[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[ivsatel]

Так вот я и хотел избежать не нормальных случаев. И дошел до упора...

[fisher74]

Нормальные случае, это в нормально работающей системе. Я не знаю очень многих уловок хакеров, но думаю финт при котором пакет с -s 192.168.1.1 может попасть в эти цепочки. Но, думаю, Вам не помешает наличие в логах этой информации.

[ivsatel]

Но, думаю, Вам не помешает наличие в логах этой информации.

Понял, спасибо большое!!

[ivsatel]

 Не срабатывает и соответственно логов нет(((
Вывод команды netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
     

Код: [Выделить]

      1 Address
      1 servers)     
    126 192.168.1.111 Мой IP (Запуск GoogleChrome с множеством вкладок)

[fisher74]

Ну так у Вас логгируются только новые соединения...

[vovanrus]

имеется сервер с установленной Ubuntu, настроен NAT, необходимо ограничить число подключений к порту(tcp и udp), но для компа во внутренней сети обычно для такого использую:

Код: [Выделить]

iptables -A INPUT -p tcp --dport 9000 -m connlimit --connlimit-above 10 -j DROPи ограничивается до 10 подключений к 9000 порту, теперь нужно ограничить число подключений к порту из инета в локалку на внутреннем компе как по udp так и по tcp, причем статус подключений к этому порту netstat-nat отображает как udp ASSURED.

Код: [Выделить]

iptables -I OUTPUT -s komp_v_localke -p udp --dport 3902 -m connlimit --connlimit-above 6 -j DROP
iptables -I OUTPUT -s komp_v_localke -p tcp --dport 3902 -m connlimit --connlimit-above 6 -j DROPэти команды не срабатывают...

[coolman]

имеется сервер с установленной Ubuntu, настроен NAT, необходимо ограничить число подключений к порту(tcp и udp), но для компа во внутренней сети обычно для такого использую:

Код: [Выделить]

iptables -A INPUT -p tcp --dport 9000 -m connlimit --connlimit-above 10 -j DROPи ограничивается до 10 подключений к 9000 порту, теперь нужно ограничить число подключений к порту из инета в локалку на внутреннем компе как по udp так и по tcp, причем статус подключений к этому порту netstat-nat отображает как udp ASSURED.

Код: [Выделить]

iptables -I OUTPUT -s komp_v_localke -p udp --dport 3902 -m connlimit --connlimit-above 6 -j DROP
iptables -I OUTPUT -s komp_v_localke -p tcp --dport 3902 -m connlimit --connlimit-above 6 -j DROPэти команды не срабатывают...

iptables -t filter -A FORWARD -i $INET_IF -o $LAN_IF -d komp_v_localke -m connlimit --connlimit-above 6 -p tcp -m multiport --dports 3902 -j DROP

[AnrDaemon]

TCP соединения лучше резать через -j REJECT --reject-with tcp-reset
Многие сервисы при получении отказа прекратят долбиться, тогда как при пропадании пакетов они могут стучаться ещё долго, пока терпение не потеряют.

[Nitrolx]

Еще раз всем привет,
у меня сейчас стоят правила ограничения сессий такие

Код: [Выделить]

-A INPUT -s 192.168.0.129/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP Работает нормально.
 А нужно ограничить потоки от торрентов, проверино что это правило торрент сессии не режет, подскажите пожалуйста как ограничить количество всех сессий вообще от клиента ну или только торрент сессии?

Может резать диапазон портов tcp udp или можно проще?

Спасибо.

p.s. Делается это для того чтоб пользователи сети WIFI не загружали торрентами всю сеть.

[ivsatel]

Можно еще вот так добавить к уже существующему tcp правилу:

Код: [Выделить]

iptables -A FORWARD -p udp -s 192.168.0.129/32 -m connlimit --connlimit-above 50 -j DROP
iptables -A INPUT -p udp -d 192.168.0.129/32 -m connlimit --connlimit-above 50 -j DROP

[melnikdima]

Здрасьте.
есть офисная сеть (Школа). сейчас всё раздаётся через NAT без контроля.
сейчас настраиваю отдельно стоящий шлюз. пока тестирую
вот что набросал в iptables

оцените? мож что ещё блокирнуть?
или какие-то порты открыть.

