HOWTO: Iptables для новичков

[merfo]

Спасибо,

Код: [Выделить]

-t nat -A OUTPUT -d xx.xx.xx.xx -j DNAT --to-destination 127.0.0.1То что нужно.
При чём тут дыра, если мы говорим об ИСХОДЯЩИХ пакетах? Вопрос возник из-за того, что некий софт, исходники которого утеряны, ссылался на определённый ip, который уже мёртв. мне понадобилось перенаправить запросы таким макаром, вот и всё.

[PePPeRmix]

У МЕНЯ ЩА МОЗГ ВСКИПИТ!!!!  
Помогите плз
Суть такова
Inet-IP
LAN1-IP
LAN2-IP

в данный момент

-A POSTROUTING -s LAN2-IP -j SNAT --to-source Inet-IP

Вот так внешка работает, по логике отлично!

Но нужно чтобы когда идет запрос на внутренний адрес 10.*.*.*/8(LAN1-IP)

то нужно чтоб из LAN2-IP отправляло не в Inet-IP а в LAN1-IP есть идеи? извините что спрашиваю, уже вообще не соображаю, срочно надо, мозг ща вскипит...
\\\Или при таком раскладе можно забыть О SNAT?!

[AnrDaemon]

Почему же? Делай двойную проверку.

[PePPeRmix]

В смысле двойную проверку?
Если SNAT четко указывает на LAN2-IP с которого идет запрос и эти запросы тупо перекидывает на Inet-IP
Т.е. проверять куда пакет направляется и затем кидать в другую цепочку, из которой будет уже выходить результат куди направлять на Inet-IP или на LAN1-IP... Так вот как сделать ту самую проверку?! На какой IP внешний(0.0.0.0) или на внутренний(10.0.0.0) идет запрос от LAN2-IP....
PS:Спасибо за внимание!

[AnrDaemon]

Так...
1. Прочитать документацию на iptables. Обратить внимание на ключевые понятия "цепочка", "таблица", "очередность применения правил".
2. Не ожидать, что тебе преподнесут решение на блюдечке с каёмочкой цвета по твоему выбору. Своя голова тоже должна быть на плечах.
Тем более что идея у тебя правильная, просто... недописанная.
Адрес источника проврить - проверил, а адрес назначения - ы?

[PePPeRmix]

Мде... вот что значит пересидеть за серваком...  и когда гугл не отвечает на бональные вопросы в такие моменты...
iptables -t nat -I POSTROUTING -s LAN2-IP -d LAN1-IP -j SNAT --to-source LAN1-IP
Все знал, все читал, мудрил с цепочками, а параметр -d добавить не догадался 

[maroshka]

Народ, ткните носом, где не дописал правила:
Есть небольшая сеть, Сервер, 2 сетевухи, с мира провайдер дает статику на ETH0, в локалке ETH1, курил разные маны и тутор, все вроде работает. Единственное, что не критично, но для понимания необходимо: не могу из LAN сети попасть на внешний IP, весь траффик попадает под политику DROP судя по всему в цепочках INPUT и OUTPUT не дописал чегото, недопонимаю, как это разрешить, сильно не пинайте... Спасибо
Листинг скрипта - ниже:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

##########################   1. Vkly4aem ip_forward v jadre
echo "1" >  /proc/sys/net/ipv4/ip_forward

##########################   2. Vvodim peremennie dla ydobnosti i prostoti
FW="/sbin/iptables"
WAN_IP="XXX.XXX.XXX"
WAN_INT="eth0"
LAN_IP_RANGE="192.168.3.0/28"
LAN_IP="192.168.3.1"
LAN_INT="eth1"
LO_INT="lo"
LO_IP="127.0.0.1"

##########################   3.1. O4iwaem vse tsepo4ki pravil na vsakij sly4aj
$FW -t filter -F
$FW -t nat -F
$FW -t mangle -F

