[Comm] iptables не реагирует ни на что

[Comm] iptables не реагирует ни на что

[Kir]

Доброго всем времени суток!

Взялся было за настройку iptables, обложился доками, и на тебе!
Подскажите, как с этим бороться:

[root@comp1 root]# service iptables start

[root@comp1 root]# service iptables status

[root@comp1 root]# rpm -q iptables
iptables-1.2.11-alt2

То есть пакет стоит, но на команды не реагирует :-(((

---------

На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru

---------

С уважением,
Kir									forlin@yandex.ru

Re: [Comm] iptables не реагирует ни на что

[Nick S. Grechukh]

[-- Attachment #1: Type: text/plain, Size: 748 bytes --]

On Sunday 20 March 2005 04:02, Kir wrote:
> Взялся было за настройку iptables, обложился доками, и на тебе!
> Подскажите, как с этим бороться:
> [root@comp1 root]# service iptables start
> [root@comp1 root]# service iptables status
> [root@comp1 root]# rpm -q iptables
> iptables-1.2.11-alt2
> То есть пакет стоит, но на команды не реагирует :-(((
на какие команды он должен реагировать? вы же не создали ни цепочек ни 
фильтров. _сервиса_ iptables  на самом деле нету, вызывая /sbin/iptables вы 
управляете пакетным фильтром _встроенным в ядро_. а service iptables 
stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает их, 
соответственно. для того чтобы не писать постоянные (=переживающие 
выключение) настройки в rc.local.

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

Re: [Comm] iptables не реагирует ни на что

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 535 bytes --]

On Sun, Mar 20, 2005 at 05:02:57AM +0300, Kir wrote:
> [root@comp1 root]# service iptables start
/etc/sysconfig/iptables меняли?

> [root@comp1 root]# service iptables status
Это вроде бы нормально. Т.к. iptables - он не в памяти висит, он
конфигурацию ядерных цепочек меняет.

> То есть пакет стоит, но на команды не реагирует :-(((
А вы конфиг писать пробовали?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

> Так скоро анфриз сизифа?
Так вы не заметили?
Уже неделю как.
		-- ldv in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables не реагирует ни на что

[Nick S. Grechukh]

[-- Attachment #1: Type: text/plain, Size: 464 bytes --]

On Sunday 20 March 2005 08:41, Andrey Rahmatullin wrote:
> On Sun, Mar 20, 2005 at 05:02:57AM +0300, Kir wrote:
> > [root@comp1 root]# service iptables start
> /etc/sysconfig/iptables меняли?
не надо давать плохих советов для начинающего
> А вы конфиг писать пробовали?
да пусть по мануалам делает, во всех мануалах написано как с консоли рулить, а 
не конфиги править (тем более что все равно придется добавлять/убирать на 
ходу)
а сервисом сохранять что наваял.

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

Re: [Comm] iptables не реагирует ни на что

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 758 bytes --]

On Sun, Mar 20, 2005 at 09:00:38AM +0200, Nick S. Grechukh wrote:
> > /etc/sysconfig/iptables меняли?
> не надо давать плохих советов для начинающего
Я не давал советов.
> > А вы конфиг писать пробовали?
> да пусть по мануалам делает, во всех мануалах написано как с консоли рулить, а 
Вопрос был про сервис.
> не конфиги править (тем более что все равно придется добавлять/убирать на 
> ходу)
> а сервисом сохранять что наваял.
Никто не спорит.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

> Макрос в таком случае наверное не нужен.  Макрос был бы нужен, если бы
> он раскрывался в shell-код, который в конечном счете делает export
> DISPLAY.
Макрос всегда хорошо, он лучше заметен в спеке.
		-- aris in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables не реагирует ни на что

[Kir]

Доброго всем времени суток!

