» ipchains, iptables etc

Dr_Spectre
Благодарю за ответ.)
Меня смутило то, что Флёнов в своей книжке "Линукс глазами хакера" отдельно описывает 2 эти программы.
Я, собственно, хотел настроить систему на отбрасывание внешних пакетов, имеющих флаг syn (чтоб никто по своей инициативе ко мне не подключался по сети). А какой порграммой это сделать - мне всё-равно.

Как запомнить все созданные правила iptables?
Я пробовал
sudo iptables-save,
однако после перезагрузки команда
sudo iptables -L
показывает девственно пустой список.

Цитата:

Как запомнить все созданные правила iptables?
Я пробовал
sudo iptables-save,

Все зависит от дисртибутива - есть ли в стартовом скрипте iptables функция iptables-restore или нет

Dr_Spectre
С запоминанием/восстановлением правил разобрался.
iptables-restore <файл работает, только её каждый раз надо вручную запускать.
Как мне этот процесс автоматизировать при загрузке системы?
Система - Убунта-8.04-64

Как включить поддержку всех критериев модуля owner?
В man iptables написано:

Цитата:

Please note: This option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux
kernel sources. And if support for this option is available for the specific Linux kernel source version, that support might not be
enabled in the current Linux kernel binary.

Соответственно, критерии --uid-owner --gid-owner работают, а --pid-owner, --sid-owner и --cmd-owner нет.
Пробовал ковырять конфиг ядра, но там только можно указать собирать модуль или нет.
Система у меня ubuntu 7.10 server, ядро 2.6.22-14-server
Поможет ли сборка нового ядра?

всем привет.
хотел сделать роутер на базе линукса (RHEL 5.3)
появился трабл...

я пересобрал ядро, в config файле работающего ядра поменял лишь параметр WAN routing (включил его) система с новым ядром грузиться, только вот когда запускаешь iptables говорит мне:

Loading additional iptables modules: ip_conntrack_netbios_ns [FAILED]

по ходу появилось 3 вопроса:
1) что ему не понравилось, что поменялось после пересборки ядра ? (изменения я внес минимальные и, по моему, с модулем не связанные)
2) что это за модуль? в нете нашел только англоязычное объяснение... которое не понял 8(((
может вообще не обращать внимание на это сообщение...
3) чем чревато для работы iptables отсутствие этого модуля?

кто знает в какую сторону копать - прошу подскажите!

Цитата:

Loading additional iptables modules: ip_conntrack_netbios_ns [FAILED]

судя по названию - модуль который через NAT позволяет прогонять netbios запросы

Цитата:

чем чревато для работы iptables отсутствие этого модуля?

выключите его в конфиге и все
/etc/sysconfig/iptables_modules или подобный

други, патскажите, плс..

вапрос номер рас
нада трансляционное правило "если стучимся с ИП1 на порт 22, то прозрачно отдать на ИП2, тот же порт"

и вапрос нумер два (немного не в тему )
как скомпилять идро с ипитаблезом и всеми патч-о-матиками...?

это правило разрешит подключаться откуда угодно.

iptables -t nat -I PREROUTING 1 -p tcp -d ИП1 --dport 22 --to-destination ИП2

yosemity
мдя, маленько я не так сформулировал..

Цитата:

это правило разрешит подключаться откуда угодно

мне как раз не надо "откуда угодно"..
т.е.,
"если стучимся с ИП1 на ИП3 порт 22, то прозрачно отдать на ИП2, тот же порт";
"если стучимся с "НЕ ИП1" на ИП3 порт 22, то оставлять себе (ИП3)"..., т.е. для всех "остальных" ниче не менять...

полагаю как то так
iptables -t nat -I PREROUTING 1 -p tcp -s ИП1 -d ИП3 --dport 22 --to-destination ИП2
верно?

Цитата:

верно?

совершенно верно.

yosemity
опс.. еще момент..
а если у меня трафик не маршрутизируется, то бишь долбимся с одного сегмента лана..
(в моем примере ИП3 - есть роутер, на к-ром, собсно и крутится ипитаблез, ИП3 глядит в лан)
прокатит?

эээ, ну естессно, роутер (вообще, то правильно рутер ) должен знать маршрут в ЛАН и туда, откуда ломятся.

yosemity

Цитата:

должен знать маршрут

это понятно, что знает.. поскольку все 3 ИПа в одном сегменте..
откуда, собсно и появилось сомнение..
а попадет ли пакет вообще в цепочку прероутинг?
ведь логично, что никакого решения о маршрутизации принимать не нужно..
и далее..
пакет "не предназначен локальному процессу", соответственно, дальнейший путь - в цепочку форвард -> построутинг? не так ли? или он туда уже не попадает..?

Попадёт. Точнее, он сначала попадёт в PREROUTING таблицы mangle, а потом таблицы nat, которая для DNAT служит.

