Автозагрузка правил iptables (Lazymode)

[AnrDaemon]

А недостающие в скрипт который прописывает правила, примерно так:

Сам-то понял, что ляпнул? >.<

в папку if-up.d засунул скрипт по загрузке нужных модулей, это как-бы по правилам или надо как то по другому модули загружать

Добавьте список нужных вам модулей в каталог /etc/modprobe.d/
Просто список, без "modprobe".

[winmasta]

в папку if-up.d засунул скрипт по загрузке нужных модулей, это как-бы по правилам или надо как то по другому модули загружать

Добавьте список нужных вам модулей в каталог /etc/modprobe.d/
Просто список, без "modprobe".

вот то что нужно, спасибо большое

[winmasta]

в папку if-up.d засунул скрипт по загрузке нужных модулей, это как-бы по правилам или надо как то по другому модули загружать

Добавьте список нужных вам модулей в каталог /etc/modprobe.d/
Просто список, без "modprobe".

вот то что нужно, спасибо большое

получилась интересная штука, таким образом загружаются НЕ ВСЕ модули

еще у меня есть скрипт, который добавляет много статических маршрутов, а он где должен быть &

[AnrDaemon]

Какие именно не загружаются?
Скрипт с маршрутизацией в if-up.d с проверкой, что это именно тот интерфейс поднялся.
http://anr-daemon.livejournal.com/2040.html

[winmasta]

Какие именно не загружаются?
Скрипт с маршрутизацией в if-up.d с проверкой, что это именно тот интерфейс поднялся.
http://anr-daemon.livejournal.com/2040.html

никакие не загрузились, но почемуто iptables и без них работает, видимо они уже в ядре изначально

[Mad_Max]

Ребят, у меня такая ситуация. У меня тариф план с ограничением трафика.

Есть определенные диапазоны IP которым всегда разрешен доступ с компа, остальным когда надо в инет, разрешаю, когда нет запрещаю...

Код: [Выделить]

iptables -F OUTPUT
                iptables -A OUTPUT  -d 192.168.0.0/24 -j ACCEPT
                iptables -A OUTPUT  -d 127.0.0.1/24 -j ACCEPT #local
                iptables -A OUTPUT  -m iprange --dst-range 8.23.224.110 - 8.23.224.110 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 8.23.224.120 - 8.23.224.120 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 10.0.0.0 - 10.0.255.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 31.135.208.0 - 31.135.215.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 37.110.208.0 - 37.110.215.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 46.227.120.0 - 46.227.127.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 46.255.64.0 - 46.255.67.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 69.72.255.20 - 69.72.255.20 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 77.220.192.0 - 77.220.223.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 81.95.224.0 - 81.95.239.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 82.215.65.0 - 82.215.91.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 83.69.128.0 - 83.69.159.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 83.221.160.0 - 83.221.163.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 83.221.168.0 - 83.221.191.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 84.54.64.0 - 84.54.112.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 84.54.120.0 - 84.54.123.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 85.117.224.0 - 85.117.226.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 87.237.232.0 - 87.237.239.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 89.146.64.0 - 89.146.127.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 89.236.192.0 - 89.236.255.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.188.128.0 - 91.188.159.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.196.76.0 - 91.196.79.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.203.172.0 - 91.203.175.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.204.236.0 - 91.204.239.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.211.4.0 - 91.211.7.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.212.89.0 - 91.212.89.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.212.180.0 - 91.212.180.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.213.31.0 - 91.213.31.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.213.248.0 - 91.213.248.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.229.160.0 - 91.229.165.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 91.231.56.0 - 91.231.59.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 94.141.64.0 - 94.141.95.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 94.158.48.0 - 94.158.63.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 94.230.224.0 - 94.230.239.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 109.207.240.0 - 109.207.255.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 178.216.128.0 - 178.216.135.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 188.113.192.0 - 188.113.227.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 193.27.206.0 - 193.27.207.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 195.88.214.0 - 195.88.215.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 195.158.0.0 - 195.158.31.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 195.211.180.0 - 195.211.183.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 195.238.104.0 - 195.238.107.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 213.206.32.0 - 213.206.63.255 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 213.230.64.0 - 213.230.127.2555 -j ACCEPT
iptables -A OUTPUT  -m iprange --dst-range 217.12.80.0 - 217.12.86.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 89.236.192.0-89.236.255.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 217.29.112.0 - 217.29.127.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 217.30.160.0 - 217.30.175.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 62.209.152.0-62.209.159.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 195.158.18.216-195.158.18.223 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 91.212.89.0-91.212.89.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 217.30.160.0-217.30.175.255 -j ACCEPT
                iptables -A OUTPUT  -m iprange --dst-range 87.237.232.0-87.237.239.255 -j ACCEPT
                iptables -A OUTPUT  -d 94.158.48.3 -j ACCEPT #melody.uz
                iptables -A OUTPUT  -d 91.188.128.18 -j ACCEPT #dir.uz
                iptables -A OUTPUT  -j REJECTСделал, как писал ТС, загружаю систему, все замечательно... Ненужное заблокированно... Решаю залезть в инет, пишу sudo iptables -F, полазил в инете, а как вновь включить правило??? Простите мою недогонность, просто я новичек... Заранее огромное спасибо!!