On Sun, 20 Mar 2005 08:41:05 +0200
"Nick S. Grechukh" <ngrechukh@ua.fm> wrote:

> On Sunday 20 March 2005 04:02, Kir wrote:
> > Взялся было за настройку iptables, обложился доками, и на тебе!
> > Подскажите, как с этим бороться:
> > [root@comp1 root]# service iptables start
> > [root@comp1 root]# service iptables status
> > [root@comp1 root]# rpm -q iptables
> > iptables-1.2.11-alt2
> > То есть пакет стоит, но на команды не реагирует :-(((
> на какие команды он должен реагировать? вы же не создали ни цепочек ни 
> фильтров. _сервиса_ iptables  на самом деле нету, вызывая /sbin/iptables вы 
> управляете пакетным фильтром _встроенным в ядро_. а service iptables 
> stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает их, 
> соответственно. для того чтобы не писать постоянные (=переживающие 
> выключение) настройки в rc.local.



Ну, если я не ошибаюсь, какие-то цепочки (или это не цепочки?) есть по умолчанию.
Вот содержимое файла /etc/sysconfig/iptables, в который я вообще не лазил:

# Example iptables config file.
# Note the this file uses the format of iptables-save
# What follows is an example of this output.  However,
# the actual rule lines have been commented out.
# DO NOT USE THE -t (table) OPTION IN THIS FILE!
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A FORWARD -i eth0 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT


---------

На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru

---------

С уважением,
Kir									forlin@yandex.ru

Re: [Comm] iptables не реагирует ни на что

[Pavel Usischev]

Nick S. Grechukh пишет:
> управляете пакетным фильтром _встроенным в ядро_. а service iptables 
> stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает их, 

Поправочка: service iptables stop не запоминает, а просто сбрасывает. 
Чтобы "запомнилось", нужно использовать service iptables save.

-- 
С уважением,
Павел Усищев

Re: [Comm] iptables не реагирует ни на что

[Nick S. Grechukh]

[-- Attachment #1: Type: text/plain, Size: 1451 bytes --]

On Sunday 20 March 2005 20:10, Kir wrote:
> Доброго всем времени суток!
> "Nick S. Grechukh" <ngrechukh@ua.fm> wrote:
> > On Sunday 20 March 2005 04:02, Kir wrote:
> > > Взялся было за настройку iptables, обложился доками, и на тебе!
> > > Подскажите, как с этим бороться:
> > > [root@comp1 root]# service iptables start
> > > [root@comp1 root]# service iptables status
> > > [root@comp1 root]# rpm -q iptables
> > > iptables-1.2.11-alt2
> > > То есть пакет стоит, но на команды не реагирует :-(((
> > на какие команды он должен реагировать? вы же не создали ни цепочек ни
> > фильтров. _сервиса_ iptables  на самом деле нету, вызывая /sbin/iptables
> > вы управляете пакетным фильтром _встроенным в ядро_. а service iptables
> > stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает
> > их, соответственно. для того чтобы не писать постоянные (=переживающие
> > выключение) настройки в rc.local.
> Ну, если я не ошибаюсь, какие-то цепочки (или это не цепочки?) есть по
> умолчанию. Вот содержимое файла /etc/sysconfig/iptables, в который я вообще
> не лазил:
то что раскоментировано - это НИЧЕГО. вообще ничего. 
http://iptables-tutorial.frozentux.net/iptables-tutorial.html и man iptables
то что в этих доках - от дисрибутива (почти?:doubt:) не зависит. 
дальше пробуйте делать service iptables save и смотреть что появляется в 
конфиге (еще раз: iptables это не демон, из этого конфига просто генерятся 
вызовы /sbin/iptables).

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

[Comm] Re: iptables не реагирует ни на что

[Michael Shigorin]

On Mon, Mar 21, 2005 at 11:15:11AM +0200, Nick S. Grechukh wrote:
> http://iptables-tutorial.frozentux.net/iptables-tutorial.html и
> man iptables то что в этих доках - от дисрибутива
> (почти?:doubt:) не зависит. 

Зависит-зависит, если в дисрибутиве балуются patch-o-matic.

Но это более высокие (или иные по вкусу) материи...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: iptables не реагирует ни на что

[Александр]

Доброго времени суток. 
Раз зашла речь о patch-o-matic, никто его случаем не прикручивал к ALT.  
Штука в общем-то нужная. Если есть готовый, может кините в приват. 
Или может ему в Daedalus пора? 
 
-----Original Message----- 
From: Michael Shigorin <mike@osdn.org.ua> 
To: community@altlinux.ru 
Date: Mon, 21 Mar 2005 11:28:19 +0200 
Subject: [Comm] Re: iptables не реагирует ни на что 
 
>  
> On Mon, Mar 21, 2005 at 11:15:11AM +0200, Nick S. Grechukh wrote: 
> > http://iptables-tutorial.frozentux.net/iptables-tutorial.html и 
> > man iptables то что в этих доках - от дисрибутива 
> > (почти?:doubt:) не зависит.  
>  
> Зависит-зависит, если в дисрибутиве балуются patch-o-matic. 
>  
> Но это более высокие (или иные по вкусу) материи... 
>  
>  

[Comm] Re: iptables не реагирует ни на что

[Michael Shigorin]

On Mon, Mar 21, 2005 at 06:35:30PM +0300, Александр wrote:
> Раз зашла речь о patch-o-matic, никто его случаем не
> прикручивал к ALT.  

Прикручивали (в 2.0), открутили нафиг после первого же случая
сваливания iptables в корку после обновления ядра.  Ну его нафиг.

> Штука в общем-то нужная. Если есть готовый, может кините в приват. 
> Или может ему в Daedalus пора? 

Вот разве что.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: iptables не реагирует ни на что

[Metalking]

В сообщении от 21 Март 2005 19:20 Michael Shigorin написал(a):
> On Mon, Mar 21, 2005 at 06:35:30PM +0300, Александр wrote:
> > Раз зашла речь о patch-o-matic, никто его случаем не
> > прикручивал к ALT.
>
> Прикручивали (в 2.0), открутили нафиг после первого же случая
> сваливания iptables в корку после обновления ядра.  Ну его нафиг.
>
Дела давно минувших дней... :). Так, например, бага на падения сквида при 
аутификации ntlm несколько лет висела, но пакетом то пользовались. Может и 
patch-o-matic исправился. Конечно на продакшн системах ему, наверное, не 
место, но некоторые вкусные фичи можно на стенде и погонять и осторожненько 
иногда использовать. Глядишь и в основной пакет некоторые из них переберутся. 
Без тестирования ошибки не отловишь, а на полегоне ( в Daedalus) экстремалы 
могут от души пристреляться к новым возможностям. 
> > Штука в общем-то нужная. Если есть готовый, может кините в приват.
> > Или может ему в Daedalus пора?
>
> Вот разве что.
Порылся в архивах: оказывается не один раз поднимался вопрос о p.o.m. Может 
дать ему ещё попытку пробиться в жизнь в среде ALT?

[Comm] Re: iptables не реагирует ни на что

[Michael Shigorin]

On Tue, Mar 22, 2005 at 01:25:33AM +0300, Metalking wrote:
> Без тестирования ошибки не отловишь, а на полегоне ( в
> Daedalus) экстремалы могут от души пристреляться к новым
> возможностям. 

Ну так заверните feat и собирайте свои рутерные ядры :)
Может, ещё кого из заинтересованных подберёте, помнится, тема
ядер именно под маршрутизатор (без сказей и альсов там всяких,
но с развесистой сетевой частью) время от времени всплывала.

> Порылся в архивах: оказывается не один раз поднимался вопрос о
> p.o.m. Может дать ему ещё попытку пробиться в жизнь в среде
> ALT?

"Всё в Ваших руках" (c)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] iptables не реагирует ни на что

[Kir]

Доброго всем времени суток!

