URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3929
[ Назад ]

Исходное сообщение
"Помогите отладить конфиг iPTABLES"
Отправлено Kash , 14-Авг-08 13:27

В общем есть внутренняя сетка, сервак с SQUID IPTABLES стала необходимость локальным пользователям забирать почту с внешних хостов аля мейл ру. Что нужно добавить в этот скрипт что б работало. Если есть предложения по оптимизации скрипта буду рад услышать. Заранее спасибо.
#!/bin/sh
#
#
INET_IP="192.168.0.1"
INET_IFACE="eth1"
INET_BROADCAST="192.168.0.255"

LAN_IP="192.168.1.1"
LAN_IP_RANGE="192.168.1.0/24"
LAN_IFACE="eth0"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
$IPTABLES -A FORWARD -p tcp --dport 25 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

Содержание

конфиг iPTABLES - в порядке...,Andrey Mitrofanov, 18:10 , 14-Авг-08
- конфиг iPTABLES - в порядке...,Kash, 14:08 , 15-Авг-08
  - конфиг iPTABLES - в порядке...,reader, 16:32 , 15-Авг-08
    - конфиг iPTABLES - в порядке...,Kash, 13:34 , 18-Авг-08
      - конфиг iPTABLES - в порядке...,reader, 16:03 , 18-Авг-08

Сообщения в этом обсуждении

"конфиг iPTABLES - в порядке..."
Отправлено Andrey Mitrofanov , 14-Авг-08 18:10

>необходимость локальным пользователям забирать почту с внешних хостов аля мейл ру.
>Что нужно добавить в этот скрипт что б работало.
У меня такое впечатление, что в этот скрипт - ничего не надо добавлять. То, что тебе надо, судя по этому скрипту "и так работает". Требуются, изменения "вне" скрипта: клиенты понастраивать, сетевого админа подучить...
Кстати, очень популярный скрипт из http://www.opennet.me/docs/RUS/iptables/#EXAMPLESCRIPTS или одна из "вариаций на тему". В частности популярен в вопросах жанра "ой-ой, у меня не рабоает, вот скрипт, что делать??". Ответ, универсальный: читать http://www.opennet.me/docs/RUS/iptables/ до полного понимания того, что в том самом скрипте написано и как это работает.
Если (и когда) всё в мануале и скрипте станет понятно, есть вариант упростить себе жизнь со скриптами iptables: http://www.opennet.me/openforum/vsluhforumID1/81413.html#7 (по ссылкам - ещё пропаганда!).
А вот тут я переписал (в меру сил) какой-то из вариантов скрипта имени iptables/#EXAMPLESCRIPTS на любимый firehol - http://www.opennet.me/openforum/vsluhforumID1/81486.html . Сравни _размеры_ скриптов.
>$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
>$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
Эти строки делают примерно одно и то же, но... Если $INET_IP известен заранее, SNAT быстрее и меньше "нагружает" процессор. Советую первую строку удалить.

"конфиг iPTABLES - в порядке..."
Отправлено Kash , 15-Авг-08 14:08

Так вот в том то и проблема что вроде все есть но не работает.. (( как только клиентскую часть не натсраивал

"конфиг iPTABLES - в порядке..."
Отправлено reader , 15-Авг-08 16:32

>Так вот в том то и проблема что вроде все есть но
>не работает.. (( как только клиентскую часть не натсраивал
что у клиентов шлюзом и DNS серверами прописано?
в -t nat -A POSTROUTING можно было бы указать порты назначения, что бы народ мимо squid не пошел.

"конфиг iPTABLES - в порядке..."
Отправлено Kash , 18-Авг-08 13:34

>>Так вот в том то и проблема что вроде все есть но
>>не работает.. (( как только клиентскую часть не натсраивал
>
>что у клиентов шлюзом и DNS серверами прописано?
>в -t nat -A POSTROUTING можно было бы указать порты назначения, что
>бы народ мимо squid не пошел.
1 Настроен внутренний DNS и 2 адрес сервера линухом. шлюзом он же.
Самое интересное что мимо ничего не проходит доступ только через прокси

"конфиг iPTABLES - в порядке..."
Отправлено reader , 18-Авг-08 16:03

>>>Так вот в том то и проблема что вроде все есть но
>>>не работает.. (( как только клиентскую часть не натсраивал
>>
>>что у клиентов шлюзом и DNS серверами прописано?
>>в -t nat -A POSTROUTING можно было бы указать порты назначения, что
>>бы народ мимо squid не пошел.
>
>1 Настроен внутренний DNS и 2 адрес сервера линухом. шлюзом он же.
а разрешение имен проверяли? nslookup opennet.ru и таблицу маршрутизации с клиента покажите.
>
>Самое интересное что мимо ничего не проходит доступ только через прокси
это пока, а потом с такими правилами смогут.