Открыть порты и сделать исключения для определенных ip

[Rydj]

Добрый вечер у меня на сервере прописаны правила:

(Нажмите, чтобы показать/скрыть)

root@server1:~# iptables-save
# Generated by iptables-save v1.4.4 on Thu Dec 20 23:18:41 2012
*filter
:INPUT ACCEPT [1039731694:728967618174]
:FORWARD ACCEPT [1491487668:1015196240921]
:OUTPUT ACCEPT [969880710:736307035148]
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Thu Dec 20 23:18:41 2012
# Generated by iptables-save v1.4.4 on Thu Dec 20 23:18:41 2012
*nat
:PREROUTING ACCEPT [128602979:8353403045]
:POSTROUTING ACCEPT [1325315:72343882]
:OUTPUT ACCEPT [20230518:1308895789]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.6.33:80
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.16.0.4:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 172.16.0.4:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 172.16.0.5:5901
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5902 -j DNAT --to-destination 172.16.10.20:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5903 -j DNAT --to-destination 172.16.0.5:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5918 -j DNAT --to-destination 172.16.0.8:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1337 -j DNAT --to-destination 172.16.10.20:1337
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5919 -j DNAT --to-destination 172.16.10.20:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5904 -j DNAT --to-destination 172.16.6.165:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5906 -j DNAT --to-destination 172.16.20.213:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 6000 -j DNAT --to-destination 172.16.5.31:6000
-A PREROUTING -i eth0 -p tcp -m tcp --dport 6001 -j DNAT --to-destination 172.16.5.31:6001
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5908 -j DNAT --to-destination 172.16.0.8:5900
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5959 -j DNAT --to-destination 172.16.20.213:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3690 -j DNAT --to-destination 172.16.0.2:3690
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5905 -j DNAT --to-destination 172.16.0.2:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 666 -j DNAT --to-destination 172.16.20.19:3050
-A PREROUTING -i eth0 -p tcp -m tcp --dport 19090 -j DNAT --to-destination 172.16.0.2:19090
-A POSTROUTING -s 172.16.16.16/32 ! -d 172.16.16.16/32 -j MASQUERADE
-A POSTROUTING -s 172.16.0.5/32 ! -d 172.16.0.5/32 -j MASQUERADE
-A POSTROUTING -s 172.16.5.127/32 ! -d 172.16.5.127/32 -j MASQUERADE
-A POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x{внешний ip}
COMMIT
# Completed on Thu Dec 20 23:18:41 2012

Помогите немного уточнить
Я ведь правильно разобрался что
-A POSTROUTING -s 172.16.0.5/32 ! -d 172.16.0.5/32 -j MASQUERADE
это открытие всех портов для ip-адреса 172.16.0.5?
Как открыть только определенные порты для нужного ip?
И как сделать исключение для заворачивание трафика, например чтобы с определенных ip-адресов при обращении к портам 80 и 8080 трафик не заворачивался на прокси 3128?

[AnrDaemon]

Неправильно. У вас вообще всё нараспашку открыто.
*filter
:INPUT ACCEPT [1039731694:728967618174]
:FORWARD ACCEPT [1491487668:1015196240921]

[Rydj]

не подскажите как по фэн-шую сделать?

[fisher74]

Сделать обратное от того, что указал AnrDaemon

Код: [Выделить]

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROPс соответсвующими дополнительными правилами

Я ведь правильно разобрался что
-A POSTROUTING -s 172.16.0.5/32 ! -d 172.16.0.5/32 -j MASQUERADE
это открытие всех портов для ip-адреса 172.16.0.5?

Нет неправильно. Действие MASQUERADE не несёт функцию фильтрации (на это намекает название таблицы nat, которое явно отличается от названия другой таблицы - filter).

[Rydj]

Понял, спасибо. Это я сделаю

(Нажмите, чтобы показать/скрыть)

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP

Можете пожалуйста для примера дать 3 правила
1. Открытие всех портов на ip адресе
2. Открытие только определенных портов
3. Добавить ip-адрес в исключение правила
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
т.е. чтобы трафик не заворачивал на порт 3128

[fisher74]

Это не форум телепередачи "Угадай мелодию". Все эти простейшие действия расписаны в iptables tutorial и даже с примерами, что говорит о том, что  Вы даже не пытались разобраться.
Могу предложить Вам изучить работу netfilter по этой ссылочке. У меня именно на этой статье, в своё время, карма расчистилась. Времени на изучение займёт не очень много (не больше часа), но зато не будете простейшие вопросы задавать.

[Rydj]

Спасибо за статью, вроде разобрался но лучше перестрахуюсь и уточню.
Для открытия портов используется команда:
iptables -A INPUT -s 172.16.0.21/32 -m multiport --dports 22,8080,139,445 -j ACCEPT
Если нужно указать подсеть то меняем число посоле "/"
Для исключения заворачинания трафика я просто должен первым правилом указать открытие 80-го порта для нужного адреса а потом уже писать правило заворачивания на порт прокси да?

[fisher74]

Я не понял, что Вы хотите исключить от чего.
Представьте пакет со соответсвующими парметрами (-s, -d, -sport, -dport), смотрите на картинку схемы netfilter  и "ведите" свой пакет по ней, учитывая Ваши правила. Сразу поймёте где может быть засада.

[Rydj]

ну например мне нужно чтобы на ip 172.16.0.41 трафик шел не через прокси сервер а попадая на порт 80 уходил во вне. Т.е. мне надо открыть для него 80-ый порт и сделать маскарад, а потом уже написать редирект. Вот так да?

(Нажмите, чтобы показать/скрыть)

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -s 172.16.0.41/32 -m multiport --dports 8080,80,445,443 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.0.41/32 ! -d 172.16.0.41/32 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

[fisher74]

У Вас каша в голове или Вы выражаетесь неправильно.
Если траффик идёт ЧЕРЕЗ шлюз, то он никак не попадает в цепочку INPUT. Он будет идти по цепочке FORWARD. Вы же в описании ситуации собрали всё - с, на, через.
Мы же не знаем, что это за 172.16.0.41. Кто это? Хост внутри локальной сети, или один из интерфейсов самого шлюза? И траффик по 80-му порту идёт от этого хоста (организован http-сервер для полльзователей интернета) или в его сторону извне (пользователь хоста читает этот форум)
Внимательней смотрите на картинку.