[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[AnrDaemon]

И в дополнение к вышесказанному - "-P OUTPUT DROP" почти всегда означает ошибку в настройке.

[AlexShap]

Спасибо большое за помощь.

[Rampage[ua]]

Помогите разобраться. Настроил шлюз на 10.04
Есть локалка 10.0.0.0/8. Подсеть здания 10.113.16.0/20.  Интернет подключен по ppp0 (pptp).
После запуска впн через ipconfig-restore грузится конфиг. 
 
ifconfig

(Нажмите, чтобы показать/скрыть)

eth1      Link encap:Ethernet  HWaddr xxxxxxxxxxxxx 
          inet addr:10.113.24.XXX  Bcast:10.113.31.255  Mask:255.255.240.0
          inet6 addr: fe80::21e:ecff:feba:8eec/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22602945 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24485608 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4213621004 (4.2 GB)  TX bytes:3961686737 (3.9 GB)
          Interrupt:28 Base address:0xc000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:903 errors:0 dropped:0 overruns:0 frame:0
          TX packets:903 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:100467 (100.4 KB)  TX bytes:100467 (100.4 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:77.47.XXX.XX  P-t-P:172.23.0.0  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1450  Metric:1
          RX packets:57277 errors:0 dropped:0 overruns:0 frame:0
          TX packets:73324 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:23780917 (23.7 MB)  TX bytes:30900463 (30.9 MB)

cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

auto eth1
iface eth1 inet dhcp

Днс прописаны.

IPtables

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Feb 22 21:01:15 2011
*nat
:PREROUTING ACCEPT [210357:16514352]
:POSTROUTING ACCEPT [9033:575664]
:OUTPUT ACCEPT [5930:374253]
-A POSTROUTING -s 10.113.24.254 -o ppp0 -j MASQUERADE   
COMMIT
# Completed on Tue Feb 22 21:01:15 2011
# Generated by iptables-save v1.4.4 on Tue Feb 22 21:01:15 2011
*filter
:INPUT ACCEPT [7014935:8711447220]
:FORWARD ACCEPT [262127:218876117]
:OUTPUT ACCEPT [8115640:802772128]
-A FORWARD -s 10.113.24.254 -j ACCEPT    
-A FORWARD -d 10.113.24.254 -j ACCEPT    
COMMIT
# Completed on Tue Feb 22 21:01:15 2011

У клиентов машина прописана как шлюз. Проблема в том, что локалный трафик с клиентов  на адреса 10,0,0,0/8 нужно направлять на 10.113.16.1 а не на ppp0. роутом на клиентах дело исправить нельзя потому что на 10.113.16.1 фильтрация по мак. Тоесть надо часть трафика с клиентов (в зависимости от напраления) слать на интерфейс ppp0 а часть на шлюз 10.113.16.1.

И второе: интернет работает нормально, но на некоторые сайты не заходит (rozetka.com.ua, однокласники)

[fisher74]

iptables не при чём.
Нужно смотреть/править таблицу маршрутизации.
Например таким способом:

auto eth1
iface eth1 inet dhcp
post-up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.113.16.1

Но DHCP на шлюзовом компе - не лучшая идея. ИМХО
И не проще ли параметры маршрутизации задать на DHCP-сервере?

10.113.24.254 - это какой-то выделенный комп?

[xeon_greg]

политикой ACCEPT в FORWARD сводятся все правила на нет в этой цепочке, это раз, по поводу

И второе: интернет работает нормально, но на некоторые сайты не заходит (rozetka.com.ua, однокласники)

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

[Rampage[ua]]

по поводу

И второе: интернет работает нормально, но на некоторые сайты не заходит (rozetka.com.ua, однокласники)

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

спасибо помогло.

Но DHCP на шлюзовом компе - не лучшая идея. ИМХО
И не проще ли параметры маршрутизации задать на DHCP-сервере?

10.113.24.254 - это какой-то выделенный комп?

нет не проще так как доступа к ссерверу нет(((
и присвоение идёт исключительно по дхцп
10,113,24,254 это выденный комп без доступа к локальной сети.

[IOpin4]

Помогите пожалуйста решить следующую задачу.

Машинка (192.168.1.1) раздает интернет в локалке, известны 4 компа и их MAC адреса, как с помощью iptables отфильтровать весь исходящий web трафик со сторонних и неизвестных MAC адресов на внутренний сайт заглушку на apache, который висит на 192.168.1.1:80?

разобрался как перенаправлять 1 определенный мак:

iptables -t nat -I PREROUTING -m mac --mac-source XX:XX:XX -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80

а как наоборот, по умолчанию всех перенаправлять, а 4 мака не трогать?

[AnrDaemon]

Создать отдельную цепочку и использовать цель RETURN

[IOpin4]

подскажите, это правильное решение для моей задачи?

iptables -t nat -I PREROUTING -m mac --mac-source XX:mac1:XX -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -m mac --mac-source XX:mac2:XX -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -m mac --mac-source XX:mac3:XX -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80

[AnrDaemon]

подскажите, это правильное решение для моей задачи?

Нет.

[victor00000]

подскажите, это правильное решение для моей задачи?

iptables -t nat -I PREROUTING -m mac --mac-source XX:mac1:XX -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -m mac --mac-source XX:mac2:XX -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -m mac --mac-source XX:mac3:XX -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80

правильно, ищо добав
iptables -A POSTROUTING -t nat -j MASQUERADE

[AnrDaemon]

правильно, ищо добав
iptables -A POSTROUTING -t nat -j MASQUERADE

Вы ошибаетесь. На этот раз - жестоко ошибаетесь.
Я могу терпеть ваш корявый "русский" язык, но глупость вашу терпеть я не намерен.

[victor00000]

Код: [Выделить]

#!/bin/bash
mac1=00:22:65:A0:FB:60
iptables -t nat -F
iptables -t nat -X
# если  закоментарии (#) то перёд апаче 192.168.0.2:80
# Убирать (#) открыть мак адрес интернет.
#iptables -t nat -A PREROUTING -m mac --mac-source $mac1 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -j DNAT --to-destination 192.168.0.2:80
iptables -A POSTROUTING -t nat -j MASQUERADE


[AnrDaemon]

Десятый раз - ваше первое правило отправит пакеты с этого мака в интернет без маскарада. Обратно они уже не вернутся. Как правильно - я сказал выше. Если не поняли - переспросите.

И возьмите какую-нибудь хорошую книжку почитать. Пушкина, или Толстого.

[nik_user]

На внешке (интернет) есть статический IP, как мне только его пустить, на компьютер в локалке, по определенному порту. Компьютер попадает на комп тот в интернет
iptables -A FORWARD -p tcp -s 192.168.10.1 -d ХХХ.ХХХ.ХХХ.ХХХ --dport 80 -j ACCEPT
ХХХ.ХХХ.ХХХ.ХХХ - статический IP в интернете

Щас только пробрасываю порты
iptables -t nat -A PREROUTING -p tcp -d  ХХ.ХХ.ХХ.ХХ --dport 80 -j DNAT --to-destination 192.168.10.1:8081
iptables -A FORWARD -i eth0 -d 192.168.10.1 -p tcp --dport 8081 -j ACCEPT
ХХ.ХХ.ХХ.ХХ - мой статический IP

(чтоб только комп с внешки мог подключаться на компьютер в сети, через правила IPTABLES)