Настройка iptables для начинающих.

[Superkefir]

Есть вопрос: ось генту 2006.1 настраивал iptables по мануалу http://www.gentoo.org/doc/ru/home-router-howto.xml т.к. дома стоит старый компутер и ркшил с него раздавать инет еще на два компа. Инеть через впн по интерфейсу при поднятии ppp0 (87.249.x.x) сам же интерфейс eth0(10.x.x.x), внутренний интерфейс через который раздаю инет eth1(192.168.0.1). Два дня парился т.к. не мог настроить клиента под виндой (хр) ибо с него все пинговалось но из страниц открывались только ya.ru mail.ru и еще какая то. Эту проблему решил с помощью этого же форума командой iptables -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
В общем сейчас пытаюсь из под винды добавить сетевой диск из локальной сети с адресом 10.59.3.6 но он его не может добавить так как якобы не находит сетевое имя. Хотя адрес пингуется нормально. Это опять нужно добавить какое то правило для iptables или проблема в чем то другом? Прикрепил лог iptables -L и сам конфиг которым это дело запускаю.

[TuLiss]

В общем сейчас пытаюсь из под винды добавить сетевой диск из локальной сети с адресом 10.59.3.6 но он его не может добавить так как якобы не находит сетевое имя. Хотя адрес пингуется нормально. Это опять нужно добавить какое то правило для iptables или проблема в чем то другом? Прикрепил лог iptables -L и сам конфиг которым это дело запускаю.

Немного непонятно что откуда и куда. Вы из windows пытаетесь прицепить сетевой диск на Linux ?
Тогда настройки на Linux samba, и откройте порты. Список портов тут уже публиковался.
Если же windows на windows то проблем не должно быть вообще, проверяйте настройки винды.

[neru_dead]

Помогите...
Вроде все открыл что надо, но не пускает не на фтп не куда.
Подскажите что я не так сделал....

[Георгий]

Вопрос первый - после установки скрипта надо что-нибудь вводить? В смысле команды?
Вопрос второй
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP - это читается как- "Во входящей цепочке таблицы filter дропать tcp пакеты не имеющие метки syn, но имеющие статус NEW" ?
То есть p tcp ! --syn означает что такого значения быть не должно?
Вопрос третий в каком редакторе редактировать? Во всех редакторах вместо русских букв абракадабра! Приходится читать в опере и угадывать где какая строчка. (:
Системная локаль UTF-8.

И еще
$IPT -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
0/0 - это последний байт ip ? x.x.x.0 ?

#$IPT -A OUTPUT --fragment -p ICMP -j ULOG
И еще как понять критерий --fragment ? Что он ищет?

[Haxver]

Вот, нашел сервис в инете, который генерирует правила в зависимости от того, что вам нужно.
http://easyfwgen.morizot.net

[apso]

Вот, нашел сервис в инете, который генерирует правила в зависимости от того, что вам нужно.
http://easyfwgen.morizot.net

Протестил на своей Fedora 6 все ОК! очень понравилось, удобно, спасибо

[(asper]

Возник вопрос о rc.fw_20050914.tar.gz

# UDP наводнение
# Службы использующие UDP, очень часто становятся мишенью для атак с целью вывода системы из строя.
#$IPT -A INPUT -p UDP -s 0/0 --destination-port 138 -j ULOG
$IPT -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
$IPT -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
$IPT -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
$IPT -A INPUT -p UDP -j RETURN
$IPT -A OUTPUT -p UDP -s 0/0 -j ACCEPT

$IPT -A INPUT -p UDP -j RETURN после этого правила ко всем пакетам идущим по UDP в цепочке INPUT, будет применена политика по-умолчанию, т.е. DROP (Согласно Iptables Tutorial)
Тогда зачем дальше писать правила для UDP ?

# DNS сервер имен разрешаем.
$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT

[TuLiss]

предложения? Сейчас некогда разберется =) вообще надо все пересмотреть будет

[(asper]

Ну например записать:
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
перед
$IPT -A INPUT -p UDP -j RETURN
или же написать :
$IPT -I INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
вместо оригинала, правда после этого оно станет первым правилом в таблице filter цепочки INPUT.

[soloik]

Скажите, (заранее прошу прощения я не очень разбираюсь в этом вопросе) этот вариант скрипта работает только на отдельно стоящей машине? Мне нужен скрипт для шлюза внутренней сети в интернет. Может существует подобный проект для шлюза?

[Voice]

Маленькая просьба. Если кому не лень будет обьяснить тут что делать с ICMP пакетами, какие пропускать, какие нет.
Потому что даже читание RFC не просветило.

[(asper]

Скажите, (заранее прошу прощения я не очень разбираюсь в этом вопросе) этот вариант скрипта работает только на отдельно стоящей машине? Мне нужен скрипт для шлюза внутренней сети в интернет. Может существует подобный проект для шлюза?

В iptables tutorial есть такой

[EDMANN]

Пытаюсь установить на удалённом сервере под:
Suse Linux 10
Linux 2.6.13-15.13-bigsmp1
SMP Tue Nov 28 13:43:50 UTC 2006
i686 athlon i386 GNU/Linux


Получаю ошибку:

~/rcfw # make install
cp rc.fw /etc/init.d/
cd /etc/init.d/
update-rc.d rc.fw start 40 S . stop 89 0 6 .
make: update-rc.d: Command not found
make: *** [install] Error 127

Что делаю не так?