On Mon, 21 Mar 2005 11:15:11 +0200
"Nick S. Grechukh" <ngrechukh@ua.fm> wrote:

> то что раскоментировано - это НИЧЕГО. вообще ничего. 
> http://iptables-tutorial.frozentux.net/iptables-tutorial.html и man
> iptables то что в этих доках - от дисрибутива (почти?:doubt:) не
> зависит. дальше пробуйте делать service iptables save и смотреть что
> появляется в конфиге (еще раз: iptables это не демон, из этого конфига
> просто генерятся вызовы /sbin/iptables).

Понял, спасибо.
Было бы еще хорошо ткнуть меня в какие-нибудь доки с описанием настроек
iptables на машине с выходам в локальную сеть и Интернет (через PPTP).
Фундаментальные руководства - штука хорошая, но хотелось бы почитать
что-нибудь об опасностях, характерных для вышеописанной конфигурации. И
о том, какие варианты использования iptables в ней существуют.


---------
На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru
---------

С уважением,
Kir									forlin@yandex.ru

Re: [Comm] Re: iptables не реагирует ни на что

[Alexey Voinov]

[-- Attachment #1: Type: text/plain, Size: 1316 bytes --]

Metalking wrote
> > > Раз зашла речь о patch-o-matic, никто его случаем не
> > > прикручивал к ALT.
> > Прикручивали (в 2.0), открутили нафиг после первого же случая
> > сваливания iptables в корку после обновления ядра.  Ну его нафиг.
> Дела давно минувших дней... :). Так, например, бага на падения сквида при 
> аутификации ntlm несколько лет висела, но пакетом то пользовались. Может и 
> patch-o-matic исправился. Конечно на продакшн системах ему, наверное, не 
> место, но некоторые вкусные фичи можно на стенде и погонять и осторожненько 
> иногда использовать. Глядишь и в основной пакет некоторые из них переберутся. 
> Без тестирования ошибки не отловишь, а на полегоне ( в Daedalus) экстремалы 
> могут от души пристреляться к новым возможностям. 
"Прикручивание" p-o-m требует синхронности пакетов с ядрами и пакета
iptables. Многие патчи из этого комплекта изменяют бинарный протокол по
которому в ядро помещаются правила. Либо придётся заводить по пакету
iptables для каждого ядра (а можно ещё пофантазировать на тему
синхронизаци этих версий) либо прикладывать одинаковый комплект патчей из
p-o-m ко всем ядрам, что тоже далеко не всем понравится.

Поэтому p-o-m пока отдыхает в сторонке.


-- 
Best Regards!
Alexey Voinov
	     
voins@voins.program.ru
voins@altlinux.ru


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: iptables не реагирует ни на что

[Alexey Voinov]

[-- Attachment #1: Type: text/plain, Size: 892 bytes --]

Denis Smirnov wrote
> On Tue, Mar 22, 2005 at 08:26:59PM +0300, Alexey Voinov wrote:
> 
> AV> "Прикручивание" p-o-m требует синхронности пакетов с ядрами и пакета
> AV> iptables. Многие патчи из этого комплекта изменяют бинарный протокол по
> AV> которому в ядро помещаются правила. Либо придётся заводить по пакету
> AV> iptables для каждого ядра (а можно ещё пофантазировать на тему
> AV> синхронизаци этих версий) либо прикладывать одинаковый комплект патчей из
> AV> p-o-m ко всем ядрам, что тоже далеко не всем понравится.
> AV> Поэтому p-o-m пока отдыхает в сторонке.
> 
> А если выдрать из него подмножество патчей не меняющие протокол?
Тогда запросто. Кто этим заниматься будет? :)

(/me уже давно хочет пристроить iptables кому-нибудь заботливому, тому,
кто его не бросит :) )

-- 
Best Regards!
Alexey Voinov
	     
voins@voins.program.ru
voins@altlinux.ru


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: iptables не реагирует ни на что

[Denis Smirnov]

On Tue, Mar 22, 2005 at 08:26:59PM +0300, Alexey Voinov wrote:

AV> "Прикручивание" p-o-m требует синхронности пакетов с ядрами и пакета
AV> iptables. Многие патчи из этого комплекта изменяют бинарный протокол по
AV> которому в ядро помещаются правила. Либо придётся заводить по пакету
AV> iptables для каждого ядра (а можно ещё пофантазировать на тему
AV> синхронизаци этих версий) либо прикладывать одинаковый комплект патчей из
AV> p-o-m ко всем ядрам, что тоже далеко не всем понравится.
AV> Поэтому p-o-m пока отдыхает в сторонке.

