таблички) цепочка OUTPUT вообще относится полностью к самому серверу.
ВСЕ пакеты проверяются на вышеотквоченные правила (worst case, так сказать).
замедляет работу?
Повышает рагрузку на сервер, чтобы быть точным. Незначительно, но всё же. Сами сравните.
iptables -vL
и посчитайте, сколько (в процентном соотношении) пакетов(первая колонка) проходит через каждое правило.
А потом замените те четыре правила на
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth1 -p gre -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -j ACCEPT
А icmp я боюсь уже разрешать, почитал что люди пишут, последил в своё время за коробочкой-роутером и его логами там после сканирования портов шли атаки разного рода, когда он не отвечал на запросы пинга и была включена защита от сканирования портов, их поубавилось
Это несколько из другой оперы и лечится другими средствами. Для начала хорошо бы создать рабочую систему.
Вы этот порт заDNATили, что он делает в INPUT?
а без этого не работало
Значит, где-то ошиблись с настройкой.
filter же действует для внутренней сети которая за натом?
Таблица filter действует... выше ссылка.
Этот ! действет всегда одинаково. Отрицает правило. "Пришло не с eth1".
все кроме eth1?
Я как бы именно это и сказал. Ибо интерфейсов реально много
$ ifconfig
eth0 Link encap:Ethernet HWaddr 6c:f0:49:d1:de:75
inet addr:192.168.35.1 Bcast:192.168.35.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10847125 errors:0 dropped:3407177662 overruns:0 frame:0
TX packets:13994881 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1232041823 (1.1 GB) TX bytes:1553517964 (1.4 GB)
Interrupt:220 Base address:0xa000
eth0:1 Link encap:Ethernet HWaddr 6c:f0:49:d1:de:75
inet addr:192.168.10.2 Bcast:192.168.10.15 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:220 Base address:0xa000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:532643 errors:0 dropped:0 overruns:0 frame:0
TX packets:532643 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:113989838 (108.7 MB) TX bytes:113989838 (108.7 MB)
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.35.1 P-t-P:192.168.35.200 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:189 errors:0 dropped:0 overruns:0 frame:0
TX packets:211 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:22772 (22.2 KB) TX bytes:21498 (20.9 KB)
ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.35.1 P-t-P:192.168.35.200 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:162 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:14065 (13.7 KB) TX bytes:102 (102.0 B)
-A INPUT -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
вот эти правила разрешающие, мне бы как то попроще, закрыться от внешки и разрешить только то что нужно.
Так у нас запрещено всё, что не разрешено
Потому и правила все разрешающие... кроме специально оговорённых запрещающих.
Внимательно ещё раз перечитайте man iptables, часть TARGETS.
P.S.
Приведённый мной в предыдущем сообщении конфиг может служить таким себе примером минималистического подхода к настройке маршрутизатора. Там есть немного мусора и отсутствует одно правило, но в остальном - только необходимое.
Тема: HOWTO: Iptables для новичков (Прочитано 526602 раз)
