https://www.opennet.dev/openforum/vsluhforumID1/91045.html Доброго времени суток.<br>Вот уже неделю не могу разобраться с Iptables.<br>Прочитал вот этот мануал http://www.opennet.ru/docs/RUS/iptables/ и после него была каша в голове. <br>Начал писать правила в /etc/sysconf/iptables и понял что я не знаю что в каких таблицах можно писать, а что запрещено. Так например:<br>#Здесь вроде бы всегда всё разрешают.<br>*mangle<br>:FORWARD ACCEPT [0:0]<br>:INPUT ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>:PREROUTING ACCEPT [0:0]<br>:POSTROUTING ACCEPT [0:0]<br>COMMIT<br><br>#А вот тут уже начинается веселье<br>*nat<br>#Указываем политики по умолчанию<br>:PREROUTING ACCEPT [0:0]<br>:OUTPUT DROP [0:0]<br>:POSTROUTING ACCEPT [0:0]<br>#И дальше начинаем воять не зная какие ключи можно использовать в данной таблице а какие<br>#нельзя. В руководстве явно указано что здесь можно использовать DNAT, SNAT,<br>#MASQUERADE,на счёт остального умалчивается, только изредка проскакивают ключи -i,-o,-s,-d<br>#Здесь тоже интересный вариант. На счёт DDos атак. По правилам "тройного рукопожатия"<br>#Только после отосланной пары SYN,ASK и в отв https://www.opennet.dev/openforum/vsluhforumID1/91045.html#69 Thu, 24 Mar 2011 14:06:38 GMT &gt; Всё получилось, но не так как вы описывали. По видимому из за <br>&gt; структуры моей сети. Которую я не смог вам донести. Ну да <br>&gt; ладно. Добрался до истины и вроде можно было бы закончить, но <br>&gt; меня сейчас интересует следующее. Нужно ли в таблицах filter в цепочке <br>&gt; FORWARD открывать входящий доступ для dns??? Не опасно ли это? Так <br>&gt; как без открытия доступа на dns к примеру 8.8.8.8 нэт не <br>&gt; пашет. Я где то читал что через днс очень много взломов <br>&gt; происходит. И правильно ли то, что не достаточно разрешения исходящих на <br>&gt; днс, установленных и дополнительно установленных соединений в обоих направлениях?<br><br>вообще то должно быть достаточно, но не забывайте что для них тоже нужен snat.<br>теперь можно начинать читать и думать про кеширующий dns на своем шлюзе.<br> https://www.opennet.dev/openforum/vsluhforumID1/91045.html#68 Thu, 24 Mar 2011 12:13:29 GMT Всё получилось, но не так как вы описывали. По видимому из за структуры моей сети. Которую я не смог вам донести. Ну да ладно. Добрался до истины и вроде можно было бы закончить, но меня сейчас интересует следующее. Нужно ли в таблицах filter в цепочке FORWARD открывать входящий доступ для dns??? Не опасно ли это? Так как без открытия доступа на dns к примеру 8.8.8.8 нэт не пашет. Я где то читал что через днс очень много взломов происходит. И правильно ли то, что не достаточно разрешения исходящих на днс, установленных и дополнительно установленных соединений в обоих направлениях?<br> https://www.opennet.dev/openforum/vsluhforumID1/91045.html#67 Wed, 23 Mar 2011 08:10:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; сделать snat как показывал, <br>&gt; Если вы это имеете ввиду <br>&gt;&gt; -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более <br>&gt; то мне не нужно весь интерфейс(я так понимаю eth2) перенаправлять а только <br>&gt; отдельные порты отдельных IP.<br>&gt; И если учесть этот критерий <br>&gt;&gt; В том то и дело что не для всех а только для него. Нужно именно этому IP дать доступ в интернет по произвольному порту 3000-4000 на машину в интернете на порт 5000 <br>&gt; То верна ли такая запись?