Помогите с настройкой iptables

Question

[Сергей Савостин]

Пожалуйста, не пинайте и не минусуйте — я честно выкурил пол-интернета перед тем, как задать вопрос.
Есть VPS — CentOS под OpenVZ.
Есть простейший iptables:

*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT

и iptables-config:

IPTABLES_MODULES=""

Не работает:

> modprobe ip_conntrack
FATAL: Module ip_conntrack not found. 
> modprobe ip_conntrack_ftp
FATAL: Module ip_conntrack_ftp not found. 
> iptables -t filter -A INPUT -j LOG --log-prefix "DROP"
iptables: Unknown error 18446744073709551615
> wget http://ya.ru
Resolving ya.ru... 93.158.134.3, 93.158.134.203, 87.250.251.3, ...
Connecting to ya.ru|93.158.134.3|:80... failed: Connection timed out.

а также passive FTP, и yum, и пр.
Т.е. похоже именно правило

-A INPUT -p tcp -m tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

и не работает, модулей ip_conntrack и ip_conntrack_ftp нет и установить их нельзя, т.к. OpenVZ (?) Логов тоже нет, т.е. посмотреть что именно дропится тоже никак.

В техподдержке хостера меня уже люто ненавидят, посоветовали через флаги, но добавление

-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -j ACCEPT

не помогает.

Что ему еще надо, чтоб related пускало? :INPUT ACCEPT [0:0] -> все работает

Answer 1

[Влад Животнев]

Внутри OpenVZ вы не можете делать modprobe. Просите хостера включить нужные вам модули.

Comments

[Сергей Савостин]

Спасибо. Как Вы возможно поняли, хостер отказывается (вернее не имеет возможности) включить модули. По какой причине — не знаю. Если я правильно понял Google, то этого и нельзя сделать для OpenVZ. Они утверждают, что у всех все работает — это я один такой умный несчастный. Но мне уже стыдно у них спрашивать как именно работает.

Answer 2

[smartlight]

сделай так:
# Keep state.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# http/https, smtp/smtps, pop3/pop3s, imap/imaps, ssh
$IPTABLES -A INPUT -p tcp -m multiport --dport 80,443,25,465,110,995,143,993,587,465,22 -j ACCEPT

# Loop device.
$IPTABLES -A INPUT -i lo -j ACCEPT

# Allow PING from remote hosts.
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT



просмотр текущих правил: iptables -nL

Comments

[Сергей Савостин]

Спасибо, но не вижу чем Ваши от моих отличаются. Разве что одно правило на все порты (мне столько не нужно).

Answer 3

[smartlight]

покажи вывод iptables -nL

кстати, есть еще tcpdump — он хорошо помогает в отладке настроек

Comments

[smartlight]

и попробуй очищать все правила iptables при применении новых/измененных.
#
#reset default polices in the filter table
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#
#reset default polices in the nat table
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
#reset default polices in the mangle table
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

#
#flush all rules in the filter anf nat table
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
#erase all chains that's not default in filter and nat table
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X


отдельным скриптом сделай очистку

[Сергей Савостин]

Спасибо, все естественно очищается:
>iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination


[Сергей Савостин]

сори, это я пробовал уже все что можно. Вот правильный:
>iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Answer 4

[Сергей Савостин]

Вобщем методом тыка мне кажется получилось:
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
Если кто-то разбирается, подскажите пожалуйста что я сделал, чем это может грозить и что еще нужно добавить?
Полный iptables теперь выглядит так:
> /sbin/iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x10/0x10
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination