Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Forward в IPTables  (Прочитано 339 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Forward в IPTables
« : 03 Ноябрь 2016, 10:46:37 »
Всем привет!
Сразу оговорюсь, я и на данном форуме новичок и Ubuntu для себя только открыл.
По сему просьба, не пинать за ошибки.

По вопросу! Есть машина с Ubuntu Server. Я благополучно установил на ней OpenVPN Server - все работает отлично.
Встала задача, чтобы у клиентов, подключившихся к серверу OpenVPN, была возможность только лазить в Интернете, т.е. разрешен проброс 80 и 443 портов, а остальные закрыты.
Поизучав IPTables, я решил ее так:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport [порт ssh] -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport [порт подключения к OpenVPN по tpc] -j ACCEPT
iptables -A INPUT -p udp -m udp --dport [порт подключения к OpenVPN по udp] -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport [порт мониторинга] -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT

Все работает, но намного медленнее, чем без правил. И при подключении по ssh терминал стал отвечать с задержками.
Изначально (так посчитал правильно) я попытался сделать без source:
iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT и iptables -A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT
но вообще ничего не работало. Потом добавил эти строчки и, как я написал выше, заработало, но с тормозами.

Большая просьба к знатокам, подскажите новичку что не так и в чем состоит проблема с задержками.
Заранее благодарю!
« Последнее редактирование: 03 Ноябрь 2016, 11:12:57 от Bakorka88 »

Оффлайн aSmile

  • Активист
  • *
  • Сообщений: 716
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #1 : 03 Ноябрь 2016, 11:06:21 »
1. Чтобы не прописывать обратные правила, обычно в начале FORWARD цепочки пишут что-то подобное
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT2. Возможно, замедление связано с ДНС (как он настроен у клиентов? Сначала какой-то внешний, а потом внутренний?). Можно попробовать разрешить форвард 53-го порта для проверки.
« Последнее редактирование: 03 Ноябрь 2016, 11:09:11 от aSmile »

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #2 : 03 Ноябрь 2016, 13:05:01 »
1. Чтобы не прописывать обратные правила, обычно в начале FORWARD цепочки пишут что-то подобное
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT2. Возможно, замедление связано с ДНС (как он настроен у клиентов? Сначала какой-то внешний, а потом внутренний?). Можно попробовать разрешить форвард 53-го порта для проверки.

Спасибо за подсказку и идею!
Но, к сожалению, forward 53-го порта ничего не дал. Замедления остались.
Что касается DNS у клиентов: до установленных правил iptables, у них же все работало без проблем.
Значит дело в сервере. Да и когда я полностью убираю правила - все ACCEPT, у клиентов тормоза пропадают.
В любом случаю, благодарю вас, что откликнулись на мою проблему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26079
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #3 : 03 Ноябрь 2016, 14:11:17 »
Показывайте iptables-save со шлюза.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #4 : 03 Ноябрь 2016, 14:25:16 »
Показывайте iptables-save со шлюза.
А сами правила написаны правильно?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26079
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #6 : 03 Ноябрь 2016, 16:17:55 »
https://forum.ubuntu.ru/index.php?topic=283622.msg2233961#msg2233961
Трудно было ответить на мой вопрос? Это же правила, а не возможные варианты. Они либо верны, либо нет!
P.S. Я не знаю, как показать iptables-save со шлюза.
https://forum.ubuntu.ru/index.php?topic=283622.msg2233907#msg2233907 - тут написано, что я только начал изучать.
Будьте проще, и тогда люди потянутся к вам.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26079
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #7 : 03 Ноябрь 2016, 17:04:20 »
Трудно было ответить на мой вопрос? Это же правила, а не возможные варианты. Они либо верны, либо нет!
Это не правила, это команды, которыми правила задаются. Мы вам тут не онлайн-интерпретаторы скриптов, и у нас нет доступа к вашей машине, чтобы угадывать, что эти команды там сделают.
P.S. Я не знаю, как показать iptables-save со шлюза.
1. Логинитесь на шлюз.
2. Выполняете команду sudo iptables-save > меняпопросили.txt3. Копируете файл меняпопросили.txt себе на машину.
4. Открываете его в текстовом редакторе.
5. Копируете его содержимое и вставляете в ответ на форуме. ПОД СПОЙЛЕРОМ!

Дожили, элементарные вещи по шагам объяснять приходится.
Может, вам ещё ссылку на видео дать, как текстовым редактором пользоваться?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #8 : 03 Ноябрь 2016, 17:13:57 »
AnrDaemon, лучше я дождусь более адекватного собеседника.
Ваше заоблачное высокомерие и гонор влюбленного в себя эгоиста, ничего, кроме отвращения, не вызывают.
Вы уж простите за прямоту, но никогда не преклонялся перед выскочками.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26079
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #9 : 03 Ноябрь 2016, 17:51:14 »
"Более адекватный собеседник" точно так же попросит вас предоставить правила со шлюза. Точно той же самой командой.
Потому что это единственный адекватный способ их получения. Нравится вам это или нет.

И, да, извините, что не пресмыкаюсь тут перед вами и не лижу вам ботинки. Впрочем, нет, не извиняйте, мне плевать на вас и ваши проблемы.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #10 : 03 Ноябрь 2016, 18:15:34 »
"Более адекватный собеседник" точно так же попросит вас предоставить правила со шлюза. Точно той же самой командой.
Потому что это единственный адекватный способ их получения. Нравится вам это или нет.

И, да, извините, что не пресмыкаюсь тут перед вами и не лижу вам ботинки. Впрочем, нет, не извиняйте, мне плевать на вас и ваши проблемы.

Сникирсните, и не включайте дуру. Речь не о том, что попросит адекватный собеседник. А в отсутствии у адекватного собеседника комплексов, которые у вас остались, видимо, еще с детства. И после того, как вас послали лесом, максимум, на что вас хватило, это "плевать".

Пользователь добавил сообщение 03 Ноябрь 2016, 18:30:43:
Вопрос решен! Большое спасибо aSmile, который подал идею для решения.
« Последнее редактирование: 03 Ноябрь 2016, 18:30:43 от Bakorka88 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26079
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #11 : 03 Ноябрь 2016, 18:51:21 »
И после того, как вас послали лесом, максимум, на что вас хватило, это "плевать".
А какого ответа ожидали вы? Униженных извинений в ответ на хамство?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Bakorka88

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Forward в IPTables
« Ответ #12 : 03 Ноябрь 2016, 19:02:52 »
И после того, как вас послали лесом, максимум, на что вас хватило, это "плевать".
А какого ответа ожидали вы? Униженных извинений в ответ на хамство?
Забавно, когда хам говорит о хамстве.

 

Страница сгенерирована за 0.06 секунд. Запросов: 24.