Чайные вопросы по iptables

1) в разных таблица iptables можно выполнять разные действия над пакетами (не только разрешить или запретить, возвожности iptables намного выше.)

2) правила будет два, для forward и OUTPUT.


а вообще почитай внимательно, что может iptables, и как он это делает (хотя бы на opennet) и все станет ясно.

Неадавно обсуждались в форуме:

http://www.linux.org.ru/jump-message.jsp?msgid=1650995&lastmod=1163630217646

> а вообще почитай внимательно, что
> может iptables, и как он это делает (хотя бы на opennet)
> и все станет ясно.

не надо столь категрично, ман по иптаблам написан
просто ужасно для человека только пытающегося разобраться


И полностью согласен, что таблицы просто путают новичка!
о них если и надо было писать, то не так как это в мане
по иптабле

> не надо столь категрично, ман по иптаблам написан > просто ужасно для человека только пытающегося разобраться

позволю не согласиться. самому пару лет назад пришлось в срочном порядке осваивать сей продукт. на тот момент, я только открывал для себя linux вообще. спокойного прочтения iptables-tutorial, привел в порядок мозги. таблицы нисколько не сбивают с толку.

> позволю не согласиться. самому пару лет назад пришлось в срочном порядке осваивать сей продукт. на тот момент, я только открывал для себя linux вообще. спокойного прочтения iptables-tutorial, привел в порядок мозги. таблицы нисколько не сбивают с толку.

Линукс тут не при чем, просто ИМХО данная концепция впервые в iptables появилась, вот и вопросы отсюда.

Вот еще вопрос: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

В этом случае из/в сетку 192.168.0.0/24 можно коннектиться на любой порт или нужно дополнительно открывать порты?

> позволю не согласиться. самому пару лет назад пришлось в срочном порядке осваивать сей продукт. на тот момент, я только открывал для себя linux вообще. спокойного прочтения iptables-tutorial, привел в порядок мозги. таблицы нисколько не сбивают с толку. Линукс тут не при чем, просто ИМХО данная концепция впервые в iptables появилась, вот и вопросы отсюда.

Вот еще вопрос: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

В этом случае из/в сетку 192.168.0.0/24 можно коннектиться на любой порт или нужно дополнительно открывать порты?

> позволю не согласиться. самому пару лет назад пришлось в срочном порядке осваивать сей продукт. на тот момент, я только открывал для себя linux вообще. спокойного прочтения iptables-tutorial, привел в порядок мозги. таблицы нисколько не сбивают с толку. 
Линукс тут не при чем, просто ИМХО данная концепция впервые в iptables появилась, вот и вопросы отсюда. 

Вот еще вопрос:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT 

В этом случае из/в сетку 192.168.0.0/24 можно коннектиться на любой порт или нужно дополнительно открывать порты?

да можно.

сеть 192.168.0.0/24 может коннектится куда угодно.
и кто угодно может коннектится в 192.168.0.0/24.

iptables работает по принципу, что не запрещено, то разрещено.
и наоборот.


если в правиле ты не уточняешь порт, значит правило работает для всех портов.

если не уточняешь интерфейс - для всех интерфейсов.
и наоборот.

Вот отличное руководство:
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html

Решил новую тему не открывать, т.к. и так куча тем по iptables. Ситуация: необходимо поставить интернет-шлюз для 5-ти рабочих станций в нашей домашней сети. Проблема: поставлен squid, но юзать прокси с применением нижеуказанных правил iptables не дает... браузер страницы не открывает... где грабли? подкажите пожалуйста... заранее очень благодарен...


# Включить перенаправление пакетов через ядро
echo 1 > /proc/sys/net/ipv4/ip_forward
# ---------------------------------------------------
# Загружаем некоторые модули. IP_nat_ftp требуется, чтобы преобразование
# сетевых адресов производилось корректно с протоколами FTP
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
#-----------сбрасываем все настройки-----------------
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
#---------------запрещаю все-------------------------
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
#--------------запись в лог-файл---------------------
#/sbin/iptables -A INPUT -j LOG --log-prefix "INPUT"
#/sbin/iptables -A OUTPUT -j LOG --log-prefix "OUTPUT"
#/sbin/iptables -A FORWARD -j LOG --log-prefix "FORWARD"
#-------------------lookback-------------------------
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# Отбрасывать все пакеты которые не могут быть индетифицированы
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
# Разрешаем себе PING в локалку - нас не попингуеш - пакеты отбрасываются
/sbin/iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
#---------------SSH в локалке------------------------
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
#---------------SQUID--------------------------------
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
#-------служба сансов NetBIOS и SMB протокол---------
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 139 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 135 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 135 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 445 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --sport 137:138 -j ACCEPT
#---------------FTP в локалке------------------------
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT
#--------разрешаем установившиеся соединения---------
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#---------шлюзирование внутренних IP на все внешние IP-----
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 20,21,25,110,465,995,80,8080 -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -p tcp -m multiport --sports 20,21,25,110,465,995,80,8080 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p udp -m udp --dport 53 -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -p udp -m udp --dport 53 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p icmp -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -p icmp -o eth0 -j ACCEPT
# шлюзирование ICQ
/sbin/iptables -A OUTPUT -o ppp0 -p tcp -s 192.168.0.0/24 --dport 5190 --syn -m state --state NEW -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp -s 192.168.0.0/24 --dport 5190 --syn -m state --state NEW -j ACCEPT
#
/sbin/iptables -A FORWARD -o eth0 -p tcp -j DROP
/sbin/iptables -A FORWARD -o ppp0 -p tcp -j DROP
#--------------masquerading--------------------------
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE