[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[roma333]

ubuntu server 9.10 на ядре 2,6,31 не работало вчера установил 2.6.32.4 вродеб как заработало. Пакеты попадают под правило -A FORWARD -s 192.168.1.0/24 -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
для теста ограничил ssh порт одной сесией в  итоге вторая попытка подключится  по ssh отшиваэтся

Не заработало . Но у меня ядро старое - 2.6.27.18 (Ubuntu 8.10). Интересно,  а если скачать исходники нового 2.6.32.4, оно соберется у меня?

[AnrDaemon]

А просто обновиться?

[Nitrolx]

Проблема релилась, после обновелине ядра с 2,6,31 на 2.6.32.5 , вот делал по этой статьи все получилось без проблем, хотя первый раз в жизне обновлял ядро.
http://ubuntuforums.org/showthread.php?t=311158
После обновление заработали правила
iptables -A FORWARD -s 192.168.0.100/32 -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
iptables -A FORWARD -s 192.168.0.101/32 -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
iptables -A FORWARD -s 192.168.0.115/32 -p tcp --syn -m connlimit --connlimit-above 50 -j DROP

Хотя не уверен что 50 сесий это нормально... но главное работает.

[roma333]

А просто обновиться?

В репозитории нет, дело в том, что я не ставил LTS версию, или нужно подключить дополнительно какие-то репы?

[mula]

А просто обновиться?

В репозитории нет, дело в том, что я не ставил LTS версию, или нужно подключить дополнительно какие-то репы?

http://kernel.ubuntu.com/~kernel-ppa/mainline/v2.6.32.7/

[dr.atom]

я новичек в линуксах.
Всё Windows да Windows.

Но последний месяц очень заинтересовался Ubuntu.
На данный момент у меня Ubuntu 9.10.

Установил proftpd в конфиге не смог сделать ограничение скорости для скачки.
Думаю может iptables поможет..?

Прошу строго не судить..

[mula]

возможно тебе поможет скрипт htb.init

[dr.atom]

возможно тебе поможет скрипт htb.init

А подробней...? 

[AnrDaemon]

Переведи "не смог сделать"? За руки кто-то держал или глаза закрывал?

[Procik]

я не совсем понял
вот что показует  netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

1 10.0.0.240
      1 10.0.0.247
      1 10.0.0.248
      1 10.0.0.252
      1 Address
      1 servers)
      2 10.0.0.7

Хотя с 10.0.0.7 я запустил торрент, два соединения - это ssh и впн.
Так что этой командой можно посмотреть кол-во соединений на сервер.
А как посмотреть кол-во сессий ?

[melnikdima]

eth0 внешняя сеть
eth1 внутренняя  192.168.5.0/24

вот такие правила

Код: [Выделить]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP


#Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления)
iptables -A INPUT -i eth1 --source 192.168.5.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим маршрутизатору отвечать компьютерам во внутренней сети:
iptables -A OUTPUT -o eth1 --destination 192.168.5.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений
# и установленных соединений:
iptables -A FORWARD -i eth1 --source 192.168.5.0/24 --destination 0.0.0.0/0 --match state --state NEW,EST$

#Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений:
iptables -A FORWARD -i eth0 --destination 192.168.5.0/24 --match state --state ESTABLISHED -j ACCEPT

iptables -I INPUT -p tcp --dport 2002 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 2002 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.5.0/16 -o eth0 -j MASQUERADE



пытаюсь соедениться по порту 2002 SSH из внешней сети!!! не пускает.....

как открыть?

да и как открыть ответы сервера на запрос ping из внешней сети.

из внутренней сети пинг есть на сервер

[melnikdima]

eth0 внешняя сеть
eth1 внутренняя  192.168.5.0/24

вот такие правила

Код: [Выделить]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления)
iptables -A INPUT -i eth1 --source 192.168.5.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим маршрутизатору отвечать компьютерам во внутренней сети:
iptables -A OUTPUT -o eth1 --destination 192.168.5.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений
# и установленных соединений:
iptables -A FORWARD -i eth1 --source 192.168.5.0/24 --destination 0.0.0.0/0 --match state --state NEW,EST$

#Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений:
iptables -A FORWARD -i eth0 --destination 192.168.5.0/24 --match state --state ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.5.0/16 -o eth0 -j MASQUERADE



захожу на сервер через SSH

пытаюсь сделать wget ya.ru

root@melhome:~# wget ya.ru
--2010-04-06 18:19:27--  http://ya.ru/
Resolving ya.ru... failed: Name or service not known.
wget: unable to resolve host address `ya.ru'

я понимаю что я что-то не открыл в iptables.
но что? и как открыть?

[Procik]

пытаюсь сделать wget ya.ru

интерестно, чего ты хочешь добиться этой командой?
Пользователь решил продолжить мысль 09 Апреля 2010, 01:57:13:melnikdima
http://easyfwgen.morizot.net/gen/index.php - генератор правил для iptables

[Nitrolx]

Всем привет , и опять я запутался с ограничением сессий для каждого апи.
Начну с начала.
Был сервер 9.10 ядро с 2.6.31 , пробовал на нем такие правила

Код: [Выделить]

-A INPUT -s 192.168.0.121/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
-A OUTPUT -s 192.168.0.121/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
и
-A FORWARD -s 192.168.0.121/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP

Ни одно ограничение не заработало, потом обновил ядро на 2.6.32.5 заработало это правило

Код: [Выделить]

-A FORWARD -s 192.168.0.121/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
Сейчас собрал новый сервер сразу решил обновить ядро до 2.6.32.7
теперь правильно FORWARD не работает работает только INPUT и то как то странно, то работает то нет.
В чем причина? и как можно решить эту проблему?
Заранее спасибо.

[cergei1982]

Люди подскажите как сделать мой скрипт в автозагрузке и без ввода пароля при его автозагрузке.Вот накидал скриптик такой:

Код: [Выделить]

#!/bin/sh

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -d 192.168.0.105 -s 192.168.0.233 --sport 9740 -j ACCEPT
iptables -A INPUT -i ppp0 -j ACCEPT

В ручную запускается пробовал срабатывает.