А если выдрать из него подмножество патчей не меняющие протокол?

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Ошибки при настройке iptables

[Kir]

Доброго всем времени суток!

> Понял, спасибо.
> Было бы еще хорошо ткнуть меня в какие-нибудь доки с описанием
> настроек iptables на машине с выходам в локальную сеть и Интернет
> (через PPTP). Фундаментальные руководства - штука хорошая, но хотелось
> бы почитать что-нибудь об опасностях, характерных для вышеописанной
> конфигурации. И о том, какие варианты использования iptables в ней
> существуют.

Покопался в Сети, набрел на
http://ru.gentoo-wiki.com/Подробная_настройка_iptables

Начал настраивать по порядку, учитывая свои интерфейсы.
Все идет нормально до этого места:
http://ru.gentoo-wiki.com/Подробная_настройка_iptables#.D0.9B.D0.BE.D0.BA.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.B5_.D0.B8.D0.BD.D1.82.D0.B5.D1.80.D1.84.D0.B5.D0.B9.D1.81.D1.8B

Т.е. главы "Локальные интерфейсы"

Вствляю в скрипт указанные строки, рестартую iptаbles, выполняю скрипт -
получаю ответ:

Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.

Не могу понять, почему с этого места ругается, хотя до него не ругалась?
Иду дальше, пытаюсь установить блокировку широковещательных адресов.
Ответ аналогичный:

Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `DROPl'
Try `iptables -h' or 'iptables --help' for more information.

Тут я решил остановиться и спросить совета у сообщества.
Чего я не догоняю?

Прилагаю скрипт, до проблемных мест, включая последние:

#!/bin/bash

IPTABLES='/sbin/iptables'

# Определяем интерфейсы
EXTIF='ppp0'
INTIF1='eth0'
INTIF2='eth1'

# Включаем форвардинг ip в ядре.
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

# Сбросить правила и удалить цепочки 
$IPTABLES -F
$IPTABLES -X

# Включаем маскарадинг для разрешения доступа в интернет
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# Форвардить сетевой трафик с $INTIF1 на интернетовский интерфейс $EXTIF
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state
NEW,ESTABLISHED -j ACCEPT

# Форвардить сетевой трафик с $INTIF2 на интернетовский интерфейс $EXTIF
$IPTABLES -A FORWARD -i $INTIF2 -o $EXTIF -m state --state
NEW,ESTABLISHED -j ACCEPT

#echo -e "       - Разрешаем доступ к SSH серверу"
#$IPTABLES -A INPUT --protocol ssh --dport 22 -j ACCEPT
#echo -e "       - Разрешаем доступ к HTTP серверу (порты 80 и 8080"
#$IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT
#$IPTABLES -A INPUT --protocol tcp --dport 8080 -j ACCEPT
# Блокируем все прочие попытки доступа на $EXTIF
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP

# Сброс всех существующих и очистка персональных цепочек.
CHAINS=`cat /proc/net/ip_tables_names 2>/dev/null`

# ********** Цепочки журналирования событий **********
#
# Теперь мы определяем несколько цепочек которые служат для записи 
# событий о сбрасываемых пакетах. Это позволит нам избежать ввода 
# команд для каждого правила. Сперва мы фиксируем DROP, а потом REJECT.
# Не жалуйтесь, если цепочки уже существуют (однако это не приведет к
# ошибкам???)
$IPTABLES -N DROPl   2> /dev/null
$IPTABLES -A DROPl -m limit --limit 3/minute --limit-burst 10 -j LOG
--log-prefix 'FIREWALL DROP BLOCKED:'$IPTABLES -A DROPl   -j DROP
$IPTABLES -N REJECTl 2> /dev/null
$IPTABLES -A REJECTl -m limit --limit 3/minute --limit-burst 10 -j LOG
--log-prefix 'FIREWALL REJECT BLOCKED:'$IPTABLES -A REJECTl -j REJECT
$IPTABLES -N DROP2   2> /dev/null
$IPTABLES -A DROP2 -m limit --limit 3/second --limit-burst 10 -j LOG
--log-prefix 'FIREWALL DROP UNKNOWN:'$IPTABLES -A DROP2   -j DROP
$IPTABLES -N REJECT2 2> /dev/null
$IPTABLES -A REJECT2 -m limit --limit 3/second --limit-burst 10 -j LOG
--log-prefix 'FIREWALL REJECT UNKNOWN:'$IPTABLES -A REJECT2 -j REJECT

# Loop device/localhost
LPDIF="lo"
LPDIP="127.0.0.1"
LPDMSK="255.0.0.0"
LPDNET="$LPDIP/$LPDMSK"

# Необходимые утилиты
IPT="/sbin/iptables"
IFC="/sbin/ifconfig"
G="/bin/grep"
SED="/bin/sed"
AWK="/usr/bin/awk"
ECHO="/bin/echo"

#Установка ACCEPT

$IPT -t nat -A PREROUTING -j ACCEPT
# $IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET -j SNAT --to $EXTIP

# Закомментируйте последующие строки (которые содержат "MASQUERADE") 
# для сетей без трансляции адресов (NAT)
#$IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET1 -j MASQUERADE
#$IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET2 -j MASQUERADE
$IPT -t nat -A POSTROUTING                       -j ACCEPT
$IPT -t nat -A OUTPUT                            -j ACCEPT
$IPT -A INPUT   -p tcp --dport auth --syn -m state --state NEW -j ACCEPT
$IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



# ********** Цепочки журналирования событий **********
#
# Теперь мы определяем несколько цепочек которые служат для записи 
# событий о сбрасываемых пакетах. Это позволит нам избежать ввода 
# команд для каждого правила. Сперва мы фиксируем DROP, а потом REJECT.
# Не жалуйтесь, если цепочки уже существуют (однако это не приведет к
# ошибкам???)
$IPT -N DROPl   2> /dev/null
$IPT -A DROPl -m limit --limit 3/minute --limit-burst 10 -j LOG
--log-prefix 'FIREWALL DROP BLOCKED:'$IPT -A DROPl   -j DROP
$IPT -N REJECTl 2> /dev/null
$IPT -A REJECTl -m limit --limit 3/minute --limit-burst 10 -j LOG
--log-prefix 'FIREWALL REJECT BLOCKED:'$IPT -A REJECTl -j REJECT
$IPT -N DROP2   2> /dev/null
$IPT -A DROP2 -m limit --limit 3/second --limit-burst 10 -j LOG
--log-prefix 'FIREWALL DROP UNKNOWN:'$IPT -A DROP2   -j DROP
$IPT -N REJECT2 2> /dev/null
$IPT -A REJECT2 -m limit --limit 3/second --limit-burst 10 -j LOG
--log-prefix 'FIREWALL REJECT UNKNOWN:'$IPT -A REJECT2 -j REJECT

# Для тестирования фиксируем события ACCEPT
$IPT -N ACCEPTl   2> /dev/null
$IPT -A ACCEPTl -m limit --limit 10/second --limit-burst 50 -j LOG
--log-prefix 'FIREWALL ACCEPT:'$IPT -A ACCEPTl   -j ACCEPT


# Сброс всех существующих и очистка персональных цепочек.
#CHAINS=`cat /proc/net/ip_tables_names 2>/dev/null`

for i in $CHAINS
do
    $IPT -t $i -F
done

for i in $CHAINS
do
    $IPT -t $i -X
done

#Разрешим все пакеты с loopback интерфейса, имеющие в качестве адреса
#назначения один из адресов наших интерфейсов
$IPT -A INPUT   -i $LPDIF -s   $LPDIP  -j ACCEPT
$IPT -A INPUT   -i $LPDIF -s   $EXTIP  -j ACCEPT
$IPT -A INPUT   -i $LPDIF -s   $INTIP1  -j ACCEPT
$IPT -A INPUT   -i $LPDIF -s   $INTIP2  -j ACCEPT


#Блокировка широковещательных пакетов 	

$IPT -A INPUT   -i $EXTIF -d   $EXTBC  -j DROPl
$IPT -A INPUT   -i $INTIF1 -d  $INTBC1  -j DROPl
$IPT -A INPUT   -i $INTIF2 -d  $INTBC2  -j DROPl
$IPT -A OUTPUT  -o $EXTIF -d   $EXTBC  -j DROPl
$IPT -A OUTPUT  -o $INTIF1 -d  $INTBC1  -j DROPl
$IPT -A OUTPUT  -o $INTIF2 -d  $INTBC2  -j DROPl
$IPT -A FORWARD -o $EXTIF -d   $EXTBC  -j DROPl
$IPT -A FORWARD -o $INTIF1 -d  $INTBC1  -j DROPl
$IPT -A FORWARD -o $INTIF2 -d  $INTBC2  -j DROPl

# Блокировать внешний доступ к локальной сети
# Это позволит остановить боевых хакеров от использования 
# нашей сети как стартовой точки для других атак.
#
# Нижеприведенная строчка на человеческом языке будет выглядеть как
# "если входящий пакет, пришедший на наш внешний интерфейс,
# имеет адрес назначения, отличный от адреса нашего внешнего интерфейса,
# то этот пакет не будет пропущен."
$IPT -A INPUT   -i $EXTIF -d ! $EXTIP  -j DROPl



---------
На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru

---------

С уважением,
Kir									forlin@yandex.ru

Re: [Comm] Re: iptables не реагирует ни на что

[Denis Smirnov]

On Tue, Mar 22, 2005 at 09:34:38PM +0300, Alexey Voinov wrote:

>> А если выдрать из него подмножество патчей не меняющие протокол?
AV> Тогда запросто. Кто этим заниматься будет? :)

Каждого вспоминающего про p-o-m можно посылать :)

AV> (/me уже давно хочет пристроить iptables кому-нибудь заботливому, тому,
AV> кто его не бросит :) )

:)

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: iptables не реагирует ни на что

[Alexey Voinov]

[-- Attachment #1: Type: text/plain, Size: 410 bytes --]

Denis Smirnov wrote
> >> А если выдрать из него подмножество патчей не меняющие протокол?
> AV> Тогда запросто. Кто этим заниматься будет? :)
> Каждого вспоминающего про p-o-m можно посылать :)
Ссылку на предыдущее письмо (с разъяснениями), надо поместить в faq. :)
Тогда появится конкретное место, куда посылать.

-- 
Best Regards!
Alexey Voinov
	     
voins@voins.program.ru
voins@altlinux.ru


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] [FAQ] (patch-o-matic) Re: iptables не реагирует ни на что

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 593 bytes --]

On Thu, Mar 24, 2005 at 08:20:25PM +0300, Alexey Voinov wrote:
> > >> А если выдрать из него подмножество патчей не меняющие протокол?
> > AV> Тогда запросто. Кто этим заниматься будет? :)
> > Каждого вспоминающего про p-o-m можно посылать :)
> Ссылку на предыдущее письмо (с разъяснениями), надо поместить в faq. :)
> Тогда появится конкретное место, куда посылать.

Эт запросто.  Задокументированная бага -- это фича!

http://faq.altlinux.ru/index.php?action=single&nf=1&qid=582

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]