[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[winmasta]

-A POSTROUTING -o ppp+ -j MASQUERADE
Уверены???

А правила явно не сами писали. Это всё можно минимум вдвое короче написать.

внешний интернет уходит через ppp как по другому сделать ?

Проблем нет, пока у вас одно ppp соединение.
А когда вы захотите принимать входящие ppp соединения?
Как сделать иначе?
1. Зафиксировать исходящее соединение каким-то номером. (unit ###)
2. Указать его конкретно в правиле.

сделал, вот новые таблицы, пока что на работоспособность не проверял но может есть что-то явно не то ?

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*nat
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 366 -j DNAT --to-destination 192.168.1.1
-A PREROUTING -i eth1 -p udp -m multiport --dport 500,1701,4500 -j DNAT --to-destination 192.168.1.1
-A PREROUTING -i eth1 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A POSTROUTING -o eth1 -j SNAT 217.18.140.170
-A POSTROUTING -o ppp0 -j MASQUERADE
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -s 192.168.1.1/32 -p tcp -m multiport --dport 53,80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 366 -j ACCEPT
-A INPUT -p icmp -m icmp -j ACCEPT
-A INPUT -s 192.168.1.1/32 -p udp -m multiport --dport 53,123 -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dport 500,1701,4500 -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -i eth1 -p tcp -m tcp --dport 366 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -i eth1 -p udp -m multiport --dport 500,1701,4500 -j ACCEPT 
-A FORWARD -d 192.168.1.9/32 -p tcp -m tcp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -p udp -m udp --dport 6881 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
COMMIT

Пользователь решил продолжить мысль 12 Марта 2012, 08:49:16:еще описание сети: локалка - 192.168.0.1/24, шлюз l2tp ssh сервер - 192.168.1.1, rdp сервер - 192.168.1.2, торрент на 6881 порту на 192.168.1.9, на шлюзе eth0 - локальный интерфейс, eth1 - wan (часть интернета), ppp0 - остальной интернет. Локалка ходит в любой

[sollexe]

server 12.04
Linux name 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

iptables -t NAT -L

iptables v1.4.12: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

как это лечить ?

[ivsatel]

Регистр имеет значение. Попробуйте вот так:

Код: [Выделить]

sudo iptables -t nat -L

[alecsartania]

Хочется странного и скорее всего буду бит и охаян, но :
хочется сделать для одного из клиентов локалки провайдера прокси на одних правилах iptables,  по аналогии с реализацией прозрачного прокси - поступает запрос на допустим 63900 порт интерфейса ppp0 - и натится в запрос от этого интерфейса наружу. или нереализуемо ? если реализуемо то это будет выглядеть ?

[AnrDaemon]

Вы, уважаемый, вообще сами понимаете, чего хотите? По вашему описанию даже думать не хочется, чтобы не свихнуться.

[alecsartania]

Хочется чтобы на внешний интерфейс маршрутизатора (ppp0) приходит запрос и тут же натится наружу - получится ? .
подробнее: локалка провайдера, клиент: тариф с лимитом, 100р 50мгб. Нужно ему чуть больше - фотки посмотреть раз в неделю когда дочь приходит в гости.  Хочется прокси без прокси, только на маршрутизаторе.
ip к сожалению динамика к тому же.

[fisher74]

Хочется прокси без прокси

Непонятно... Судя по всему Вы хотите использовать анонимный прокси в интернете используя перенаправление на него с одного из клиентов того же провайдера. У последнего локальный траффик не лимитирован. Так?
А вообще этот вопрос изначально выходит за рамки темы топика. Сформулируйте вопрос, чтобы он был понятен отвечающим и создавайте новую тему.

[progmo]

Друзья, помогите разобраться. Накидал скрипт для файервола. Хотелось закрыть доступ к торрентам юзерам в локалке, но фокус не удался.
Подскажите где у меня "дыра"?!

[fisher74]

А как определили, что "не удался"? По каким портам идёт "перерасход"?
И давайте уважать друг-друга и будем смотреть в действующие правила, а не в скрипты их создающие. Может у Вас буква одна в скрипте не той раскладке или ещё что. А в итоге: в скрипте правило есть, а в netfilter оно не попадёт или попадёт, но в неправильном виде и вообще всё испортит.

[progmo]

А как определили, что "не удался"? По каким портам идёт "перерасход"?
И давайте уважать друг-друга и будем смотреть в действующие правила, а не в скрипты их создающие. Может у Вас буква одна в скрипте не той раскладке или ещё что. А в итоге: в скрипте правило есть, а в netfilter оно не попадёт или попадёт, но в неправильном виде и вообще всё испортит.

Суть в том, что у юзеров в принципе идет закачка торрентов. А цель была лишить их этой возможности. Канал в организации небольшой... Торренты его сильно забивают.

iptables -L -n -t nat

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            93.93.138.000       tcp dpt:3389 to:172.22.4.201:3389
DNAT       tcp  --  0.0.0.0/0            93.93.138.000       tcp dpt:3390 to:172.22.4.2:3389
DNAT       tcp  --  0.0.0.0/0            93.93.138.000       tcp dpt:3391 to:172.22.4.18:3389
DNAT       tcp  --  0.0.0.0/0           !172.22.4.0/24       multiport dports 80,8080 to:172.22.4.200:3128

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:93.93.138.158
SNAT       tcp  --  0.0.0.0/0            172.22.4.201        tcp dpt:3389 to:172.22.4.200
SNAT       tcp  --  0.0.0.0/0            172.22.4.2          tcp dpt:3389 to:172.22.4.200
SNAT       tcp  --  0.0.0.0/0            172.22.4.18         tcp dpt:3389 to:172.22.4.200

[fisher74]

iptables save - выхлоп в студию
У торрентов есть пассивный режим, не требующий открытия порта на сид-клиенте

[progmo]

iptables save - выхлоп в студию
У торрентов есть пассивный режим, не требующий открытия порта на сид-клиенте

А как тогда прикрыть торренты?

iptables save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Jun 29 11:50:36 2012
*mangle
:PREROUTING ACCEPT [52128424:38581250749]
:INPUT ACCEPT [18598068:11241033452]
:FORWARD ACCEPT [33460118:27336164003]
:OUTPUT ACCEPT [15123957:14388300253]
:POSTROUTING ACCEPT [48215265:41693632807]
COMMIT
# Completed on Fri Jun 29 11:50:36 2012
# Generated by iptables-save v1.4.4 on Fri Jun 29 11:50:36 2012
*filter
:INPUT DROP [87953:6206707]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:40]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth+ -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 2022 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth+ -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 20:21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 137:139 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 137:139 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 8081 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -i eth+ -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 3128 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 1024:65535 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 123 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -d 172.22.4.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 3389:3392 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -o eth+ -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 2022 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -o eth+ -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 143 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 993 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 995 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 8080 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 8081 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 81 -j ACCEPT
-A OUTPUT -o eth+ -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 67 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Fri Jun 29 11:50:36 2012
# Generated by iptables-save v1.4.4 on Fri Jun 29 11:50:36 2012
*nat
:PREROUTING ACCEPT [1346260:92419822]
:OUTPUT ACCEPT [605394:35114898]
:POSTROUTING ACCEPT [245693:16186070]
-A PREROUTING -d 93.93.138.000/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.22.4.201:3389
-A PREROUTING -d 93.93.138.000/32 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 172.22.4.2:3389
-A PREROUTING -d 93.93.138.000/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 172.22.4.18:3389
-A PREROUTING ! -d 172.22.4.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 172.22.4.200:3128
-A POSTROUTING -o eth0 -j SNAT --to-source 93.93.138.000
-A POSTROUTING -d 172.22.4.201/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 172.22.4.200
-A POSTROUTING -d 172.22.4.2/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 172.22.4.200
-A POSTROUTING -d 172.22.4.18/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 172.22.4.200
COMMIT
# Completed on Fri Jun 29 11:50:36 2012

[AnrDaemon]

А как тогда прикрыть торренты?

Уволить обнаглевших сотрудников.

[progmo]

А как тогда прикрыть торренты?

Уволить обнаглевших сотрудников.

Рецепт отличный, но маловероятный. А если серьезно? Решения нет?!

[fisher74]

Рецепт отличный, но маловероятный. А если серьезно? Решения нет?!

И так уже оффтоп, но почему бы не показать начальнику, чем занимаются его подчинённые, и как тратят траффик которого так не хватает для предприятия (кстати, для юр.лиц обычно тарифы отличны от ширпотреба и не в меньшую сторону)?
Конечно, репрессивные действия должны быть чуть полегче, чем увольнение, но думаю у босса есть рычаги возлействия на работников.
Решение? Ну, например, учитывая тему в которой этот вопрос поднят ограничить кол-во соединений для умников скажем так пятью и зажать скорость до мизера - либо работать, либо качать.