Код: [Выделить]

#!/bin/sh
# При использовании нескольких сетевых интерфейсов.  eth0 – интернет, eth1 - локальная сеть.
# Включаем пересылку пакетов.
echo 1 > /proc/sys/net/ipv4/ip_forward

IPTABLES='/sbin/iptables'

# Обнуляем правила
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t nat
$IPTABLES -X -t nat

# Политика по умолчанию
# Все запрещено
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# Loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -d 127.0.0.0/8 -j REJECT


#ping
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p icmp -j MASQUERADE


# GRE
$IPTABLES -A INPUT -p gre -j ACCEPT
$IPTABLES -A OUTPUT -p gre -j ACCEPT

# VPN server
#$IPTABLES -A INPUT -p tcp --sport 1723 -s x.x.x.x -j ACCEPT
#$IPTABLES -A OUTPUT -p tcp --dport 1723 -d x.x.x.x -j ACCEPT



# Разрешает доступ с eth0 устанавливать новые соединения по портам TCP
# 22, 80
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 80 -j ACCEPT


# Разрешает доступ с eth1 устанавливать новые соединения по портам TCP
# 22, 25, 53, 80, 110, 443, 3128, 5190, 5222
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p udp -m state --state NEW --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p udp -m state --state NEW --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 110 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 443 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 5190 -j ACCEPT
$IPTABLES -A INPUT -i eth2 -p tcp -m state --state NEW --dport 5222 -j ACCEPT


# Разрешает доступ с eth1 устанавливать новые соединения по портам UDP
# 67 68
$IPTABLES -A INPUT -i eth2 -p udp -m multiport --port 67:68 -j ACCEPT



# Разрешаем весь исходящий трафик
$IPTABLES -A OUTPUT -p all -j ACCEPT

# Разрешаем установленные соединения
$IPTABLES -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешаем ответные соединения.
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешаем доступ из внутренней сети наружу.
$IPTABLES -A FORWARD -i eth2 -o eth0 -j ACCEPT

# 80 перенаправляем на SQUID
$IPTABLES -t nat -A PREROUTING ! -d 192.168.1.0/24  -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

# NAT с LAN в WAN по портам 25,110,443,5222,5190
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 25 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 110 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 443 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 5222 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 5190 -j MASQUERADE

#TEST
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24  -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24  -j MASQUERADE

[AnrDaemon]

Мы вам не онлайн-интерпретаторы скриптов.
Показывайте iptables-save.

[melnikdima]

подскажите пожалуйста. как настроить. 2 WAN

чтобы трафик по определенным портам шёл по WAN1
а остальной по WAN2

[AnrDaemon]

Маркировать трафик по портам в прероутинге и рулить маршрутизацией по маркам.

[miccy]

Не работает sip (клиент twinkle пишет 403 Forbidden Bad auth, клиент qutecom нормально регистрируется, но там ничего не слышно), в общем засада, а правила такие:

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Sun Jan 15 20:51:34 2012
*filter
:INPUT DROP [304:64073]
:FORWARD DROP [0:0]
:OUTPUT DROP [8:576]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 5060 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:61000 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:61000 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 5060 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 5060 -j ACCEPT
COMMIT
# Completed on Sun Jan 15 20:51:34 2012
# Generated by iptables-save v1.4.10 on Sun Jan 15 20:51:34 2012
*nat
:PREROUTING ACCEPT [41509:6135885]
:INPUT ACCEPT [27:4241]
:OUTPUT ACCEPT [4647:941200]
:POSTROUTING ACCEPT [31:1562]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jan 15 20:51:34 2012
Что-то можно попробовать исправить или просто все подряд разрешить?