##########################  3.2. Sozdaem novyjy tsepo4ky i pravila k nej
$FW -N bad_tcp_packets
$FW -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
$FW -A bad_tcp_packets -p tcp ! --syn -m conntrack --ctstate NEW -j LOG --log-prefix "NEW NOT SYN:"
$FW -A bad_tcp_packets -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
##########################   4. Stroim pravila dla tsepo4ki FILTER
##########################   4.1. Pravila dla INPUT
$FW -A INPUT -m conntrack --ctstate INVALID -j LOG --log-level INFO --log-prefix "INPUT INVALID PACKAGES: "
$FW -A INPUT -m conntrack --ctstate INVALID -j DROP
$FW -A INPUT -p tcp -j bad_tcp_packets
$FW -A INPUT -i $WAN_INT -s 0/0 -p ICMP --icmp-type 8 -j ACCEPT
$FW -A INPUT -i $WAN_INT -s 0/0 -p ICMP --icmp-type 11 -j ACCEPT
$FW -A INPUT -i $LAN_INT -s $LAN_IP_RANGE -d $LAN_IP -p ALL -j ACCEPT
$FW -A INPUT -i $WAN_INT -s 0/0 -d $WAN_IP -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$FW -A INPUT -i $LO_INT -s $LO_IP -p ALL -j ACCEPT # vse i ping s SRV na 127.0.0.1 4erez LO_INT
$FW -A INPUT -i $LO_INT -s $WAN_IP -p ALL -j ACCEPT # vse i ping s SRV na WAN_IP 4erez LO_INT
$FW -A INPUT -i $LO_INT -s $LAN_IP -p ALL -j ACCEPT # vse i ping s SRV na WAN_IP 4erez LO_INT

##########################   4.2. Pravila dla FORWARD
$FW -A FORWARD -m conntrack --ctstate INVALID -j LOG --log-level INFO --log-prefix "FORWARD INVALID PACKAGES: "
$FW -A FORWARD -m conntrack --ctstate INVALID -j DROP
$FW -A FORWARD -p tcp -j bad_tcp_packets
$FW -A FORWARD -i $WAN_INT -s 0/0 -d $LAN_IP_RANGE -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$FW -A FORWARD -i $LAN_INT -s $LAN_IP_RANGE -d 0/0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

#########################   4.3. Pravila dla OUTPUT
$FW -A OUTPUT -o $LAN_INT -s $LAN_IP -d $LAN_IP_RANGE -p ALL -j ACCEPT
$FW -A OUTPUT -o $WAN_INT -s $WAN_IP -d 0/0 -p ALL -j ACCEPT
$FW -A OUTPUT -o $LO_INT -d 0/0 -p ALL -j ACCEPT

##########################   4.4. Ystanavlivaem politiky pereda4i paketov DROP v tsepo4ke FILTER
$FW -P INPUT DROP
$FW -P FORWARD DROP
$FW -P OUTPUT DROP

##########################   5. Stroim pravila dla tsepo4ki NAT
##########################   5.1. Vkly4aem maskarading esli ip adres na vnewnem interfejse dinami4eskij
#$FW -t nat -A POSTROUTING -o $WAN_INT -j MASQUERADE

##########################   5.2. Vkly4aem SNAT esli ip adres na vnewnem interfejse stati4eskij
$FW -t nat -A POSTROUTING -o $WAN_INT -s $LAN_IP_RANGE -j SNAT --to $WAN_IP

##########################   5.3. Perenapravlaem zaprosi iznytri seti v web, s portov 80 i 8080 v proxy servera na port 3128
$FW -t nat -A PREROUTING -i $LAN_INT -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

##########################   6. Stroim pravila dla tsepo4ki MANGLE

Пользователь решил продолжить мысль 28 Декабря 2010, 00:45:19:оп, не дождался ответа, решил сам, видимо гдето не дочитал принцип прохождения пакетов. Путем добавления в скрипт таких строк:

$FW -A INPUT -i $LAN_INT -s $LAN_IP_RANGE -d $WAN_IP -p ALL -j ACCEPT
$FW -A OUTPUT -o $LAN_INT -s $WAN_IP -d $LAN_IP_RANGE -p ALL -j ACCEPT

такого вида прохождение пактов, если я правильно понимаю, не совсем безопасно, но для тестирования и понимания принципа прохождения пакетов оказалось полезным, всем спасибо, вопросов нет)))

[TiGRpp]

Помогите создать правило.

