» Нужна помощь по Iptables

Ребят, срочно нужна помощь.
Нужно прекрыть сервер не для клиентов моего провайдера.
Иными словами нужно закрыть его для всех и открыть для отпределенного диапозона ip.
допустим для: 123.012.*.*
Помогите плиз правилом ...

iptables -A INPUT -t filter -s 123.12.0.0/16 -j allow
iptables -P INPUT DROP

Благодарю.

Добавлено:
Правда меня пугает значение: "/16"
Не могли бы вы мне непонятлевому растолковать какую подсеть нужно указать для каждого айпи:

81.2.0.0
82.162.0.0
86.102.0.0
212.91.192.0
212.107.192.0
212.122.0.0

icedv

Цитата:

81.2.0.0

если в конце не написано ничего , значит подразумевается /24. iptables именно так и считает.


Цитата:

Правда меня пугает значение: "/16"

ну это ж для примера, можно и 8 написать.

icedv
ты указываешь ИП не хоста, а подсети. при этом для правильной характеристики подсети нужна еще и маска подсети. маска, соответственно, используется из твоих потребностей и правил (сети класса А итп).

http://www.ispreview.ru/ipcalc.html
поиграйся с этим онлайн калькулятором


и 16 я написал не для примера, а потому что ты указал 123.12.*.* . как я понял, вместо * - любое допустимое значение %) а это именно подсеть 123.12.0.0 и маска 255.255.0.0

Адрес :     123.12.0.0     01111011.00001100. 00000000.00000000    
Маска :     255.255.0.0 (16)     11111111.11111111. 00000000.00000000    
Wildcard:     0.0.255.255     00000000.00000000. 11111111.11111111    
Сеть :     123.12.0.0/16     01111011.00001100. 00000000.00000000    
Хост(min):     123.12.0.1     01111011.00001100. 00000000.00000001    
Хост(max):     123.12.255.254     01111011.00001100. 11111111.11111110    
Broadcast:     123.12.255.255     01111011.00001100. 11111111.11111111    
Хостов в сети:     65534     класс A

Все понял но есть одно НО.
Меня пускают везде кроме как на самбу. т.е на шару пока стоит -P INPUT DROP меня не пускают категорически, хотя сервер пингуется, да и все остальные сервесы доступны.

Возник еще вопрос: Как закрыть для всех ВСЕ. Кроме 80 порта. и привести список для кого открыто все.

iptables -A INPUT -p tcp --syn -s 0/0 --dports !80 -j DROP

Помоему так....

iptables v1.2.10: Unknown arg `--dports'


Добавлено:
сделал так:
...
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

не знаю поможет ли )

банальное чтение документации решит все ваши вопросы.
пока вы задаете вопросы, ответы на которые находятся в документации прямых текстом.

поймите, не бывает нормального firewall, если вы настраиваете его по советам с форума.

icedv
Почитай учебник по iptables. Там достаточно понятным языком написано.

Цитата:

сделал так:
...
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

Почитай про восклицательный знак....он помогает сократить записи.

Цитата:

Почитай учебник по iptables

почитал данный мануалчик... вобщем возник вот банальный вопрос пока про цепочки и таблицы - не совсем врубился в идеологию их - каждая цепочка может содержать одну или несколько таблиц или какждая таблица содержит несколько цепочек? или я что-то вобще не вкурил? подскажите плиз...

подскажите плиз ещё доку по iptables!!?

забей на таблицы - грубо говоря , это если у тебя куча одиаковых правил, тогда их стоит использовать.
Я их вообще-никогда не использовал, только примерно знаю как использовать.

Первое: правила выполняются по порядку.
2. Используются действия в основном DENY & ACCEPT.
3. для того , чтобы что-то фильтровать, надо хотя бы знать по каким портам служба работает и какими протоколами.


