Как правильно настроить iptables?

Question

[Владимир Шишминцев]

Доброе время суток.

Хочу на сервере (две сетевые карты: eth0 - интернет, eth1 - локальная сеть) настроить следующие правила:

1. Закрыть все входящие порты
2. Открыть порт 80 на eth0 для всех
3. Открыть порт 1500 на eth0 для определенного IP

4. Закрыть все входящие порты на eth1
5. Открыть порт 22 на eth1 для определенного IP

6. Открыть все исходящие порты для eth0 и eth1

На данный момент у меня вышло вот что:

# правила входящих соединений 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -i eth0 --match state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -i eth0 -p tcp --dport 80 --match state --state NEW -j ACCEPT 
iptables -A INPUT -i eth0 --source 80.0.0.1 -p tcp --dport 1500 --match state --state NEW -j ACCEPT

iptables -A INPUT -i eth1 --match state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -i eth0 --source 192.168.0.1 -p tcp --dport 22 --match state --state NEW -j ACCEPT


# правила исходящих соединений 
iptables -A OUTPUT -o lo -j ACCEPT 
iptables -A OUTPUT -o eth0 --match state --state NEW, ESTABLISHED, RELATED -j ACCEPT 
iptables -A OUTPUT -o eth1 --match state --state NEW, ESTABLISHED, RELATED -j ACCEPT

Answer 1

[Игорь]

Вы написали:

5. Открыть порт 22 на eth1 для определенного IP

А правило у вас для eth0:

A INPUT -i eth0 --source 192.168.0.1 -p tcp --dport 22 --match state --state NEW -j ACCEPT

Вот еще:

6. Открыть все исходящие порты для eth0 и eth1

так зачем вы добавляете какие-то дополнительные правила. Достаточно чтобы для данной цепочки не было DROP-правил и политики по умолчанию в ACCEPT:
iptables -P OUTPUT ACCEPT

Все правила разрешающие. А где правила который будут дропать трафик?
Тут два варианта: или применить политики по умолчанию для цепочек, например так:

iptables -P INPUT DROP
iptables -P FORWARD DROP

или в конец каждой цепочки добавить (именно в конец!!!):

iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

Если у вас доступ на сервер только по ssh, подготовьте скрипт, который останавливает iptables или сбрасывает их. И поставьте его в крон на каждые 10 минут например, чтобы если Вы вдруг что-то сделали не так и потеряете доступ, скрипт через ~10 минут его вам вернул.

Answer 2

[jidckii]

А из тех правил, что настроил, что не работает то ?

Comments

[Владимир Шишминцев]

@jidckii я в этом не сильно разбираюсь, поэтому и спрашиваю более грамотных все ли правильно сделано или я что-то не то натворил.

[jidckii]

@Pingvi Ну так попробуй эти правила ! Я с айпитаблес не очень, но выглядит все вроде верно ! Попробуй! Если, что увидишь что не так. Если сервак удаленный, то главное не потерять управление, а если в коридоре стоит, то вообще наплевать!))

[Владимир Шишминцев]

@jidckii в том что он удаленный - вся фишка )))

Answer 3

[larrabee]

#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -s 8.8.8.8 -p tcp --dport 1500 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT

Нужно только выполнить этот скрипт и сохранить правила (см вики дистра)

Answer 4

[baskoy]

1. Собственно не совсем понятно почему ip6tables -P OUTPUT ACCEPT если приход в остальные цепочки дропается.
2. Не очень хорошо в правила закручивать параметры, нужно в начале скрипта определить переменные с __нормальными__ говорящими именами и потом уже их использовать.
3. А что у нас тут с ICMP? Тихонечко дропаем?