Архив

Публикации с меткой ‘iptables’

Удаление правил iptables по их номерам

29 сентября 2009 admin Нет комментариев

Смотрим список правил с номерами.

 iptables -L -t nat --line-numbers

Видим примерно следущее

 Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1  DNAT       udp  --  anywhere             proxy               udp dpt:475 to:192.168.100.6:475
2 DNAT       tcp  --  anywhere             proxy               tcp dpt:3389 to:192.168.100.202:3389
3 DNAT       tcp  --  anywhere             anywhere            tcp dpt:www to:192.168.100.192:3128

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1 MASQUERADE  all  --  192.168.0.0/16       anywhere
2 SNAT       tcp  --  anywhere             192.168.100.202     tcp dpt:3389 to:91.196.161.26

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Чтобы удалить нужное правило нужной цепочки -  Указываем цепочку и номер правила.

iptables -t nat -D PREROUTING 3

Вроде всё :)

Categories: iptables, net, ubuntu Tags:

iptables Автозагрузка

27 апреля 2009 admin 3 comments

И так есть у нас вбитые правила и мы хотим чтоб они при рестарте сами вгружались.

1 сохраняем правила в файл

sudo iptables-save > /etc/iptables.up.rules

Дальше в конец файла /etc/network/interfaces дописываем

pre-up iptables-restore < /etc/iptables.up.rules

Ребутемся и проверяем iptables -L

Categories: iptables, linux, net, ubuntu Tags:

Iptables SNAT

1 ноября 2008 admin Нет комментариев
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4

eth1 – внешний интерфейс сервера
1.2.3.4 – внешний ИП сервера

Categories: iptables, ubuntu Tags:

iptables nat + torrent

27 октября 2008 admin Нет комментариев
iptables -A INPUT -p tcp --destination-port 6881:6999 -j ACCEPT
iptables -A OUTPUT -p tcp --source-port 6881:6999 -j ACCEPT
Categories: iptables Tags:

iptables пробросить порт

7 октября 2008 admin 1 комментарий

есть ubuntu шлюз надо чтоб с инета был доступен нейкий сервис на внутренней машине

iptables -t nat -A PREROUTING -p tcp -d 91.195.101.20 --dport 7888 -j DNAT --to-destination 192.168.100.251:7888
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20

Первое правило подменяет ip приёмника на внутренний ип, а второе обратно подменяет ип отправителя на внешний.

Categories: iptables, man Tags:

ubuntu vpn server

27 августа 2008 admin 4 comments

Настройка VPN Сервера на базе Ubuntu 8.04

ставим pptpd

sudo apt-get install pptpd

редактируем

/etc/pptpd.conf

ищем строки похожие на

localip 192.168.100.4
remoteip 192.168.100.20-51

Снимаем комментарии перед ними
localip – ИП адрес будущего VPN сервера
remoteip – ИПы, которые будут выдаваться клиентам

Редактируем
/etc/ppp/chap-secrets

# client        server  secret                  IP addresses
user             pptpd   pass                192.168.100.0/13

(вот тут структуру бы не нарушать пробелы и табы не путать)

user – логин
pass – его пароль
192.168.10.0/13 – диапазон ИП с которого он будет присоединяться

Дальше пробуем запустить pptpd

sudo /etc/init.d/pptpd restart

всё запустилось, создаём VPN подключение на клиенте.
Не забываем снять галочку на вкладке “безопасность” “требовать шифрование иначе отключаться”
после чего я смог подключится к серверу.

Дальше чтоб можно было использовать остальные интерфейсы сервера, я добавил

echo 1 > /proc/sys/net/ipv4/ip_forward

чтоб это не терялось при перезагрузке надо в

/etc/sysctl.conf раскомментировать net.ipv4.ip_forward = 1

Дальше iptables надо сказать чтоб работали НАТ,ом

iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o eth0 -j MASQUERADE

Это значит, что всё, что приходит с 192.168.Х.Х слать на eth0 (то что смотрит в инет)

Проверил пинги до своего внешнего сервера (по ипу, всё было замечательно но DNS не отзывались)
для переброски DNS имён я использовал dnsmasq

$sudo apt-get install dnsmasq

в файле

/etc/dnsmasq.conf:

я прописал

listen-address=192.168.10.1

дальше

/etc/init.d/dnsmasq restart

Теперь надо, чтоб автоматически при подключении мне выдавался правильный ДНС сервер.
идём в /etc/ppp/options
раскомментировал строку

ms-dns 192.168.10.1

и вписал туда свой днс сервер.

/etc/init.d/pptpd restart

и в бой.

PS
проявилась одна проблема, что некоторые сайты не желали открываться например mail.ru
один добрый дядька rtzra посоветовал 2 пути решения, одо из которых должно было помочь

первое:

 iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu

второе:

 iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

Мне помогло второе

Удачи :) )

Categories: iptables, ubuntu Tags: ,

Прозрачный прокси (NAT) для небольшой сети

6 августа 2008 admin 2 comments

Заметка больше для себя :)
Всегда раздавал инет в организации через squid3, но тут захотел сделать всё удобно и для себя и для людей.

Ман не полный, но может кому поможет, а может кто дополнит :)

OS ubuntu 8.04 server

Нам потребуется софт (как установить думаю знаете)

1) dhcp у меня уже действовал (dhcp3-server)
2) dnsmasq Для трансляции днс запросов (умеет кстати быть dhcp сервером) (тут ставьте самую новую обязательно)
3) squid3 (для передачи http трафика) (можно и без него пустить если через него то для файрвола сначало надо добавить правило

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080,443 -j DNAT --to 192.168.100.192:3128

)
4) iptables (у меня уже был установлен)

в /etc/squid3/squid.conf добавил

http_port 3128 transparent
visible_hostname proxy
acl our_networks src 192.168.100.0/255.255.255.0
http_access allow our_networks

DHCP говорим выдавать кому надо шлюз по умолчанию тот комп, который будет шлюзом
Можно и ручками прописать тому кто нуждается.

далее в консоли разрешаем форвардинг

echo 1 > /proc/sys/net/ipv4/ip_forward

дальше в консоли говорим апитейблсам перебрасывать всё что приходит на ppp0

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE

Дальше ручками указал на внутренней машине настройки сети
ИП, маску, шлюз и днс(такойже как и шлюз)

Пинги идут rdp работает аська ирк браузер :)
Но учтите, что при перезагрузке правило для иптейблса сбросится
Поэтому читаем вот этот пост

Categories: man Tags: ,