» Iptables. Начальная настройка.

Цитата:

У Iptables нет ли какой не будь GUI (графический интерфейс) ? а то никогда надо учиться с ним работать, и хочу для начало в графическом интерфейсе понять что к чему, а потом уже с терминала фигачить.

Есть, конечно, и не один. Например, gedit или kate и т. п. Запускаешь, открываешь на редактирование файл /etc/sysconfig/iptables, вносишь нужные правила - и готово.

aut

Ну нет ) gedit это я не считаю GUI. это текстовый редактор. а мне надо интерфейс, как у современных Firewall_ах. чтоб там все понятно было и видно, а то в текстовом режиме хрен что разберусь.

Тогда system-config-firewall, но эта гуёвая конфигурялка, разумеется, убога по своим возможностям (а иначе и быть не может, в силу самой природы гуёвых конфигурялок).

То есть, к примеру, балансировку трафика между двумя провайдерами ты с ее помощью никак на настроишь, придется все же маны курить, иначе никак.

aut
Цитата:

иначе и быть не может, в силу самой природы гуёвых конфигурялок

ну наверное не все так плохо в них -- я конечно не сторонник, но... для примера можно взять не "конфигурялку", конечно, но всё-таки фронтенд - wireshark , у него возможностей не меньше - т.к. в нём просто можно ввести саму строку запроса tcpdump и увидеть в красивом гуе всё как есть)

contrafack
стоит попробовать Firestarter, только прога под gnome кажется заточена...

Alukardd

а что за хня? типа интерфейс для Iptables или отдельный firewall?
если отдельный, то не интересно мне.
Мой цель - изучать, понять именно iptables.

contrafack
надстройка над iptables - в общем-то что просили то и кинул, нету привычки кидать все подряд что нашёл в гугле...

contrafack
Строго говоря, файрволл в Linux ядре - это Netfilter, а iptables - только утилита для его настройки. А что касается
Цитата:

изучать, понять именно iptables.

- скорее речь должна идти о понимании функционирования протоколов TCP/IP.

kerberosV5


Цитата:

скорее речь должна идти о понимании функционирования протоколов TCP/IP.

как раз это есть.
Мне надо именно синтаксис и алгоритм работы понять в Iptables.

ну не только tcp/ip , ведь iptables оным не заканчивается. поэтому да, модель OSI, различные низкоуровневые протоколы, ну и конечно же мануал по netfilter/iptables где достаточно хорошо все освещенно. Не забывайте что для netfilter/iptables есть "netfilter packet traversal" картинки (google images).

Насчет гуевых (GUI) интерфейсов - зачастую они никак не способствуют понятию того, как работает тот или иной продукт, ведь они (интерфейсы) скрывают от вас все внутренности работы, а это именно то, что вы как системный администратор, должны знать.

Цитата:

Мне надо именно синтаксис и алгоритм работы понять в Iptables.

Цитата:

а то никогда надо учиться с ним работать,

Противоречие.

P.S. Изучая iptables через гуй, всё равно получишь...

nick0001

ок. спасибо за более подробную информацию. все же мне надо изучать Iptables "как есть" >

Вот по этой доке http://www.opennet.ru/docs/RUS/iptables/ я начинал изучение iptables'a. Надо же, сколько лет уже прошло

Добрый день!
Только начинаю изучать iptables. ОС RHEL6
Я пытаюсь конфигурировать (эксперементировать), ввожу команды, как например:
iptables -t nat -I POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE
или
iptables -I INPUT -i eth1 -p udp -s 192.168.127.100 --dport 53 -j ACCEPT

После этого я делаю service iptables restart, залезаю в файл /etc/sysconfig/iptables и не вижу никаких изменений. Я правильно понимаю, что те правила, которые я добавляю должны сохраняться здесь? Если да, то что я забыл еще сделать?

Добавлено:
Подписываюсь на ответы по email

Цитата:

После этого я делаю service iptables restart, залезаю в файл /etc/sysconfig/iptables и не вижу никаких изменений.

Логично. Результаты введённых вами выше команды "оседают" в оперативной памяти. Более того, после ввода service iptables restart вы их оттуда ещё и удаляете.

Цитата:

что я забыл еще сделать?

# /etc/init.d/iptables save
или:
# service iptables save

urodliv
Подскажите, пожалуйста, что нужно сделать. А то я много времени потеряю! ))
После выполнения команд происходит применение этих правил?
Я видел, что люди пишут скрипты по конфигурированию iptables.
Я правильно понял, что обычно принято писать скрипт, который запускается при старте ОС и конфигурирует iptables?

Цитата:

После выполнения команд происходит применение этих правил?

Если они без ошибок, то да.

Цитата:

Я видел, что люди пишут скрипты по конфигурированию iptables.

Мы тоже их видели. Да и сами иногда что-то такое пописываем.

Цитата:

Я правильно понял, что обычно принято писать скрипт, который запускается при старте ОС и конфигурирует iptables?