Приветствую всех, с наступающим НГ.
Испытываю сложность с созданием правила редиректа пакетов с одного порта на другой для входящего и исходящего соединений.
Цель: запускать приложение от имени пользователя, что возможно с портом выше 1024, в данном случае - 4111, которое должно работать по порту tcp/411. То есть 4111 - внутренний порт, 411 - внешний. Интерфейс eth0, ip статический. Моим знакомым был предложен вариант

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 411 -j REDIRECT --to-ports 4111 Но судя по всему это только часть необходимого, относящаяся к входящим пакетам. Так же просьба разьяснить где и как включить фаерволл, и как включить правило в автозагрузку. Буду благодарен за решение. E-mail alex-04@list.ru Александр

[maroshka]

Второе правило тогда видимо чтото вроде:
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 4111 -j REDIRECT --to-port 411

Немного не понятно, что значит включить файерволл? а он у Вас выключен?
Для автозагрузки скрипта (т.е. исполняемого файла) пишите путь к нему в файле /etc/rc.local
А еще методично прорабатываем это:
http://iptables.ru/index.html#B1
http://easylinux.ru/node/190
http://www.opennet.ru/docs/RUS/iptables/
http://www.posix.ru/network/iptables/

[SergaNT404]

Здравствуйте !  Ситуация следующая : имеется комп с двумя сетевухами eth0-внешка eth1-локальная сеть аипишники статические, dns от провайдера, инет раздается в локалку через nat , на этой же машине крутится почтовый сервер. под спойлером конфиг iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
#очищаем настройки
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#
#Подгрузка необходимых модулей
#
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
#
#политика по умолчанию
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -p OUTPUT DROP
#
#раздаём инет в локалку четез nat:
#
echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING --source 192.168.0.0/24 -o eth0 -j SNAT --to-source 213.148.xxx.xxx
#
#Разрешим входящие соединения на маршрутизатор из локальной сети :
#
iptables -A INPUT -i eth1 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
#
#Разрешим маршрутизатору отвечать компьютерам в локальной сети:
#
iptables -A OUTPUT -o eth1 --destination 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из локальной сети в инет для установки соединений и установленных соединений:
#
iptables -A FORWARD -i eth1 --source 192.168.0.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из интернета в локальную сеть только для установленных соединений:
#
iptables -A FORWARD -i eth0 --destination 192.168.0.0/24 --match state --state ESTABLISHED -j ACCEPT
#
#открываем порт для торрент-клиента на отдельной машине:
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 29670 -j DNAT --to-destination 192.168.0.77
iptables -A FORWARD -p tcp -i eth0 --dport 29670 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
#разрешаем трассировку udp
#
iptables -A FORWARD -p udp -j ACCEPT
#
#Почта_smtp
#
iptables -A FORWARD -o eth0 -m state --state NEW -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
#
#Почта_pop3
#
iptables -A FORWARD -o eth0 -m state --state NEW -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
#

проблема в том, что клиенты не могут авторизоваться на сервере, так же нет доступа по https если поставить INPUT и FORWARD в ACCEPT все работает без поблем. Это мой первый опыт в настройке iptables, пожалуйста помогите найти ошибки в конфиге.

