Настройка iptables для начинающих.

[T04ka]

Нашел статью, о подсчете трафика с помощю iptables и bash:
http://linuxportal.ru/entry.php/P84_0_3_10/
Думаете стоит использовать?

[TuLiss]

В дагонку по поводу написание скрипта. Собственно в файле /etc/services находится почти все, что надо =) Так, что можно использовать его за основу выбора, что добавить в правила.
по поводу учета трафика, если только отдельным скриптом.

[serg_sk]

Для Morda:

Код: Выделить всё

serg_sk@Elvenhome ~ $ sudo emerge -s rkhunter
Password:
Searching...
[ Results for search key : rkhunter ]
[ Applications found : 1 ]

*  app-forensics/rkhunter
      Latest version available: 1.2.7
      Latest version installed: 1.2.7
      Size of downloaded files: 166 kB
      Homepage:    http://www.rootkit.org/
      Description: Rootkit Hunter scans for known and unknown rootkits, backdoors, and sniffers.
      License:     GPL-2


serg_sk@Elvenhome ~ $ sudo emerge -fp rkhunter
Calculating dependencies ...done!

http://distfiles.gentoo.org/distfiles/rkhunter-1.2.7.tar.gz http://distro.ibiblio.org/pub/Linux/distributions/gentoo/distfiles/rkhunter-1.2.7.tar.gz http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz

[TuLiss]

Да и еще по поводу сброса правил.
Опять же лучше использовать

# Удаление правил
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# Очищаем нестандартные правила
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

[T04ka]

Объединил все выше сказанное в один скрипт.
Надо тестировать.

Спасибо, так как я ничего не понимаю в выше сказаном, буду использовать конечный продукт

Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.
Работоящия версия выше.

[Sonic]

Спасибо, так как я ничего не понимаю в выше сказаном, буду использовать конечный продукт

Sonic добавил в 16.08.2005 15:28

Исчез, мистика

Sonic добавил в 16.08.2005 15:36

Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.

↑

Да мне всё-равно. Не сервер пентагона.

[T04ka]

Спасибо, так как я ничего не понимаю в выше сказаном, буду использовать конечный продукт

Sonic добавил в 16.08.2005 15:28

Исчез, мистика

Sonic добавил в 16.08.2005 15:36

Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.

↑

Да мне всё-равно. Не сервер пентагона.

↑

Я прочто не знаю, работает она или нет.

Повторяю второй раз:
А как относитесь к тому, чтобы написать на Shell небольшой установшик, где можно просто выбрать, что открыть, а что нет. На этом основание и будет генерироваться скрипт инициализации.


Morda добавил в 16.08.2005 16:42

Можно добавить действие log или ulog для журналирования отброшенных пакетов.
Думаю лучше использовать ulog, так как он предоставляет возможность журналирования пакетов в пользовательское пространство.

[TuLiss]

Повторяю второй раз:
А как относитесь к тому, чтобы написать на Shell небольшой установшик, где можно просто выбрать, что открыть, а что нет. На этом основание и будет генерироваться скрипт инициализации.

shorewall ? +) или как там его
Может не стоит изобретать велосипед?

[T04ka]

Дабавил журналирование с помощю ULOGD. Log пишет пакеты в системный журнал, поэтому чтобы их там не искать, лучше пользоватся ulogd. Кстати, а ulogd есть во всех дистрибутивах?
Есле нет, то лучше пользоватся log, можно просто написать скрипт, который будет вытаскивать логи из системного журнала и помещать их в определенный файл.

[TuLiss]

Предлогаю просто писать изменения прям в форуме =). что бы каждый раз не качать.

Актуально если инет через VPN


#Для VPN
iptables -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
iptables -A OUTPUT -p 47 -o eth0 -j ACCEPT

[T04ka]

Предлогаю просто писать изменения прям в форуме =). что бы каждый раз не качать.

Актуально если инет через VPN


    #Для VPN
iptables -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
iptables -A OUTPUT -p 47 -o eth0 -j ACCEPT

↑

Это включю в скрипт, но надо добавить правила для разрешения http, pop, imap, ftp, серверов, БД postgresql, mysql, пейджеров isq, msn, и т. д. Как я писал выше у меня этого нет, поэтому,
я не могу проверить правила. Но надеюсь мир не без добрых людей?


Morda добавил в 16.08.2005 18:35

Вроде-бы необходимо для поддержка динамического IP, (при использовании SLIP, PPP или DHCP)

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

Хотя ip у меня динамический я этим не пользуюсь.

[TuLiss]

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

Хотя ip у меня динамический я этим не пользуюсь.

↑

Сомнительно. Думаю пока включать не стоит =)

далее читал (нет ну мало ли)
http://linuxportal.ru/entry.php/1730_0_3_0_C/

Скрипт в сетку к нам закинул, уж не знаю протестирует ли кто.

