Выручайте IPTABLES

[S-VL]

Добрый день, скажу сраз в iptables полный ноль, вот пытаюсь сообразить кое что.

Есть шлюз на котором висит 3-и сетевых интерфейса. eth1 смотрит в интернет eth0 и eth2 объеденные в мост br0 (смотрит в локалку)

вобщем вот правила

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sat Feb 23 10:04:49 2013
*nat
:PREROUTING ACCEPT [1240:81254]
:OUTPUT ACCEPT [237:16429]
:POSTROUTING ACCEPT [1115:73028]
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.16.1:81
-A PREROUTING ! -d 172.16.16.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.10:3128
-A POSTROUTING -s 172.16.16.82/32 -o eth1 -j MASQUERADE
COMMIT
# Completed on Sat Feb 23 10:04:49 2013
# Generated by iptables-save v1.4.4 on Sat Feb 23 10:04:49 2013
*filter
:INPUT ACCEPT [8688:3656942]
:FORWARD ACCEPT [1826:196201]
:OUTPUT ACCEPT [7501:6004057]
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i br0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 172.16.16.82/32 -o eth1 -j ACCEPT
COMMIT
# Completed on Sat Feb 23 10:04:49 2013

Вобщем хочу чтобы клиент с адресом 172.16.16.82 свободно ходил через интернет, на адресе 10.10.10.10:3128 находится squid прозрачный прокси настроен и работает нормально.

Вобщем клиент 172.16.16.82 - добро пожаловать интернет
остальные набирают в раузере любой сайт и попадают на страницу http://172.16.16.1:81 в которой реализован интерфейс для регистрации в сети предприятия.

в данный момент все и включая клиента 172.16.16.82 смотрят на фигу по адресу первого правила в моем iptables (

Помогите правильно составить правила.

[AnrDaemon]

Про адресацию в локальной сети мы должны догадываться?

И вообще ваши правила какие-то неправильные. Только что сказали, что у вас два интерфейса под мостом, и тут же они у вас фигурируют в правилах фильтрации.

[S-VL]

Вообщем вопрос Я решил неким иным способом.

eth0 + eth2 = br0 (LOCAL)
eth1 = GATEWAY

первое правило было неправильным поэтому написал на PHP скрипт который лезет в dnsmasq и смотрит какие ip он уже раздал пользователям, подключается к MySQL и делает соответственно записи в таблицу block_address. Перед этим сохраняет правила. Те правила которые разрешены (ip адрес) т/е пользователи которые зарегистрировались в сети их пропускаем ( для них правила уже созданы и записаны в таблицу registered ). Скрипт запускается в кроне раз в минуту этого достаточно т/к даже с изменениями он выполняется быстрее секунды.

Вобщем штатный iptables выглядит так

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [1240:81254]
:OUTPUT ACCEPT [237:16429]
:POSTROUTING ACCEPT [1115:73028]
-A PREROUTING ! -d 172.16.16.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.10:3128
COMMIT
# Completed on Sat Feb 23 10:04:49 2013
# Generated by iptables-save v1.4.4 on Sat Feb 23 10:04:49 2013
*filter
:INPUT ACCEPT [8688:3656942]
:FORWARD ACCEPT [1826:196201]
:OUTPUT ACCEPT [7501:6004057]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i br0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
#

Далее пользователь подключется по локальной сети либо по wifi, dnsmasq назначает ему ip адрес, php скрипт из крона смотрит что появился новый ip адрес с новым mac-адресом и заносит его в sql таблицу block а также присваевает правило (например новый клиент 172.16.16.140):

-A PREROUTING -s 172.16.16.140/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.16.1:81

Далее клиент переходит на любой сайт где его встречает моя состряпанная веб-морда на php http://172.16.16.1:81/, логины и пароли клиентов хранятся в той же SQL базе, после успешной авторизации клиент через веб-морду регистрирует свой ПК всети, т/е нажимает кнопку зарегистрироваться, также ему указаны ПК которые он до этого регистрировал ( максимум для 1 человека сделал 5 регистраций максимально).