<br>&gt; -A POSTROUTING -p tcp -s 192.168.10.3 --dport 5000 -j SNAT --to-source my_inet_ip <br>&gt; Под my_inet_ip имеется ввиду ip адрес выданный мне провайдером <br><br>да, можно так сделать, но чем это хуже я уже объяснял. другие пакеты уже отфильтрованы и применять дополнительные критерии тут нет смысла, а когда вам потребуется еще что то разрешить, то придется и тут что-то менять, добавлять, а зачем?<br><br>&gt; и <br>&gt;&gt; echo 1 &gt; /proc/sys/net/ipv4/ip_forward <br>&gt; Это включено <br>&gt;&gt; при этом у клиента должен быть прописан шл https://www.opennet.dev/openforum/vsluhforumID1/91045.html#66 Wed, 23 Mar 2011 07:58:57 GMT &gt;&gt;&gt; как прокинуть 5000 порт.<br>&gt;&gt; не нужно их прокидывать, не к тому месту вы этот термин применяете.<br>&gt; Что-то подсказывает мне, что вот именно такого _термина нет. Максимум жаргонизм. Такой <br>&gt; же бессмысленный, как "видит сеть"... :( <br><br>:) понятное дело что в документации такого термина нет, но на форумах этот жаргон используется часто и имеет определенный смысл, и когда его используют не так как уже устоялось начинается недопонимание того что же с помощью него хотят сказать.<br><br>но если и это нужно будет так всем "пытающимся разобраться" объяснять, то лучше вспомню что я reader , а не writer.<br><br><br>&gt;&gt;прокидывают это когда меняют <br>&gt; Не, "прокидывают" это "бросают нечто таким образом, что оно проходит через (сквозь) <br>&gt; нечто другое, прежде чем оно (нечто#1) достигает точки назначения".<br>&gt; Но это всё ерунда -- главное-то, главное??! Тема "_теории_ iptables" совсем не <br>&gt; раскрыта! Видно не дождусь :D уже.<br><br>думаю и не дождетесь, оно зреет в уме у человека, но тяжело, т.к. человек не хочет воспринимать то что https://www.opennet.dev/openforum/vsluhforumID1/91045.html#65 Tue, 22 Mar 2011 15:43:30 GMT &gt; не нужно их прокидывать, не к тому месту вы этот термин применяете. <br>&gt; в данном случае вы просто разрешаете их прохождение и делаете для <br>&gt; них SNAT ( меняете адрес источника в пакете). прокидывают это когда <br>&gt; меняют адрес назначения (DNAT).<br><br>Понял. Исправлюсь)))<br><br>&gt; если уверены что за всем уследили и хочется плодить для каждого разрешенного <br>&gt; отдельное правило - ради бога.<br><br>Для разрешённых уверен, уже раз 100 проверил и столько же проверю когда смогу разрешить доступ по SNAT. <br><br>&gt; если нужно только с этого диапазона, при других не пускать, исправте правило <br>&gt; в таблице фильтров. только какая гарантия что у клиента будут использованы <br>&gt; только эти порты.<br>&gt; что это за программа, если торрент то вы можете ошибиться.<br><br>А разве это правило не пропустит этот диапазон портов?<br>-A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT<br>Мы ведь здесь разрешаем с определённым портом назначения оставляя свободную лазейку для исходящих портов. И как я вижу по логам порты прходят все цепочки в плот https://www.opennet.dev/openforum/vsluhforumID1/91045.html#64 Tue, 22 Mar 2011 15:23:23 GMT &gt;&gt; как прокинуть 5000 порт.<br>&gt; не нужно их прокидывать, не к тому месту вы этот термин применяете. <br><br>Что-то подсказывает мне, что вот именно такого _термина нет. Максимум жаргонизм. Такой же бессмысленный, как "видит сеть"... :(<br><br>&gt;прокидывают это когда меняют<br><br>Не, "прокидывают" это "бросают нечто таким образом, что оно проходит через (сквозь) нечто другое, прежде чем оно (нечто#1) достигает точки назначения".<br><br>Но это всё ерунда -- главное-то, главное??! Тема "_теории_ iptables" совсем не раскрыта! Видно не дождусь :D уже.<br> https://www.opennet.dev/openforum/vsluhforumID1/91045.html#63 Tue, 22 Mar 2011 13:33:11 GMT &gt;&gt; а этих можно убивать ?