 iptables - никак не могу настроить,  Th.Donatello, 04-Авг-10, 16:28 [смотреть все]Доброго времени суток. Помогите разобраться, как по человечески настроить iptables.
Имеется:
Локальная сеть eth0:
172.16.1.0/24
В ней имеется FTP сервер, который должен быть открыт как изнутри, так и снаружи.Внешняя сеть (сеть городского масштаба) eth1:
192.168.104.128
данная сеть имеет в своем составе подсети 192.168.хх.хх (не знаю, какие точно, но их много), а так же имеет подсеть 10.0.хх.хх. В этой сети пров делает привязку по MAC к сетевушке. Если меняется MAC, то карточке назначается адрес вида 10.180.хх.хх, далее необходимо с этим адресом зайти на страничку страничку прова и зарегить новый мак. После чего я и получаю свой статичный ИП 192.168.104.128. В этой же сети поднимается pptp соединение для интернета dsl0 с белым статическим адресом 195.22.нискажу.нискажу. Никак не могу сделать нормальную таблицу, чтобы у меня внутренняя сеть получала доступ и в инет и в городскую сеть. ifconfig
dsl0 Link encap:Point-to-Point Protocol
inet addr:195.22.106.143 P-t-P:10.10.10.48 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:697 errors:0 dropped:0 overruns:0 frame:0
TX packets:810 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:45401 (44.3 Kb) TX bytes:53827 (52.5 Kb) eth0 Link encap:Ethernet HWaddr 00:18:F3:77:7B:88
inet addr:172.16.1.1 Bcast:172.16.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4003 errors:0 dropped:0 overruns:0 frame:0
TX packets:3458 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:380199 (371.2 Kb) TX bytes:1511571 (1.4 Mb)
Interrupt:23 eth1 Link encap:Ethernet HWaddr 00:40:F4:6F:99:69
inet addr:192.168.104.128 Bcast:192.168.104.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:54454 errors:0 dropped:0 overruns:0 frame:0
TX packets:1713 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4332436 (4.1 Mb) TX bytes:138418 (135.1 Kb)
Interrupt:21 Base address:0xc000 lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2128 errors:0 dropped:0 overruns:0 frame:0
TX packets:2128 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:276472 (269.9 Kb) TX bytes:276472 (269.9 Kb) route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.48 * 255.255.255.255 UH 0 0 0 dsl0
192.168.252.5 192.168.104.1 255.255.255.255 UGH 0 0 0 eth1
81.90.0.128 192.168.104.1 255.255.255.128 UG 0 0 0 eth1
172.16.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.104.0 * 255.255.255.0 U 0 0 0 eth1
195.133.188.0 192.168.104.1 255.255.254.0 UG 0 0 0 eth1
link-local * 255.255.0.0 U 0 0 0 eth0
192.168.0.0 192.168.104.1 255.255.0.0 UG 0 0 0 eth1
10.0.0.0 192.168.104.1 255.0.0.0 UG 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default * 0.0.0.0 U 0 0 0 dsl0 iptables iptables -F
iptables -t nat -F.
echo 1 > /proc/sys/net/ipv4/ip_forward.