После нажатой кнопки делается копия текущих правил iptables, PHP циклом из копии правил удаляется строка блокировки далее делается iptables-restore и добаляются правила:
-A POSTROUTING -s 172.16.16.140/32 -o eth1 -j MASQUERADE
-A FORWARD -s 172.16.16.140/32 -o eth1 -j ACCEPT

также удаляются записи о блоке из SQL и заносятся в таблицу registered там указан id клиента ip адрес и mac адрес. В конце выполнения делается опять-же резервная копия iptables.

ну и внес /etc/network/interfaces на подъем bash скрипт pre-up /opt/startup в котором врубается iptables правила.


ЗНАЮ ЧТО ЖУТКО ГЛУПЫЕ ПРАВИЛА ПОЛУЧАЮТСЯ В IPTABLES НО! На удивление тестировал с час, все работает как часы ))))
в IPTables вообще почти не рублю, так то я программист только.

Немного недопонимаю работу правил iptables как то они линейны не могу понять неужели нет никаких условий как в программирование ну мол если такой то ip есть выполняем такое то правило нет то пропускаем идем дальше, встретили пакет возвращаемся к тому правилу и пропускаем. Всю ночь читал различные учебники одолеть iptables сложнее чем v8 node.js))

[AnrDaemon]

Это не язык программирования, это пакетный фильтр. Условия есть - каждое правило это условие.
Посмотрите в соседних темах примеры правил, в частности была тема полностью аналогичная вашей задаче.

[botsman]

Немного недопонимаю работу правил iptables как то они линейны не могу понять неужели нет никаких условий как в программирование ну мол если такой то ip есть выполняем такое то правило нет то пропускаем идем дальше, встретили пакет возвращаемся к тому правилу и пропускаем. Всю ночь читал различные учебники одолеть iptables сложнее чем v8 node.js))

Для понимания, возможно поможет мое разъяснение:
1. Все параметры правила - есть условие с логическим "И".
2. Все правила в цепочке проверяются по порядку.
3. При срабатывании правила выполняется действие, указанное в правиле, и все последующие правила в этой цепочке игнорируются.
4. Если ни одно правило в цепочке не сработало - "применяется действие по-умолчанию".
Исходя из этого и стройте свои правила по принципу от мелкого к крупному.
Например правила для определенных IP должны располагаться выше правил для подсети...

Код: [Выделить]

-A PREROUTING -s 172.16.16.0/24 -o eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.10:3128
-A PREROUTING -s 172.16.16.82/32 -o eth1 -j MASQUERADEв данном случае второе правило никогда не сработает, потому как пакет подпадает под первое правило. Вот если их поменять местами:

Код: [Выделить]

-A PREROUTING -s 172.16.16.82/32 -o eth1 -j MASQUERADE
-A PREROUTING -s 172.16.16.0/24 -o eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.10:3128
тогда и получится то что вы и задумали....

[AnrDaemon]

3. При срабатывании правила выполняется действие, указанное в правиле, и все последующие правила в этой цепочке игнорируются.

Только если правило является терминирующим. При условии, что правило там вообще есть.
Пользователь решил продолжить мысль 23 Февраля 2013, 23:40:25:

Исходя из этого и стройте свои правила по принципу от мелкого к крупному.

Нормальные администраторы поступают наоборот. Сначала отсекая основной трафик первыми несколькими правилами, чтобы сэкономить процессор, а потом уже добивая прорвавшиеся пакеты прицельными выстрелами.

Например правила для определенных IP должны располагаться выше правил для подсети...

Код: [Выделить]

-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.16.1:81
-A PREROUTING -s 172.16.16.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.10:3128
-A POSTROUTING -s 172.16.16.82/32 -o eth1 -j MASQUERADEв данном случае третье правило никогда не сработает, потому как пакет подпадает под второе правило.

Третье правило сработает ВСЕГДА, поскольку располагается в другой цепочке.