<br>&gt;&gt; -A FORWARD -i eth2 -s 192.168.10.4 -p tcp --dport 25 -j ACCEPT <br>&gt;&gt; -A FORWARD -i eth2 -s 192.168.10.4 -p tcp --dport 110 -j ACCEPT <br>&gt;&gt; -A FORWARD -i eth1 -s 192.168.0.2 -p tcp --dport 25 -j ACCEPT <br>&gt;&gt; -A FORWARD -i eth1 -s 192.168.0.2 -p tcp --dport 110 -j ACCEPT <br>&gt;&gt; это не через прокси пойдет, а без нат в инет они не <br>&gt;&gt; доберутся, но их пакеты появятся в сети провайдера с серыми ip, <br>&gt;&gt; где их скорей всего и прибьют.<br>&gt; Извеняюсь. Эти тоже я собирался потом прокинуть по нату после того как <br>&gt; пойму как прокинуть 5000 порт. Просто уже забыл про них.<br><br>не нужно их прокидывать, не к тому месту вы этот термин применяете. в данном случае вы просто разрешаете их прохождение и делаете для них SNAT ( меняете адрес источника в пакете). прокидывают это когда меняют адрес назначения (DNAT).<br><br>&gt;&gt; остальным запретите в таблице фильтров.<br>&gt;&gt; а вот что бы к провайдеру не попадало, то что не было <br>&gt;&gt; отфильтровано в таблице фильтров, с серыми ip, делают нат для всего <br>&gt;&gt; что прошло. https://www.opennet.dev/openforum/vsluhforumID1/91045.html#62 Tue, 22 Mar 2011 13:00:01 GMT &gt; а этих можно убивать ?<br>&gt; -A FORWARD -i eth2 -s 192.168.10.4 -p tcp --dport 25 -j ACCEPT <br>&gt; -A FORWARD -i eth2 -s 192.168.10.4 -p tcp --dport 110 -j ACCEPT <br>&gt; -A FORWARD -i eth1 -s 192.168.0.2 -p tcp --dport 25 -j ACCEPT <br>&gt; -A FORWARD -i eth1 -s 192.168.0.2 -p tcp --dport 110 -j ACCEPT <br>&gt; это не через прокси пойдет, а без нат в инет они не <br>&gt; доберутся, но их пакеты появятся в сети провайдера с серыми ip, <br>&gt; где их скорей всего и прибьют.<br><br>Извеняюсь. Эти тоже я собирался потом прокинуть по нату после того как пойму как прокинуть 5000 порт. Просто уже забыл про них.<br><br>&gt; остальным запретите в таблице фильтров.<br>&gt; а вот что бы к провайдеру не попадало, то что не было <br>&gt; отфильтровано в таблице фильтров, с серыми ip, делают нат для всего <br>&gt; что прошло.<br><br>Так к нему ничего и не попадает, кроме того что разрешено. Остальное уже запрещено.<br><br>&gt; это я не понял, что значит "по произвольному порту 3000-4000 на машину <br>&gt; в интернете на порт 5000" <br>&gt; то есть если 192.168.10.3 обращается на порты 3000-4000 и https://www.opennet.dev/openforum/vsluhforumID1/91045.html#61 Tue, 22 Mar 2011 11:36:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip <br>&gt;&gt;&gt;&gt; вся фильтрация будет потом в таблице фильтров <br>&gt;&gt;&gt; Чё то я не понял...<br>&gt;&gt;&gt; Получается чтобы перенаправить порт 5000 на inet_ip его ненужно нигде прописывать???<br>&gt;&gt; ну вроде писАл "-o внешний_интерфейс" - который на провайдера смотрит <br>&gt;&gt;&gt; Если так то правильной ли будет запись <br>&gt;&gt;&gt; -A POSTROUTING -o eth2 -s 192.168.10.3 -j SNAT my_inet_ip <br>&gt; А зачем мне натить весь интерфейс поключённый к модему если у меня <br>&gt; весь нэт заворачивается на порты прокси? Разве мне не достаточно пропустить <br>&gt; натом порт 5000?<br><br>а этих можно убивать ?<br>-A FORWARD -i eth2 -s 192.168.10.4 -p tcp --dport 25 -j ACCEPT<br>-A FORWARD -i eth2 -s 192.168.10.4 -p tcp --dport 110 -j ACCEPT<br>-A FORWARD -i eth1 -s 192.168.0.2 -p tcp --dport 25 -j ACCEPT<br>-A FORWARD -i eth1 -s 192.168.0.2 -p tcp --dport 110 -j ACCEPT<br>это не через прокси пойдет, а без нат в инет они не доберутся, но их пакеты появятся в сети провайдера с серыми ip, г