[AnrDaemon]

iptables-save
Сам почитай для начала.
Сравни с примером в https://forum.ubuntu.ru/index.php?topic=99586.0

[maroshka]

iptables-save
Сам почитай для начала.
Сравни с примером в https://forum.ubuntu.ru/index.php?topic=99586.0

Да какая разница как его ставить в автозагрузку? тем unix  и хорош, что дает разные пути решения.
Пользователь решил продолжить мысль 09 Января 2011, 12:13:59:

Здравствуйте !  Ситуация следующая : имеется комп с двумя сетевухами eth0-внешка eth1-локальная сеть аипишники статические, dns от провайдера, инет раздается в локалку через nat , на этой же машине крутится почтовый сервер. под спойлером конфиг iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
#очищаем настройки
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#
#Подгрузка необходимых модулей
#
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
#
#политика по умолчанию
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -p OUTPUT DROP
#
#раздаём инет в локалку четез nat:
#
echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING --source 192.168.0.0/24 -o eth0 -j SNAT --to-source 213.148.xxx.xxx
#
#Разрешим входящие соединения на маршрутизатор из локальной сети :
#
iptables -A INPUT -i eth1 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
#
#Разрешим маршрутизатору отвечать компьютерам в локальной сети:
#
iptables -A OUTPUT -o eth1 --destination 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из локальной сети в инет для установки соединений и установленных соединений:
#
iptables -A FORWARD -i eth1 --source 192.168.0.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
#
#Разрешим перенаправление пакетов из интернета в локальную сеть только для установленных соединений:
#
iptables -A FORWARD -i eth0 --destination 192.168.0.0/24 --match state --state ESTABLISHED -j ACCEPT
#
#открываем порт для торрент-клиента на отдельной машине:
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 29670 -j DNAT --to-destination 192.168.0.77
iptables -A FORWARD -p tcp -i eth0 --dport 29670 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
#разрешаем трассировку udp
#
iptables -A FORWARD -p udp -j ACCEPT
#
#Почта_smtp
#
iptables -A FORWARD -o eth0 -m state --state NEW -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
#
#Почта_pop3
#
iptables -A FORWARD -o eth0 -m state --state NEW -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
#

проблема в том, что клиенты не могут авторизоваться на сервере, так же нет доступа по https если поставить INPUT и FORWARD в ACCEPT все работает без поблем. Это мой первый опыт в настройке iptables, пожалуйста помогите найти ошибки в конфиге.

Непонятно зачем их удалять, по-моему если не создавать кучи новых цепочек, то достаточно только очищать?
iptables -X
iptables -t nat -X
iptables -t mangle -X
Вместо -m state --state более актуальный вариант -m conntrack --ctstate  разработчик советуте, но можно и так оставить
Это: echo 1 > /proc/sys/net/ipv4/ip_forward  и это: sysctl -w net.ipv4.ip_forward="1" - в принципе дествия ведущие в р-те к одному результату, так что можно одно убрать.
По-моему запись вида iptables -A FORWARD -o eth0 не верна изначально, что значит мы форвардим с исходящего интерфейса eth0? форвард - это форвард, на него попадаем через интерфейс, значит должно быть -i eth0 и далее эти же правила допустим с -i:
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp --dport 110 -j ACCEPT
что они должны давать? зачем нам форвардить эти порты? отправка то должно происходить с сервера и прием тоже на сервеp т.е. цепочки INPUT и OUTPUT
В цепочках iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT и iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT видимо надобно указать внешний интерфейс т.к. изнутри вы итак все разрешили.
А в остальном все должно работать, выход на внутренний интерфейс с локалки и обратно открыты, 
На каком интерфейсе висит apache и почта? смотрят ли эти сервисы в локалку?, может просто сервисы настроены на внешний IP? из нутри сети есть пинг на внешний IP? если пинга нет, то возможно надо дописать правила входа/выхода на данный IP
     

[AnrDaemon]

При чём тут загрузка?

[kolyan_k]

День добрый!  извините  если  задаю  глупый вопрос... не могу  разобраться:  в  локалке стоит  сервер открыт   Rdp   из интернета тоесть  вне локалке  попадаю, а  из локальной  сети  не пускает....?

#ALLOW ACCESS
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#DENAID IN

iptables -P INPUT DROP


#RDP ALLOW

iptables -t nat -A PREROUTING -d 192.168.254.2 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389

[AnrDaemon]

iptables-save полностью показывай.