$IPTABLES -A INPUT -p ALL -i eth1 -d 192.168.1.1 -s 192.168.1.10 -dport 80 -j ACCEPT

-A INPUT ( на входе, можно еще фильтровать на выходе)
-p ALL (протокол, в данном случае любые)
-i eth1 ( интерфейс , на который пришел пакет)
-d 192.168.1.1 (айпишник, на который пришел пакет)
-s 192.168.1.10 (от какого айпишника)
-dport 80 - порт назначения
-j ACCEPT - действие.
В данном случае я разрешил доступ к веб-серверу от компа с айпишником 192.168.1.10 и с адресом вебсервера 192.168.1.1, при условии что пакет от 192.168.1.10 пришел через интерфейс eth1

В самом конце любого фаервола должно стоять правило
$IPTABLES -A INPUT -p ALL -j DENY

Это будет означать , что все , что не разрешено - запрещено.


Напиши правило, которое будет давать доступ к твоему pop3-серверу с айпишником
192.168.1.0 , айпишник прибит на интерйесе eth3 маска 255.255.255.0 из сети , которая на висит на этом интерфейсе.

Добавлено:
greenfox

Цитата:

подскажите плиз ещё доку по iptables!!?

это реально самая классная дока

tankistua

Цитата:

$IPTABLES -A INPUT -p ALL -i eth1 -d 192.168.1.1 -s 192.168.1.10 -dport 80 -j ACCEPT

Цитата:

В данном случае я разрешил доступ к веб-серверу от компа с айпишником 192.168.1.10 и с адресом вебсервера 192.168.1.1, при условии что пакет от 192.168.1.10 пришел через интерфейс eth1

хм... дано но ведь пакеты плывутвсё же по одной из 3-х цепочек - в данном случаем цепочка инпут судя по дока предназначена для входа и передачи на лок. приложение - т.е. получается ты дал доступ не просто от компа с ip таким-то на такой то - ты дал доступ на ip 192.168.1.1 который по сути должен быть Ip этого самого файервола (т.е. это случай когда вэб-сервер стоит на маршрутирезаторе). Я правильно понял? Собственно для этого и пытаюсь разобраться с цепочками... ибо пакеты то идут через разные цепи - а там свои таблицы, что вобщем то логично.
Цитата:

Напиши правило, которое будет давать доступ к твоему pop3-серверу с айпишником
192.168.1.0 , айпишник прибит на интерйесе eth3 маска 255.255.255.0 из сети , которая висит на этом интерфейсе.

вроде так:
$IPTABLES -t filter -A FORWARD -p tcp -i eth3 -d 192.168.1.0 -dport 110 -j ACCEPT
это при условии что "прикручен" значит находится за этим файером во внутренней сети. (или ты имел ввиду что он висит на роутере самом и слушает eth3?)
хотя странно что клиент не идёт напрямую к серваку (раз они на одном интерфейсе внутреннем) + ip внутренний странный - вроде это адрес подсети а не хоста, нет?

Добавлено:
В случае если pop3-сервер на самом маршрутирезаторе:
$IPTABLES -t filter -A INPUT -p tcp -i eth3 -dport 110 -j ACCEPT
что по идее равнозначно
$IPTABLES -t filter -A INPUT -p tcp -i eth3 -d 192.168.1.0 -dport 110 -s any -sport any -j ACCEPT
ибо в цепочку INPUT попадут только пакеты идущие только на 192.168.1.0

а можно как-н заставить систему перечитать конфиг файл с таблицами для iptables не ребутя машину!?

greenfox
конечно можно - это только в винде надо каждому чиху ребутаться.

tankistua
насколько я понимаю надо просто перезапустить скрипт где прописаны соот-е $iptables -A ... etc ?? Или есть какая то системная команда?

Кстати, вот такой ещё вопросик, у меня в файле идут переменные с указаниме ip в начале - ну что бы удобнее было. Вопрос: можно на одну var повесить несколько ip?
(ну т.е. что бы при подстановке в правило потом попадали сразу несколько ip адресов-сетов? И если да то формат какой?

