[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[AnrDaemon]

Положить в /etc/network/if-up.d/

[cergei1982]

Положить в /etc/network/if-up.d/

Не подхватил при перезагрузке,так как была уже такая проблема из-за NetworkManager,может где то в его автозагрузку NetworkManager при поднятии eth0.

(Нажмите, чтобы показать/скрыть)

[00:37] cer@cer-laptop: ~$: cd /etc/network/if-up.d/
[00:39] cer@cer-laptop: /etc/network/if-up.d$: ls
50firestarter  avahi-daemon    ethtool         ntpdate  upstart
avahi-autoipd  cdma-routes.sh  iptables.rules  rc.fire  wpasupplicant
[00:39] cer@cer-laptop: /etc/network/if-up.d$: cat rc.fire
#!/bin/sh

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -d 192.168.0.105 -s 192.168.0.233 --sport 9740 -j ACCEPT
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A INPUT -p tcp -d 127.0.0.1  -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
[00:39] cer@cer-laptop: /etc/network/if-up.d$:

[AnrDaemon]

ls -lA /etc/network/if-up.d/

[cergei1982]

ls -lA /etc/network/if-up.d/

Точно забыл показать что он выполняем

(Нажмите, чтобы показать/скрыть)

[08:08] cer@cer-laptop: ~$: ls -lA /etc/network/if-up.d/
итого 36
-rwxr-xr-x 1 root root   45 2009-04-19 02:48 50firestarter
-rwxr-xr-x 1 root root  892 2009-10-18 19:26 avahi-autoipd
-rwxr-xr-x 1 root root  504 2009-10-18 19:26 avahi-daemon
-rwxr-xr-x 1 root root  151 2010-04-25 07:51 cdma-routes.sh
-rwxr-xr-x 1 root root 1386 2009-04-29 08:12 ethtool
-rwxr-xr-x 1 root root  325 2010-05-02 11:54 iptables.rules
-rwxr-xr-x 1 root root 1171 2009-10-23 06:56 ntpdate
-rwxr-xr-x 1 root root  429 2010-05-03 00:33 rc.fire
-rwxr-xr-x 1 root root  128 2010-02-20 13:37 upstart
lrwxrwxrwx 1 root root   32 2010-03-21 19:27 wpasupplicant -> ../../wpa_supplicant/ifupdown.sh
[08:08] cer@cer-laptop: ~$:

[AnrDaemon]

cdma-routes.sh

Где-то я такое слово слышал.
Вспоминай, как его работать заставил, так же и ipt поднимется.

[cergei1982]

cdma-routes.sh

Где-то я такое слово слышал.
Вспоминай, как его работать заставил, так же и ipt поднимется.

Проблему решил редактированием файла /etc/rc.local

[AnrDaemon]

А я кажется нашел реальную проблему.
Файлы с точкой в if-up.d не выполняются.

[cergei1982]

А я кажется нашел реальную проблему.
Файлы с точкой в if-up.d не выполняются.

Можно узнать почему?

[AnrDaemon]

По правилам... Случайно в совсем другом месте нашел подсказку.

[xeon_greg]

-A INPUT -p tcp -s 192.168.1.1/192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP

Такое правило не работает.

и не сработает. если у вас настроен нат и весь трафик пересылается с одного интерфейса на другой, поэтому резать надо не в  INPUT а в FORWARD
вашим же правилом вы можете ограничивать число сессий своего сервера но никак не клиентов за сервером
посему так работать будет
-I FORWARD -p tcp -s 192.168.1.1/192.168.1.254 --syn  -m connlimit --connlimit-above 50 -j DROP

[cergei1982]

Поставил Gufw 9.10.4,но не включал его,но теперь настройки iptables из файла /etc/rc.local не загружаются.Я так понял что  Gufw 9.10.4 позже стартует и потому все настройки стирает,это мои догадки конечно.
Вот что прописано в /etc/rc.local

(Нажмите, чтобы показать/скрыть)

[08:00] cer@cer-laptop: ~$: cat /etc/rc.local
#!/bin/bash
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -d 192.168.0.105 -s 192.168.0.233 --sport 9740 -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.0.105 --dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A INPUT -p tcp -d 127.0.0.1  -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.0.105 --dport 23710 -j ACCEPT
iptables -P OUTPUT ACCEPT
exit 0
[08:05] cer@cer-laptop: ~$: ls -l /etc/rc.local
-rwxr-xr-x 1 root root 954 2010-05-29 12:47 /etc/rc.local

Вот как выключен Gufw

Подскажите как узнать в какой последовательности кто грузится,если конечно в этом причина.

[coolman]

люди подскажите почему доменное имя не цепляет
например на такое правило
iptables -A INPUT -i eth0 -s ubuntu.ru  -j ACCEPT

 фарвол жалуется и не берет его

хотя в документации слудующее:

 

(Нажмите, чтобы показать/скрыть)

s, --src, --source адрес/маска
Определяет адрес отправителя. В качестве адреса может выступать IP-адрес (возможно с маской), имя хоста из /etc/hosts, или доменное имя (в последних двух случаях перед добавлением правила в цепочку имя резольвится в IP-адрес)

по идее должно резольвится в ip, а брать должно из доменов провайдера, в /etc/hosts только имя хоста, в rezolv.conf домены провайдера, инет прекрасно работает.

[AnrDaemon]

Читай ещё раз - адрес! Не имя! iptables вообще не ресолвит имена.
То есть в принципе.

[coolman]

Читай ещё раз - адрес! Не имя! iptables вообще не ресолвит имена.
То есть в принципе.

'это единственный и огромный минус, который я встретил в iptables, разачарован.

[AnrDaemon]

Не вижу минусов. DNS ресолвер не нужен маршрутизатору. И он ему может быть вообще не доступен.