modprobe ip_nat_ftp
## opisyvayu interfeis na storone provaidera
INET_IP="192.168.104.128"
INET_IFACE="eth1"
INET_BROADCAST="192.168.104.255"
## opisyvayu interfeis na storone localnoi seti
LAN_IP="172.16.1.1"
LAN_IP_RANGE="172.16.1.0/24"
LAN_IFACE="eth0" IPTABLES="/usr/sbin/iptables" /sbin/depmod -a #podcluchayu modyl
/sbin/modprobe ip_tables #podcluchayu modyl
/sbin/modprobe ip_conntrack #podcluchayu modyl
/sbin/modprobe iptable_filter #podcluchayu modyl
/sbin/modprobe iptable_mangle #podcluchayu modyl
/sbin/modprobe iptable_nat #podcluchayu modyl
/sbin/modprobe ipt_LOG #podcluchayu modyl
/sbin/modprobe ipt_limit #podcluchayu modyl
/sbin/modprobe ipt_state #podcluchayu modyl
/sbin/modprobe ip_nat_ftp #podcluchayu modyl
/sbin/modprobe ip_gre
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_conntrack_pptp
#
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source $INET_IP
##
#
iptables -A INPUT -s localhost -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 3128 -j ACCEPT # squid
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 22 -j ACCEPT # ssh
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 25 -j ACCEPT # smtp
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p udp -s $LAN_IP_RANGE --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 110 -j ACCEPT # pop3
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 10000 -j ACCEPT # webmin
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 445 -j ACCEPT # samba
iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 443 -j ACCEPT # https
#
iptables -A INPUT -p icmp -j ACCEPT #Razreshay pingi iz vne
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #podderzhivaem vse sozdannye podcly
iptables -P INPUT DROP # zaprechaem vse
Провайдер, естественно, должен думать, что к нему подключена одна машинка, а не сеть :)
|
- iptables - никак не могу настроить, reader, 17:47 , 04-Авг-10 (1)
>[оверквотинг удален]
>/sbin/modprobe iptable_nat #podcluchayu modyl
>/sbin/modprobe ipt_LOG #podcluchayu modyl
>/sbin/modprobe ipt_limit #podcluchayu modyl
>/sbin/modprobe ipt_state #podcluchayu modyl
>/sbin/modprobe ip_nat_ftp #podcluchayu modyl
>/sbin/modprobe ip_gre
>/sbin/modprobe ip_nat_pptp
>/sbin/modprobe ip_conntrack_pptp
>#
>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source $INET_IP нужен еще один nat для инета , но на dsl0 интерфейсе. >[оверквотинг удален]
>webmin
>iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 445 -j ACCEPT #
>samba
>iptables -A INPUT -p tcp -s $LAN_IP_RANGE --dport 443 -j ACCEPT #
>https
>#
>iptables -A INPUT -p icmp -j ACCEPT #Razreshay pingi iz vne
>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #podderzhivaem vse sozdannye
>podcly
>iptables -P INPUT DROP # zaprechaem vse еще есть OUTPUT, а так же FORWARD, через который пойдут пакеты из и в локалку >
>
>Провайдер, естественно, должен думать, что к нему подключена одна машинка, а не
>сеть :) ttl можно конечно поправить, но останутся косвенные признаки - много сессий, различная тематика посещаемых серверов, разные user-agent, ....
- iptables - никак не могу настроить, Th.Donatello, 14:18 , 05-Авг-10 (2)
Кстати, при таком конфиге не работает nat :( пинги по имени не проходят. Как бороть? Желательно без кэширующего DNS.
- iptables - никак не могу настроить, reader, 15:17 , 05-Авг-10 (3)
>Кстати, при таком конфиге не работает nat :( пинги по имени не
>проходят. Как бороть? Желательно без кэширующего DNS. с какой машины не проходят?
iptables-save покажите.
- iptables - никак не могу настроить, Th.Donatello, 15:20 , 05-Авг-10 (4)
С клиентской (внутри домашней сети). Если указать DNS прова, то имена внутри городской сети работают, но в инет не пускает.iptables-save
# Generated by iptables-save v1.4.4 on Thu Aug 5 15:18:50 2010
*mangle
:PREROUTING ACCEPT [2611:269332]
:INPUT ACCEPT [1937:199398]
:FORWARD ACCEPT [145:24465]
:OUTPUT ACCEPT [990:96632]
:POSTROUTING ACCEPT [1135:121097]
COMMIT
# Completed on Thu Aug 5 15:18:50 2010
# Generated by iptables-save v1.4.4 on Thu Aug 5 15:18:50 2010
*nat
:PREROUTING ACCEPT [703:66441]
:POSTROUTING ACCEPT [13:881]
:OUTPUT ACCEPT [26:1794]
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.104.128
COMMIT
# Completed on Thu Aug 5 15:18:50 2010
# Generated by iptables-save v1.4.4 on Thu Aug 5 15:18:50 2010
*filter
:INPUT ACCEPT [613:77935]
:FORWARD ACCEPT [147:24585]
:OUTPUT ACCEPT [1005:97532]
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- iptables - никак не могу настроить, reader, 15:26 , 05-Авг-10 (5)
>[оверквотинг удален]
>:POSTROUTING ACCEPT [1135:121097]
>COMMIT
># Completed on Thu Aug 5 15:18:50 2010
># Generated by iptables-save v1.4.4 on Thu Aug 5 15:18:50 2010
>
>*nat
>:PREROUTING ACCEPT [703:66441]
>:POSTROUTING ACCEPT [13:881]
>:OUTPUT ACCEPT [26:1794]
>-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.104.128 я же писАл, что нужен еще один nat для инета , но на dsl0 интерфейсе.
инет через него идет же? >[оверквотинг удален]
>-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
>
>-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 10000 -j ACCEPT
>
>-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
>
>-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
>
>-A INPUT -p icmp -j ACCEPT
>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- iptables - никак не могу настроить, Th.Donatello, 15:37 , 05-Авг-10 (6)
Сорри, старый кинул... вот:iptables-save
# Generated by iptables-save v1.4.4 on Thu Aug 5 15:29:07 2010
*mangle
:PREROUTING ACCEPT [607:56575]
:INPUT ACCEPT [443:43551]
:FORWARD ACCEPT [7:760]
:OUTPUT ACCEPT [223:29250]
:POSTROUTING ACCEPT [230:30010]
COMMIT
# Completed on Thu Aug 5 15:29:07 2010
# Generated by iptables-save v1.4.4 on Thu Aug 5 15:29:07 2010
*nat
:PREROUTING ACCEPT [213:19072]
:POSTROUTING ACCEPT [5:329]
:OUTPUT ACCEPT [5:330]
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.104.128
-A POSTROUTING -o eth1 -j SNAT --to-source 195.22.ххх.ххх
COMMIT
# Completed on Thu Aug 5 15:29:07 2010
# Generated by iptables-save v1.4.4 on Thu Aug 5 15:29:07 2010
*filter
:INPUT ACCEPT [207:27711]
:FORWARD ACCEPT [7:760]
:OUTPUT ACCEPT [240:30417]
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT всеравно не ходит. Мне кажется, что надо бы сначала решить проблему с DNS. Почему мой шлюз не перебрасывает запросы на сервер прова? кстати, а разве не достаточно ната на сеть прова. ведь dsl0 в ней поднимается...
- iptables - никак не могу настроить, reader, 15:49 , 05-Авг-10 (7)
>[оверквотинг удален]
>COMMIT
># Completed on Thu Aug 5 15:29:07 2010
># Generated by iptables-save v1.4.4 on Thu Aug 5 15:29:07 2010
>
>*nat
>:PREROUTING ACCEPT [213:19072]
>:POSTROUTING ACCEPT [5:329]
>:OUTPUT ACCEPT [5:330]
>-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.104.128
>-A POSTROUTING -o eth1 -j SNAT --to-source 195.22.ххх.ххх-A POSTROUTING -o dsl0 -j SNAT --to-source 195.22.ххх.ххх >[оверквотинг удален]
>
>-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
>
>-A INPUT -p icmp -j ACCEPT
>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
>всеравно не ходит. Мне кажется, что надо бы сначала решить проблему с
>DNS. Почему мой шлюз не перебрасывает запросы на сервер прова?
>кстати, а разве не достаточно ната на сеть прова. ведь dsl0
>в ней поднимается... нет, не достаточно, если ли бы пров выпускал вас через внутреннюю сеть, без поднятия dsl0, то тогда бы да
- iptables - никак не могу настроить, Th.Donatello, 15:52 , 05-Авг-10 (8)
От дурная башка, dsl0 же ))) Спасибо... пинги в инет ходят, но ток по IP. Подскажите, чего с днс колдовать?
- iptables - никак не могу настроить, reader, 16:08 , 05-Авг-10 (9)
>От дурная башка, dsl0 же ))) Спасибо... пинги в инет ходят, но
>ток по IP. Подскажите, чего с днс колдовать? раз не хотите кеширующий подымать, значит прописывать те, что провайдер выдает всем клиентам, но по моему это хуже
- iptables - никак не могу настроить, Th.Donatello, 16:13 , 05-Авг-10 (10)
Скорее это не есть true :) Спасибо большое. все получилось. Только сейчас ставлю input по умолчанию drop, закрываю 80й а странички грузятся :(
- iptables - никак не могу настроить, reader, 16:19 , 05-Авг-10 (11)
>Скорее это не есть true :) Спасибо большое. все получилось. Только сейчас
>ставлю input по умолчанию drop, закрываю 80й а странички грузятся :(
>INPUT и OUTPUT - это для пакетов для и от шлюза, для пакетов идущих к/от клиента (транзитом через nat и ответы) - FORWORD
|
Версия для распечатки