[Aleks_dem]

а каким образом можно разрешить заходить только на определенные сайты или IP
или наоборот, запретить соединение с сайтом или IP
?

[Uncle_Theodore]

а каким образом можно разрешить заходить только на определенные сайты или IP
или наоборот, запретить соединение с сайтом или IP
?

Например,
iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp -s 213.180.204.8 -j DROP
iptables -A INPUT -p tcp -s 87.250.251.8 -j DROP

запретит всякое соединение с ya.ru
А соответственно,

iptables -P INPUT DROP
iptables -A INPUT -p tcp -s 213.180.204.8 -j ACCEPT
iptables -A INPUT -p tcp -s 87.250.251.8 -j ACCEPT

Запретит все соединения, кроме как с ya.ru.

[Aleks_dem]

спасибо

по имени получается не будет резать? пробовал просто вместо IP поставить URL - посылает... в хелп

[TuLiss]

Перезалил скрипт

[antistar]

Добрый день.
Извините за возможно ламерский вопрос. А как сделать так что бы при НЕзапущеном iptables, хост блокировал весь траффик? (ну или на определенном интерфейсе)

--
зы.заранее спасибо

[(asper]

Добрый день.
Извините за возможно ламерский вопрос. А как сделать так что бы при незапущеном iptables, хост блокировал весь траффик? (ну или на определенном интерфейсе)

--
зы.заранее спасибо

Весь трафик:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
На определённом интерфейсе (eth0):
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p ALL -j DROP
iptables -A OUTPUT -o eth0 -p ALL -j DROP
Кажется так

[antistar]

(asper
в том то и дело что если остановить службу iptables или вручную его кильнуть то default policy для всех цепочек сбрасываются на ACCEPT не зависимо от iptables'кого конфига
второй файрвол ставить имхо глупо, может есть какие-то простые решения?

[Voice]

(asper
в том то и дело что если остановить службу iptables или вручную его кильнуть то default policy для всех цепочек сбрасываются на ACCEPT не зависимо от iptables'кого конфига
второй файрвол ставить имхо глупо, может есть какие-то простые решения?

Так дело в том что изменить правила может только рут.

[(asper]

Простите не заметил НЕ
Но хочу поправить, iptables это инструмент для настройки netfilter в ядре .
Может быть вы имели ввиду системный одноимённый сервис , при остановки которого он удаляет все правила и ставит все политики по умолчанию ACCEPT
А после этого можно выставить свои политики и правила своим скриптом или из терминала ручками

[antistar]

Так дело в том что изменить правила может только рут.

спасибо )

iptables это инструмент для настройки netfilter в ядре .
Может быть вы имели ввиду системный одноимённый сервис , при остановки которого он удаляет все правила и ставит все политики по умолчанию ACCEPT
А после этого можно выставить свои политики и правила своим скриптом или из терминала ручками

ага... т.е. состояние netfilter'а в известном смысле динамично и в данном случае нужно просто поправить процедуру stop() в /etc/rc.d/init.d/iptables
спасибо что просвятили =)

[(asper]

Ну если вы любитель править системные скрипты и чувствовать при этом себя "частью разаработчиков" системы , то да
Но не забывайте что при обновлении системы эти скрипты могут перезаписаться (всё это дистро-специфично конечно конечно и может быть неправдой) .

[TuLiss]

(asper
в том то и дело что если остановить службу iptables или вручную его кильнуть то default policy для всех цепочек сбрасываются на ACCEPT не зависимо от iptables'кого конфига
второй файрвол ставить имхо глупо, может есть какие-то простые решения?

host.allow
host.deny

и все ижи с ними.

[schurup]

А как вообще проверить эти модули загружены или нет
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
ASP 11.2

[nyncuk]

lsmod?

[pas]

Пожалуйста просветите в следующем вопросе:
В компьютере стоит етевая карта (на МатПлате) к этой плате провод от провайдера. Постоянно присутствует интерфейс eth0 при необходимости подключиться к инету и местным ресурсам использую tkpppoe. В результате создается ppp0. Пытаюсь вести учет трафика через iptables-ulogd-ulog_mysql. Iptables-save выдает (после того как поднят ppp0):

Код: Выделить всё

[root@localhost pas]# iptables-save
# Generated by iptables-save v1.3.5 on Sat May 19 18:18:55 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j ULOG
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j LOG
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp+ -p icmp -m icmp --icmp-type 8 -j DROP
-A OUTPUT -j ULOG
COMMIT
# Completed on Sat May 19 18:18:55 2007

в базу данных информация о пакетах записывается, но после подсчета получается, что итоговая сумма по входящему трафику отличается от данных провайдера на ~10%. Иногда имеется расхождение и между базой и работающим KNemo.
команда mysql: select SUM(ip_totlen) from ulogd.ulog where DATE(timestamp)=CURDATE() AND oob_in="ppp0";
Подскажите почему такое может быть и как это поправить?

[schurup]

Спасибо, оказывается есть.

[boy3I]

какой командой должен запускаться этот скрипт?

то есть имею скачанные 3 файла -каким образом теперь прописать правила iptables себе?

make install не помогает