Истинная правда.

Добавлено:
Sphinx114

Цитата:

# /etc/init.d/iptables save
или:
# service iptables save

При условии что данный скрипт существует...

Цитата:

Я правильно понял, что обычно принято писать скрипт, который запускается при старте ОС и конфигурирует iptables?

У меня в центосе ничего писать не надо. В автозагрузку добавлял через ntsysv. А можно так:

# chkconfig iptables on

Насчёт необходимых уровней исполнения для iptables ничего не могу сказать, так как плохо понимаю их сакральный смысл.

Sphinx114
Цитата:

У меня в центосе ничего писать не надо. В автозагрузку добавлял через ntsysv.

не путайте людей, пожалуйста. Немного разберитесь в том как что устроено сначала.

urodliv
Спасибо большое, буду пробовать.

urodliv
Добрый день!
Я хотел бы сделать собственный шлюз на основе iptables, чтобы выпускать внутреннюю сеть в Интернет. Подразумевается, что используется NAT, но разрешено не все (только несколько протоколов).
Также, планируется настроить проброс нескольких портов и, возможно, что-то разрешить для самого хоста брандмауэра (шлюза).
Задача, как мне кажется, банальная.
У меня получилось разобраться и сделать кое-что, но не все.
Есть ли у Вас готовый боевой скрипт конфигурирования правил iptables, который Вы могли бы выложить мне? Я бы хотел увидеть, как эту задачу решают профессионалы, и по образу и подобию сделать у себя.
Разумеется, мне не нужны частные данные, их можно затереть.
Спасибо.

Цитата:

Есть ли у Вас готовый боевой скрипт конфигурирования правил iptables, который Вы могли бы выложить мне?

Шлюза под линуксом сейчас нету, поэтому могу выложить только [more=правила]#!/bin/bash

EXT_IF="eth-ext"
INT_IF="eth-int"
EXT_IP="192.168.0.100"
DNS_SRV="192.168.0.1"
NTP_SRV="192.168.0.1"
OLIMP="192.168.0.253"
DEBIAN_SRV="195.178.192.118 193.233.9.194 \
     130.89.149.225 195.20.242.89 212.211.132.32 212.211.132.250 \
     86.59.118.153 128.31.0.51 130.89.149.227"

lsmod nf_conntrack_ftp

#Sbros vseh pravil
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t mangle -F

#Politiki: ne razresheno - zaprescheno
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#Dopuskaem dlia ustanovleniya soedinenia tolko paketi s prisnakom "NEW"
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP

#Set` terminalov
iptables -A INPUT -i $INT_IF -j ACCEPT
iptables -A OUTPUT -o $INT_IF -j ACCEPT

#Vnutrennie sviasi
iptables -A INPUT -i lo+ -j ACCEPT
iptables -A OUTPUT -o lo+ -j ACCEPT

#Testirovanie olimp_oks
iptables -A OUTPUT -p TCP -d $OLIMP --dport www \
    -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP -s $OLIMP --sport www \
    -m state --state ESTABLISHED -j ACCEPT

#Zapros DNS k provaideru
for dns in $DNS_SRV
do
iptables -A OUTPUT -p UDP -d $dns -s $EXT_IP --dport domain \
    -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p UDP -s $dns -d $EXT_IP --sport domain \
    -m state --state ESTABLISHED -j ACCEPT
done

#zapros na obnovlenie vremeni
for ntp in $NTP_SRV
do
iptables -A OUTPUT -p UDP -d $ntp -s $EXT_IP --dport ntp \
    -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p UDP -s $ntp -d $EXT_IP --sport ntp \
    -m state --state ESTABLISHED -j ACCEPT
done

#Zapret na ustanovlenie soedineniy is ineta
iptables -A INPUT -d $EXT_IP -p TCP --syn ! --dport 22 -j DROP

#Upravlenie serverom isvne
iptables -A INPUT -i $EXT_IF -p TCP --dport 22 \
    -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $EXT_IF -p TCP --sport 22 \
    -m state --state ESTABLISHED -j ACCEPT

#Obnovlenie servera olimp
for deb in $DEBIAN_SRV
do
iptables -A OUTPUT -p TCP -s $EXT_IP -d $deb --dport www \
    -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP -d $EXT_IP -s $deb --sport www \
    -m state --state ESTABLISHED -j ACCEPT
done

#ICMP traffic
iptables -A INPUT -p ICMP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ICMP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT[/more] для сервера.


Цитата:

Я бы хотел увидеть, как эту задачу решают профессионалы, и по образу и подобию сделать у себя.

В шапке другой темы уважаемый Alukardd выложил ссылку, с помощью которой можно начать работу с iptables.

urodliv
О! Спасибо огромное!
Easy Firewall Generator for IPTables - это просто бомба!!! В понедельник распечатаю и буду подробно изучать с карандашом!