[AnrDaemon]

Это сделать можно и несложно, но это не рассмотрено в примере, т.к. выходит за рамки HOW-TO.
Создайте отдельную тему, с удовольствием объясню все детали. Постить в топике, мало связанном с задаваемым вами вопросом, не надо.

[Mad_Max]

Уже создал! И меня направили именно к Вам! Я буду безмерно Вам благодарен, если обратите внимание на мою тему, посетите ее, и поможете!https://forum.ubuntu.ru/index.php?topic=212987.0

[AnrDaemon]

Направили, чтобы дать представление о возможном решение вопроса с автозагрузкой и представить шаблон правил, я так понимаю. Ещё раз внимательно прочтите первое сообщение. Там нет лишних слов.
Хотя шаблон приведён для клиента, не для маршрутизатора. Но принцип тот же: Внимательность и ещё раз внимательность.

[YellowRaccoon]

AnrDaemon,
Вопрос: что дает строка # echo "#! /sbin/iptables-restore" > /etc/network/if-up.d/iptables-rules? У меня стопорит на этом пункте. bash: /etc/network/if-up.d/iptables-rules: Отказано в доступе. Остальные шаги проходи, но после ребута правила не подымаются
Пользователь решил продолжить мысль 17 Апреля 2013, 18:50:11:AnrDaemon,
Все, решил эту проблему: в /etc/network/interface добавил в конце

Код: [Выделить]

pre-up iptables-restore < /etc/network/if-up.d/iptables-rules После перезагрузки то,что было в iptables-rules заработало. Но возникло 2 проблему:
1) В ходе работы добавляю новые правила в iptables, сохраняю iptables-rules. Но после ребута iptables-save остается с первоначальными правилами, хотя /etc/network/if-up.d/iptables-rules сохранил мои правила, правда они там идут последовательно, не заменяют текст, а добавляют с опметкой времени.
2) Любопытное. При включении компа 1 раз не встал dhcp-сервер. В последующих перезагрузках в локалке дхцп работает, но в убунте status isc-dhcp-server stop/waiting

[AnrDaemon]

Решеточка означает, что выполнять команды надо от рута... Не через судо.
Скорее всего, ваша проблема именно в этом.
Вы не решили проблему, вы сломали саму идею.