По поводу сервисов , я же писал. Или в дебиан такого файла нет? +)

P.S Можно было бы еще ntp открыть =)

[T04ka]

# ------------------------------------------------------------ ------
# HTTP сервер (80)
# ----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 80 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 80 -j ACCEPT ! --syn

# ------------------------------------------------------------ ------
# HTTPS сервер (443)
# ------------------

$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 443 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 43 -j ACCEPT ! --syn

# ------------------------------------------------------------ ------
# MySQL сервер (3306)
# -------------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 3306 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 3306 -j ACCEPT ! --syn

# ------------------------------------------------------------ ------
# IMAP сервер (143)
# -----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 143 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 143 -j ACCEPT ! --syn

# ------------------------------------------------------------ ------
# PostgreSQL сервер (5432)
# -----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 5432 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 5432 -j ACCEPT ! --syn

Тестируйте.

Morda добавил в 17.08.2005 06:28

Скрипт для vpn.
Позволяет запускать vpn:
vpn start
vpn stop
Думаю лучше оставить одним скриптом, хотя можно и соедтнить со скриптом itables.

[Angel_13th]

Люди подскажите как сделать Маскардинг или форвардинг на порты 25, 110, 6667. что бы пропускал только эти порты.

[T04ka]

Люди подскажите как сделать Маскардинг или форвардинг на порты 25, 110, 6667. что бы пропускал только эти порты.

↑

Вроде так:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A FORWARD -p tcp -j REDIRECT --to-port 25
iptables -A FORWARD -p tcp -j REDIRECT --to-port 110
iptables -A FORWARD -p tcp -j REDIRECT --to-port 6667


Morda добавил в 17.08.2005 09:19

Для фильтрации неправильных пакетов:

$IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

И еще, можно уменьшить скрипт путем создания собственных цепочек:

# Создаем цепочки
$IPT -N tcp_packets
$IPT -N udp_packets
$IPT -N icmp_packets
$IPT -N allowed

# Направляем пакеты на соответствующие цепочки

# Для TCP пакетов
$IPT -A INPUT -p tcp -j tcp_packets
$IPT -A FORWARD -p tcp -j tcp_packets
$IPT -A OUTPUT -p tcp -j tcp_packets

# Для UDP пакетов
$IPT -A INPUT -p udp -j udp_packets
$IPT -A FORWARD -p udp -j udp_packets
$IPT -A OUTPUT -p udp -j udp_packets

# Для ICMP пакетов
$IPT -A INPUT -p icmp -j icmp_packets
$IPT -A FORWARD -p icmp -j icmp_packets
$IPT -A OUTPUT -p icmp -j icmp_packets

# И дальше добавляем правила, например:

# SMTP клиент (порт 25)
$IPT -A tcp_packet -p tcp -m tcp -o $INET_IFACE --dport 25 --sport 1024:65535 -j allowed
$IPT -A tcp_packet -p tcp -m tcp -i $INET_IFACE --dport 1024:65535 --sport 25 -j allowed ! --syn

# Остальное в этой цепочке сбрасываем
$IPT -A tcp_packet -j DROP

# Цепочка allowed

# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
$IPT -A allowed -m state --state INVALID -j DROP

# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
$IPT -A allowed -m state --state ESTABLISHED,RELATED -j ACCEPT

# Все, что осталось сбрасываем.
$IPT -A allowed -j DROP

Только почему-то это у меня не работает. <_<

[TuLiss]

Morda добавил в 17.08.2005 06:28

Скрипт для vpn.
Позволяет запускать vpn:
vpn start
vpn stop
Думаю лучше оставить одним скриптом, хотя можно и соедтнить со скриптом itables.

↑

[quote]

Со всеми копирайтами скрипт лежит тут =) + дока как юзать

VPN

[T04ka]

Сейчас надо-бы ужать скрипт с помощю пользовательских цепочек, чтобы не писать одно и тоже правило два раза.

Morda добавил в 17.08.2005 11:42

Выкладываю пилотную версию с пользовательскими цепочками.
Она почемута неработает. Вроде все правильно делаю. Смотрите, может найдете ошибки.

[TuLiss]

Она почемута неработает. Вроде все правильно делаю. Смотрите, может найдете ошибки.

↑

Что именно не работае то?

А то так каждую строчку проверять мозг поедит

[T04ka]

Она почемута неработает. Вроде все правильно делаю. Смотрите, может найдете ошибки.

↑

Что именно не работае то?

А то так каждую строчку проверять мозг поедит

↑

Пакеты вообще не идут. Правила взял из старой версии, практически не изменял их.

