Сообщения walter1991

автозагрузка правил файрвола

Форум — Admin

пытаюсь сделать в Debian автозагрузку правил файрвола после установки соединения ppp0. Потому что внешний ip при новом соединении выдается динамически, а в скрипте iptables я выдираю из ifconfig ppp0 с помощью sed, awk внешний динамический ip.

пробовал вставлять скрипты в /etc/network/interfaces

 The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp

auto eth1 
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

post-up /home/iptables start

потом пробовал кидать в директории /etc/network/ip-up.d, /etc/ppp/ip-up.d, но скрипт не запускается при загрузке

walter1991
(16.11.11 12:06:22 MSK)

9 комментариев

iptables проброс портов

Форум — Admin

Не могу настроить проброс портов с внешней сети на машину во внутренней сети по порту 27015. Второй день мучаюсь, помогите плиз.

EXTIF="ppp0" -внешний 
INTIF="eth1" - внутренний

UNPRIPORTS="1024:65535"


	$IPT -F
	$IPT -X
	$IPT -t nat -F PREROUTING
	$IPT -t nat -F POSTROUTING


  	# Политики по умолчанию.
  	$IPT -P INPUT DROP
	$IPT -P FORWARD DROP
    	$IPT -P OUTPUT ACCEPT
	
	# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
	$IPT -A INPUT -i lo -j ACCEPT
	$IPT -A OUTPUT -o lo -j ACCEPT
	
	# Если интерфейс не lo, то запрещаем входить в список его адресов.
	$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

     	# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
	$IPT -A INPUT   -m state --state INVALID -j DROP
   	$IPT -A FORWARD -m state --state INVALID -j DROP
	$IPT -A OUTPUT -m state --state INVALID -j DROP
	
	# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
	# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. 
	$IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	
		
		    
	# Разрешаем  ping 
	$IPT -A INPUT -p icmp -m icmp -i $EXTIF --icmp-type echo-reply -j ACCEPT
	$IPT -A INPUT -p icmp -i $EXTIF -j ACCEPT

	# Разрешаем передачу пакета - некорректный параметр - используется, если в заголовке пакета содержится недопустимая запись,
	# или если контрольная сумма заголовка не соответствует контрольной сумме, указанной передающим узлом.
	$IPT -A INPUT -p icmp -m icmp -i $EXTIF --icmp-type parameter-problem -j ACCEPT
	$IPT -A OUTPUT -p icmp -m icmp -o $EXTIF --icmp-type parameter-problem -j ACCEPT

	# Запрещаем подключение к X серверу через сетевые интерфейсы.
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 6000:6063 -j DROP --syn
	
	# Прописываем порты, которые открыты в системе, но которые не должны быть открыты на сетевых интерфейсах:
	# $IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports #порта
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 783
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 3310
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 10000

	# DNS сервер имен разрешаем.
	$IPT -A INPUT -p udp -m udp -i $EXTIF --dport $UNPRIPORTS --sport 53 -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 1024:65353 --sport 53 -j ACCEPT

	# Разрешаем AUTH-запросы на удаленные сервера, на свой же компьютер - запрещаем.
	#$IPT -A OUTPUT -p tcp -m tcp -o $EXTIF --dport 113 --sport $UNPRIPORTS -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 113 -j DROP

	# Открываем некоторые порты:
	
	# SSH клиент (22)
	$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

	# Teamspeak
	$IPT -A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp --dport 10011 -j ACCEPT
	$IPT -A INPUT -p udp -m udp --dport 9987 -j ACCEPT
	
	# Transmission-daemon
	$IPT -A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
	$IPT -A INPUT -p udp -m udp --dport 51413 -j ACCEPT


	# Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический.
	$IPT -A INPUT -p udp -m udp -i $EXTIF --dport 68 --sport 67 -j ACCEPT

	# Разрешаем все из внутренней сети
	$IPT -A INPUT -i $INTIF -j ACCEPT
	
			
	#NAT
	$IPT -A FORWARD -i $INTIF -j ACCEPT
	$IPT -t nat -A POSTROUTING -s 192.168.1.0/$INTMSK -o $EXTIF -j MASQUERADE

	#ПРОБРОС портов
	
	#Сервер контры на 192.168.1.54 (проброс)
	$IPT -t nat -A PREROUTING -p udp -d $EXTIP/32 --dport 27015  -j DNAT --to-destination 192.168.1.54:27015 #?????
	$IPT -t nat -A POSTROUTING -p udp --dport 27015 -d 192.168.1.54/24 -j SNAT --to-source $EXTIP #??????

# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*filter
:INPUT DROP [1353:81407]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12:1040]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 783 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 3310 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 10000 -j DROP
-A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p udp -m udp --dport 27015 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*nat
:PREROUTING ACCEPT [1838:126861]
:POSTROUTING ACCEPT [13:1075]
:OUTPUT ACCEPT [13:1075]
-A PREROUTING -d 95.220.236.147/32 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.1.54:27015
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*mangle
:PREROUTING ACCEPT [2073310:1755263914]
:INPUT ACCEPT [129631:10112509]
:FORWARD ACCEPT [1943596:1745100737]
:OUTPUT ACCEPT [28682:4678269]
:POSTROUTING ACCEPT [1972010:1749696598]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 15 21:29:34 2011

walter1991
(15.11.11 21:30:36 MSK)

13 комментариев

iptables + ppp проблемы

Форум — Admin

Debian Linux

Вообщем когда я запускаю скрипт на сервере с настройками iptables, то в локальной сети как-бы отваливается интернет причем пингуется linux.org.ru нормально, но на сайт не заходит, еще могу лазить например, по яндексу:

Обмен пакетами с linux.org.ru [217.76.32.61] с 32 байтами данных:
Ответ от 217.76.32.61: число байт=32 время=20мс TTL=52
Ответ от 217.76.32.61: число байт=32 время=21мс TTL=52
Ответ от 217.76.32.61: число байт=32 время=21мс TTL=52

чтобы инет нормально раздавался я перезапускаю подключение ppp0 командами:

poff provider
pon provider

И тогда все начинает работать нормально.

eth0 - Инет

eth1 - Локалка ifconfig:

eth0      Link encap:Ethernet  HWaddr 00:50:ba:c2:f4:93
          inet addr:10.31.55.16  Bcast:10.31.63.255  Mask:255.255.224.0
          inet6 addr: fe80::250:baff:fec2:f493/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:30732 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22610 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:27441208 (26.1 MiB)  TX bytes:4345238 (4.1 MiB)
          Interrupt:12 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr 00:50:ba:c3:01:c2
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::250:baff:fec3:1c2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23020 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28106 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4327524 (4.1 MiB)  TX bytes:28315774 (27.0 MiB)
          Interrupt:11 Base address:0xc400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1074 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1074 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:90250 (88.1 KiB)  TX bytes:90250 (88.1 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:95.220.161.171  P-t-P:212.1.254.124  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:308 errors:0 dropped:0 overruns:0 frame:0
          TX packets:386 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:37154 (36.2 KiB)  TX bytes:41911 (40.9 KiB)

iptables-save:

e# iptables-save
# Generated by iptables-save v1.4.8 on Tue Nov 15 13:46:38 2011
*filter
:INPUT DROP [169:21033]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [83:7583]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Nov 15 13:46:38 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 13:46:38 2011
*nat
:PREROUTING ACCEPT [388:34911]
:POSTROUTING ACCEPT [71:6744]
:OUTPUT ACCEPT [70:6648]
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Nov 15 13:46:38 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 13:46:38 2011
*mangle
:PREROUTING ACCEPT [297:33032]
:INPUT ACCEPT [81:9376]
:FORWARD ACCEPT [174:20926]
:OUTPUT ACCEPT [74:7040]
:POSTROUTING ACCEPT [247:27926]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 15 13:46:38 2011

/etc/ppp/peers/provider:

noipdefault
defaultroute
replacedefaultroute
hide-password
noauth
persist
plugin rp-pppoe.so eth0
user "user1234"

walter1991
(15.11.11 13:55:58 MSK)

10 комментариев

RSS подписка на новые темы