Вот если их поменять местами:

То ничего не изменится. От суммы мест слагаемых...

[botsman]

Например правила для определенных IP должны располагаться выше правил для подсети...

Код: [Выделить]

-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.16.1:81
-A PREROUTING -s 172.16.16.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.10.10.10:3128
-A POSTROUTING -s 172.16.16.82/32 -o eth1 -j MASQUERADEв данном случае третье правило никогда не сработает, потому как пакет подпадает под второе правило.

Третье правило сработает ВСЕГДА, поскольку располагается в другой цепочке.

Вот если их поменять местами:

То ничего не изменится. От суммы мест слагаемых...

Приношу извинения за невнимательный копи-пастинг примеров использования. Подправил примеры.
Пользователь решил продолжить мысль 24 Февраля 2013, 15:23:45:

Нормальные администраторы поступают наоборот. Сначала отсекая основной трафик первыми несколькими правилами, чтобы сэкономить процессор, а потом уже добивая прорвавшиеся пакеты прицельными выстрелами.

Позвольте с Вами не согласится в некоторых моментах...
Если требуется пропустить один узел куда-то а всю остальную подсеть перенаправить - то все-таки выше будет расположено правило для узла, а не подсети...

[AnrDaemon]

Выше будет располагаться фильтрация ВСЕХ пакетов.
Обратите внимание на счётчики пакетов.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# iptables -vL
Chain INPUT (policy DROP 153K packets, 9458K bytes)
 pkts bytes target     prot opt in     out     source               destination
5147K 1837M ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
21027 1734K ACCEPT     all  --  lo     any     anywhere             anywhere            ctstate NEW
    0     0 ACCEPT     gre  --  any    any     anywhere             anywhere
  315 18764 ACCEPT     icmp --  any    any     anywhere             anywhere
53929 4171K ACCEPT     all  --  !eth1  any     192.168.35.0/24      anywhere            ctstate NEW
 108K 6407K SSH_CHECK  tcp  --  any    any     anywhere             anywhere            multiport dports discard,ssh,smtp,pop3 ctstate NEW
 5913  284K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:discard ctstate NEW
  177  9988 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh ctstate NEW
   15   748 NOWAY      tcp  --  any    any     anywhere             anywhere            tcp dpt:smtp ctstate NEW
  185  9524 NOWAY      tcp  --  any    any     anywhere             anywhere            tcp dpt:www ctstate NEW
    0     0 NOWAY      tcp  --  any    any     anywhere             anywhere            tcp dpt:pop3 ctstate NEW
    3   156 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:1723 ctstate NEW
 153K 9458K LOG        all  --  !eth1  any     anywhere             anywhere            LOG level warning prefix `IPT-INPUT '

Chain FORWARD (policy DROP 6711 packets, 303K bytes)
 pkts bytes target     prot opt in     out     source               destination
8122K 6344M ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            ctstate DNAT
 323K   19M ACCEPT     all  --  !eth1  any     192.168.35.0/24      anywhere            ctstate NEW
 6711  303K LOG        all  --  !eth1  any     anywhere             anywhere            LOG level warning prefix `IPT-FORWARD '

Chain OUTPUT (policy ACCEPT 6280K packets, 4494M bytes)
 pkts bytes target     prot opt in     out     source               destination
  423 25380 ACCEPT     tcp  --  any    lo      anywhere             anywhere            tcp dpt:smtp ctstate NEW

Chain NOWAY (4 references)
 pkts bytes target     prot opt in     out     source               destination
 102K 6123K REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable

Chain SSH_CHECK (1 references)
 pkts bytes target     prot opt in     out     source               destination
 108K 6407K            all  --  any    any     anywhere             anywhere            ctstate NEW recent: SET name: SSH side: source
 102K 6113K NOWAY      all  --  any    any     anywhere             anywhere            ctstate NEW recent: UPDATE seconds: 90 hit_count: 4 name: SSH side: source