Цитата:

(ну т.е. что бы при подстановке в правило потом попадали сразу несколько ip адресов-сетов? И если да то формат какой?

там надо рисовать скриптец. Ну или это как раз тот случай, когда можно применить таблицы.

greenfox
дочитай до конца туториал :)
Обрати внимание на rc.flush-iptables.


P.S. Прежде чем загружать правила, надо удалить старые. Иначе новые просто допишутся в конце.

tankistua

Цитата:

Прежде чем загружать правила, надо удалить старые. Иначе новые просто допишутся в конце

спасибо понял, просто иногда пишут что iptables это типа "служба" (в том же ред хате chkconfig рисует её как службу наск. я понимаю), поэтому подумалось что там что-н перезапускать надо. Практика показала что правила сразу вступают в силу, как только добавляются

Вот вопросик ещё, по модулям. В мануале сказано что они ил подгружаются вначале командой "modprobe" или статически слинкованы в ядро. Собственно как проверить, слинкован ли соот-й модуль для работы iptables (например тот что state передаёт)?

Не подскажет кто, вбиваю команду
iptables --list
в итоге таблицы выводятся нескоклько медленно что ли.... иногда вывод минут 5 может занимать в зависимости от навароченности таблицы. Так и должно быть?

greenfox
Это у тебя. iptables -L все мгновенно.

Вопросец.
Насколько имеет смысл делать iptables -P OUTPUT DROP ?

KUSA

Цитата:

Это у тебя. iptables -L

нет, мне "--list -n" помог

iptables -L будет запрашивать DNS о указанных в списке узлах, и при найденных соответствиях выдавать к примеру обратную зону *.*.in-addr.arpa
iptables -L -n (network) не будет отправлять запросы DNS
вроде так )

Вопросы остались и добавились
1. Насколько имеет смысл делать iptables -P OUTPUT DROP
2. Какие номера портов не должны быть открыты на сетевых интерфейсах, но нужны для системы. Мне удалось найти 630,640,783,3310,10000 Еще есть какие-нибудь?

KUSA
1. смысл в зависимости от системы
2. http://sda00.mylivepage.ru/file/?fileid=1204
http://sda00.mylivepage.ru/file/index
тут мои правила (для загрузки - iptables-restore)
смотри (разрешён протокол GRE для туннелирования по vpn)

Подскажите пжалуйста, есть ли существенная разница между http://iptables-tutorial.frozentux.net/iptables-tutorial.htm и http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html для случая:
Slackaware Linux 12
задача: CBQ + HTB + firewall
и ещё - необходимо ли пересобирать ядро для подготовки ?

FreeLSD_md
Iptables Tutorial 1.2.2 - к сожалению от 2006 года
Под Mandriva ничего не пересобирал - там была сложность с запуском при старте и ...
На сегодняшний день почти нет готовых решений, поэтому придется почти с нуля


зы

sda00

Цитата:

-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT

Цитата:

-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT

Ты первым правилом разрешил все по 3 типу - второе не нужно ?

Очень длинный синтаксис - хотя я тоже до сих пор еще не все понял
Я пока отказался от FTP но вместе с этим и от
Цитата:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Пробую разобраться

Закрываю 25 порт с локалки на всё кроме mail.anrb.ru.
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/255.255.255.0 -d ! mail.anrb.ru --dport 25 -j DROP
Возник вопрос как добавить еще одно исключение в это правило. Допустим smtp.mail.ru
Просто приписать через запятую не работает . Помогите плиз. Прошу сильно не пинать. Я новичок.

SIlnur
Вписать разрешающее правило перед запретом:
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/255.255.255.0 -d smtp.mail.ru --dport 25 -j ACCEPT
Кстати, почему цепочка FORWARD, а не OUTPUT? Маршрутизатор делаете?