Цитата:

поскольку все 3 ИПа в одном сегменте..

а зачем тогда вообще извращаться с DNATом?

Dr_Bier

Цитата:

Попадёт. Точнее, он сначала попадёт в PREROUTING таблицы mangle, а потом таблицы nat, которая для DNAT служит.

чета я не понял.. что произойдет после прероутинга?
судя по листингу, туда действительно влетело 3 пакета, а вот дальше...

Код: pkts bytes target prot opt in out source destination
3 144 DNAT tcp -- * * ИП1 ИП3 tcp dpt:22 to:ИП2

sssset

Цитата:

я пересобрал ядро, в config файле работающего ядра поменял лишь параметр WAN routing (включил его) система с новым ядром грузиться, только вот когда запускаешь iptables говорит мне:

Loading additional iptables modules: ip_conntrack_netbios_ns

Не знаю как в RHEL 5.3, но например в MANDRIVA такое сообщение появится только если создать в iptables правила с ссылкой на отсутсвующий модуль.

Может кто подскажет...

есть до меня настроений альтлинукс 4 на нём стоит сквид и иптаблес
две сетевухи, одна смотрит наружу, вторая смотрит в локалку

сервер само собой раздаёт инет,.. так вот... некотоые юсеры явно юзают то ли емули, то ли торенты, короче есть трафик не считаемый сквидом

подскажите, как в иптаблес закрыть порты.. мне главное чтобы работали браузеры и почта, больше ничего в общем то....

маны курил, н оя не линуксоид и что-то мой моск не врубается

shaman91

http://citkit.ru/package/iptables-p2p/

работает на прикладном уровне

спасибо, скачал... но не линуксоид я...
ээххх.....

а нельзя просто например закрыть порты с 1025 и выше? если да, то что и где прописать?

я долго рылся и нашёл файл ipt.secure где в заголовке написано firewall rulez script,.. я так понимаю туда можно дописать некие правила,.. только я не знаю какие ))

iptables
:INPUT DROP [0:0]
Потом создаешь разрешающие правила

shaman91
Цитата:

только я не знаю какие ))

Читаем документацию, без нее ничего не сделать! Руководство по iptables (Iptables Tutorial 1.1.19) В помощь online генератор правил iptables Easy Firewall Generator for IPTables

немного "чаво", или снова, "почему йа против пингвинов"..

1. почему у меня ряд опций не работают? (
2. догадался.. нада скачать любезно предоставленный
Цитата:

тарболл с последней версией Patch-o-matic из каталога /pub/patch-o-matic на ftp.netfilter.org,

3. что такое "патч-о-матик" и "патч-о-матик-нг"?
4. что из вышеозначенного качать в зависимости от версии ядра?
у меня есть кернел 2.6.18 и 2.6.29, при этом на 29-м большая часть расширений работают..
5. допустим я ставлю последний кернел... нужно ли к нему ещщо какойта ПОМ, чтоб всё ето га*но заработало?

зы.
ipmanyak

Цитата:

В помощь online генератор правил iptables Easy Firewall Generator for IPTables

забавная штука.. с ней можна и не читать доку..
шутю

В общем я тупой. И времени нет для изучения всего этого. Тупо и реально нет времени для углубления в изучение того, чего я вообще не знаю. Я не линуксоид.

может кто нибудь дать мне пример строки FORWARD которая бы мне закрыла порты с 1025 по 65535 для локалки? Чтоб люди из локалки не мирку не юзали ни торенты ни емули ни ещё чтолибо подобное.

Или я не правильно мыслю?

и ничего ли я "лишнего" не прикрою так?

iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m tcp --dport 1025:65525 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable

где 192.168.0.0/24 - подсеть локалки

Есть шлюз, который пробрасывает разные порты на один из внутренних серверов в локалке.
Этот "один внутренний сервер" имеет всего одну сетевушку:
192.168.1.2/24
-----------------------------------------------------------
Шлюз - 192.168.1.1.
"Один внутренний сервер" - 192.168.1.2 - Ubuntu 9.10
Другие серверы - 192.168.1.3, 192.168.1.4 и т.д.
-----------------------------------------------------------
Как мне с этого сервера настроить проброс "дальше" по другим серверам в локалке?
Например, от шлюза проброшен 80, 5222, 6667 на 192.168.1.2.
Какие указать правила на 192.168.1.2?, чтобы пробросить:
- 80 порт на сервер 192.168.1.3;
- 5222 порт на сервер 192.168.1.4;
- 6667 порт на сервер 192.168.1.5;

Понятно, что проще прямо от шлюза сделать проброс, но нужно именно через ещё одно звено в цепи серверов сделать.

emfs
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.1.2 --dport 80 -j DNAT --to-destination 192.168.1.3
и т.д.
собстно ни чего не меняется, от того есть ли 2-ой сетевой интерфейс или енту...