[CuB]

По поводу гуйной морды, я поначалу юзал kmyfirewall.
Терь по поводу скриптов, интересно: неокторые правила себе добавил, но...
некоторые моменты мне не показались нецелесообразными, а именно: у вас там порты разрешены каждый в новом правиле, хорошо когда пару сетей и соответсвенно пара правил для них, но допустим есть список сетей ( в моем случае список ua-ix, в среднем порядка 600-620 сетей) и не хочется это чтоб буржуи из за бугра не лезли к вам на комп(у кого выделенка и траф тарифицируется как росийский и мировой меня поймут), получается что на каждую сеть на один порт новое правило, а допустим у меня 5 разрешенных потов для ua-ix'a...оно будет мне генерить более 3000 правил! порядка тормозит машину...бред полный. Проще ghbvtybnm -m multiport в моем случае это выглядит так

Код: Выделить всё

#ua-ix rules
UA=$(egrep -v "^<|^[:blank:]*$" /etc/netip/ua-ix.ip)
for i in ${UA}; do
      /sbin/iptables -A INPUT -p tcp -s ${i} -m multiport --destination-port 21,22,80,443 -j ACCEPT
done

и список сетей лежит в файле /etc/netip/ua-ix.ip, который каждый час закачивается обновляется по крону а за ним и запускается мой скрипт

Код: Выделить всё

 0 * * * * rm /etc/netip/ua-ix.ip && links2 -dump http://dg.ip.net.ua/list.html >>/etc/netip/ua-ix.ip && /root/iptables.sh

диапазон адресов каждой сети начинается с новой строчки, в результате работы скрипта правил столько же сколько и сетей

И вопрос по поводу ослика.... мне выдает LowID, из за правил. Кто знает как решить пишите.

Слушаю ваши замечания по поводу настроек

[TuLiss]

      /sbin/iptables -A INPUT -p tcp -s ${i} -m multiport --destination-port 21,22,80,443 -j ACCEPT

↑

так на всякий случий, а не до 15 портов можно указывать?

[T04ka]

Еще одна рабочая версия. На цепочки пока забил. А так вроде все работает.

[CuB]

так на всякий случий, а не до 15 портов можно указывать?

↑

Чесно говоря сколько можно максимум не имею ни малейшего понятия.
Но мне так гораздо проще чем делать 4-5 циклов с одним значением -dport, да и правил гораздо меньше выходит

Код: Выделить всё

 > iptables -L |wc -l
645

а терь предсатвте если для каждой сети давать по правилу для каждого порта

2Morda: и все таки, почему бы не пихать порты в одно правило? (твой скрипт 159-163 строки) правила одни и те же, -m multiport стоит тоже, не проще зделать

Код: Выделить всё

$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 915,925,783,3310,10000

ведь уменьшается количество правил, в следствии чего увеличивается скорость с которой пакет проходит/не проходит через firewall

[T04ka]

2Morda: и все таки, почему бы не пихать порты в одно правило? (твой скрипт 159-163 строки) правила одни и те же, -m multiport стоит тоже, не проще зделать

Код: Выделить всё

$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 915,925,783,3310,10000

ведь уменьшается количество правил, в следствии чего увеличивается скорость с которой пакет проходит/не проходит через firewall

↑

Я это писал еще на первой странице:

Это для простоты редактирования, например:

# POP3 клиент (110)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 110 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 110 -j ACCEPT ! --syn

# IMAP4 клиент (143)
#$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 143 --sport $UNPRIPORTS -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 143 -j ACCEPT ! --syn

[CuB]

насчет таких правил согласен, хотел привести пример на праивлах для самбы с твоего скрипта, и стало интересно что за -m tcp ? для чего оно?
а по поводу примера...если зделать с


$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT


неужели трудно будет редактировать?а правил то меньше

[T04ka]

насчет таких правил согласен, хотел привести пример на праивлах для самбы с твоего скрипта, и стало интересно что за -m tcp ? для чего оно?
а по поводу примера...если зделать с


$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT


неужели трудно будет редактировать?а правил то меньше

↑

Упсссссс. Ошибаются все.

Существуют неявные критерии, точнее, те критерии, которые подгружаются неявно и становятся доступны, например при -p --protocol или -m --match. На сегодняшний день существует три автоматически подгружаемых расширения, это TCP критерии, UDP критерии и ICMP критерии (при построении своих правил я столкнулся с необходимостью явного указания ключа -m tcp, т.е. о неявности здесь говорить не приходится) Загрузка этих расширений может производиться и явным образом с помощью ключа -m, -match, например -m tcp.

[TuLiss]

Я это писал еще на первой странице:

Это для простоты редактирования, например:

А что если сделать переменные?
Сделать переменную на правило. А потом уже к нему обовлять порты?
=)

Да и потом, может в отдельную переменную вынести ip домашних сетей?


потом, про пинг. 1 правило отбрасывать пакеты.
Второе пинг с ограничением, это правило не сработает, так как 1 правило этого не допустит.
Пинги лучше разрешать. Вообще дурной тон, запрет пингов.

[CuB]

Morda, благодарю за обьяснение. Буду знать. И вот еще, может кому то интересно... http://www.opennet.ru/base/net/iptables_treasures.txt.html ...

[T04ka]

Я это писал еще на первой странице:

Это для простоты редактирования, например:

А что если сделать переменные?
Сделать переменную на правило. А потом уже к нему обовлять порты?
=)

Так?

PORTS="1,2,3,4,5"

$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $PORTS --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --sport $PORTS -j ACCEPT ! --syn

[TuLiss]

Так?

PORTS="1,2,3,4,5"

$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $PORTS --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --sport $PORTS -j ACCEPT ! --syn

↑

Ну да.
На самом деле респект тебе. Я сам такую шнягу давно хотел забаянить =) все руки не доходили.