[YellowRaccoon]

AnrDaemon,
Понял. Прошу прощения. Удалил и попробовал снова. В этот раз ни на что не ругалось. Но тем не менее не совсем работает. Т.е после ребута /etc/network/if-up.d/iptables-save представляют собои

(Нажмите, чтобы показать/скрыть)

#! /sbin/iptables-restore
# Generated by iptables-save v1.4.12 on Thu Apr 18 10:53:49 2013
*filter
:INPUT ACCEPT [225:20309]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:2949]
-A FORWARD -d 87.240.131.99/32 -p tcp -j DROP
-A FORWARD -d 87.240.131.119/32 -p tcp -j DROP
-A FORWARD -s 87.240.131.99/32 -p tcp -j DROP
-A FORWARD -s 87.240.131.119/32 -p tcp -j DROP
COMMIT
# Completed on Thu Apr 18 10:53:49 2013
# Generated by iptables-save v1.4.12 on Thu Apr 18 10:53:49 2013
*nat
:PREROUTING ACCEPT [41530:3471226]
:INPUT ACCEPT [701:134573]
:OUTPUT ACCEPT [2719:174469]
:POSTROUTING ACCEPT [103:24407]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Apr 18 10:53:49 2013

Однако в sudo iptables-save только

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Thu Apr 18 15:41:33 2013
*nat
:PREROUTING ACCEPT [7001:684933]
:INPUT ACCEPT [2287:299366]
:OUTPUT ACCEPT [1375:110404]
:POSTROUTING ACCEPT [104:15761]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Apr 18 15:41:33 2013
# Generated by iptables-save v1.4.12 on Thu Apr 18 15:41:33 2013
*filter
:INPUT ACCEPT [204947:15859114]
:FORWARD ACCEPT [146930:111074981]
:OUTPUT ACCEPT [53251:440728719]
COMMIT
# Completed on Thu Apr 18 15:41:33 2013

____
В /etc/network/interfaces ничего лишнего. Как я понимаю, все, что исполняемое лежит в if-up.d автоматически подымается с интерфеисами, сиречь после ребута?

[AnrDaemon]

Исполнимые скрипты в каталогах if-*.d выполняются при наступлении соответствующих событий на интерфейсах.
В частности if-up.d выполняется при подъёме интерфейсов.
Попробуйте запустить скрипт руками (sudo /etc/network/interfaces/if-up.d/iptables-rules )
Если после этого правила изменятся, что-то их у вас перебивает.
У вас совершенно явно исполняются КАКИЕ-ТО правила. Иначе просто неоткуда взяться строчке "-A POSTROUTING -o eth0 -j MASQUERADE"
Проверьте rc.local например, как наиболее вероятное место локации "лишнего" кода.

[YellowRaccoon]

AnrDaemon,
Ваша правда. После запуска руками меняется вывод. в rc.local нету ничего. Когда-то пытался делать через создание /etc/nat и в нем хранить правила, и потом через interfaces автоматом подымать => удалил. Но вероятно все было в другом. как-то делал те же фишки через iptables-persistent. Пошарил, вроде нигде не наследил, правил не было. Но после удаления обоих все работает. Благодарю покорнеише, вопрос решен.
П.С. в оффтоп: что все же конкретно делает эта команда echo "#! /sbin/iptables-restore" > /etc/network/if-up.d/iptables-rules?
Пользователь решил продолжить мысль 18 Апреля 2013, 18:28:33:AnrDaemon,
Дьявол, ложная тревога, не совсем корректно. после ребута iptables-save с правилами, но 2 проблемы:
1) У меня стоит правило -A FORWARD -s vk.com -j DROP (и это видно, и в правилах стоит) но почему-то на vk.com ходит.
2) После ребута не подымается теперь DHCP-server. т.е status isc-dhcp-server stop/waiting и нужно сервис запускать руками.
Создать новую тему может было бы сподручнее?

[AnrDaemon]

Я так понял, что проблему ЗАГРУЗКИ правил вы решили? Если правила загружаются те, что прописаны в скрипте - то все остальные вопросы нужно решать в отдельной теме (даже двух, поскольку (не)запуск isc-dhcp никак не связан с (не)загруженными правилами фильтрации).

А строка... Строка делает именно то, что написано.
Указывает интерпретатору, с помощью какой программы исполнять скрипт.
I.e.

Код: [Выделить]

#! /bin/shскрипт будет выполнен через шелл. (строка запуска будет выглядеть как "/bin/sh имя-скрипта-как-вы-его-вызывали")
Точно так же и тут, только для "выполнения" скрипта используется iptables-restore.