iptables - прошу помощи с правилами.

1

1

Bсем привет. Имеется два правила:

iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 5353
iptables -t nat -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040

При выполнении apt update не проходят подключения по локальной сети к кеширующему серверу:

Err:7 http://archive.ubuntu.com/ubuntu bionic-backports InRelease Connection failed [IP: 192.168.1.150 3142]

Как разрешить подключения минуя текущие правила к айпи адресу 192.168.1.150 + порту 3142? Также требуется разрешить все соединения по порту 10051, также минуя текущие правила.

Текущие правилы нужны для работы лука.

Сам же лук настраивался так:

nano /etc/apt/sources.list

deb https://deb.torproject.org/torproject.org bionic main
deb-src https://deb.torproject.org/torproject.org bionic main


curl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -


apt update && apt -y --no-install-recommends install tor deb.torproject.org-keyring

nano /etc/tor/torrc

# Tor
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 5353
ExcludeExitNodes {RU},{UA},{BY}

Log notice file /var/log/tor/notices.log
Log debug file /var/log/tor/debug.log

apt -y --no-install-recommends install iptables netfilter-persistent iptables-persistent


iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 5353
iptables -t nat -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040

service netfilter-persistent save

service tor restart

Ссылка

←	Посоветуйте хороший свободный шрифт для книги

как понять, что за network-device такой?

→

ufw-то хоть отключен? Писать кастомные правила не отключив стандартный фаервол - в общем случае так себе идея. Ну или нужно вписать эти правила в правильное место конфига ufw, если он такое в принципе позоволяет.

Khnazile ★★★★★
(09.05.19 10:40:22 MSK)

Ответ на: комментарий от Khnazile 09.05.19 10:40:22 MSK

systemctl status ufw
Unit ufw.service could not be found.

BitSum ★★
(09.05.19 10:47:02 MSK) автор топика

Ответ на: комментарий от BitSum 09.05.19 10:47:02 MSK

Хорошо, а остальные правила какие? Важны не только сами правила, но и порядок в котором они применяются.

Khnazile ★★★★★
(09.05.19 10:53:50 MSK)

Ответ на: комментарий от Khnazile 09.05.19 10:53:50 MSK

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
REDIRECT   udp  --  anywhere             anywhere             udp dpt:domain redir ports 5353
REDIRECT   tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN redir ports 9040

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

BitSum ★★
(09.05.19 10:55:37 MSK) автор топика

Ответ на: комментарий от BitSum 09.05.19 10:55:37 MSK

Если я правильно понял, у тебя тор сам не может выйти в сеть, потому что ты перенапрявляешь все tcp-пакеты в тор.

Khnazile ★★★★★
(09.05.19 11:09:11 MSK)

Ссылка

Ответ на: комментарий от BitSum 09.05.19 10:55:37 MSK

Короче, я думаю (но я не специалист), что тебе нужно добавить перед твоими правилами такие правила:

Для того, чтобы корректно работали локалхост-соединения:

iptables -t nat -A OUTPUT -d 127.0.0.0/9 -j RETURN
iptables -t nat -A OUTPUT -d 127.128.0.0/10 -j RETURN

Для доступа к серверу:

iptables -t nat -A OUTPUT -d 192.168.1.150 -p tcp -m tcp -dport 3142 -j RETURN

Не редиректить порт 10051:

iptables -t nat -A OUTPUT -p tcp -m tcp -dport 10051 -j RETURN

Что делать с самим тором я не знаю.

Khnazile ★★★★★
(09.05.19 11:24:55 MSK)

Ответ на: комментарий от Khnazile 09.05.19 11:24:55 MSK

Сделал иначе:

iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j REDIRECT --to-ports 53

iptables -t nat -A OUTPUT -d 127.0.0.0/9 -j RETURN
iptables -t nat -A OUTPUT -d 127.128.0.0/10 -j RETURN
iptables -t nat -A OUTPUT -d 127.0.0.0/8 -j RETURN
iptables -t nat -A OUTPUT -d 192.168.0.0/16 -j RETURN

iptables -t nat -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040

BitSum ★★
(09.05.19 15:15:26 MSK) автор топика
Последнее исправление: BitSum 09.05.19 15:15:47 MSK (всего исправлений: 1)

Ответ на: комментарий от BitSum 09.05.19 15:15:26 MSK

Столкнулся с проблемой. После применения правил и дальнейшей перезагрузки машины отваливаются подключения по https. С чем это может быть связано? Сами же правила сохраняются.

BitSum ★★
(09.05.19 20:12:21 MSK) автор топика
Последнее исправление: BitSum 09.05.19 20:12:44 MSK (всего исправлений: 1)

Ответ на: комментарий от BitSum 09.05.19 20:12:21 MSK

Для применения правил после загрузки системы у меня есть unit,

nano /etc/systemd/system/iptables-rules.service

[Unit]
Description = Import iptables rules

[Service]
RemainAfterExit=true
ExecStart=/root/iptables-rules
Type=oneshot

[Install]
WantedBy=multi-user.target

BitSum ★★
(09.05.19 20:15:09 MSK) автор топика
Последнее исправление: BitSum 09.05.19 20:17:03 MSK (всего исправлений: 1)