Где ошибка в IPTABLES?

Question

[Владислав Бушуев]

На сервере есть две сетевые карты, eth0 -> раздаёт интернет, eth1 -> получает интернет. Мне необходимо было заблокировать все внешние соединения с сервером и добавить исключения.
Вот что сделал я:

# Policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Разрешаем loopback
iptables -A INPUT -i lo -j ACCEPT

# Разрешим работу второй сетевой карты eth0
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A OUTPUT -p ALL -j ACCEPT

# Разрешаем все установленные соединения
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

# Разрешаем SSH
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1715 -j ACCEPT

И интернет не идёт, соединение с сервером есть из локалки есть, но доступа к глобальной сети нет. На сервере тоже нету интернета.
Где ошибка?

Answer 1

[Антон Нагаец]

# Policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

В конец перенесите.
Вы в начале все запретили и пакеты ушли в молоко не дойдя до остальных цепочек.
суть работы iptables это проход по строкам и выполнения правила ни его первом нахождении.

iptables -P INPUT DROP
iptables -P FORWARD DROP

вы запретили пакеты.
И ваш сервак оказался заперт внутри себя.

Правила блока
# Разрешим работу второй сетевой карты eth0
Не работают т.к. до них не доходят пакеты

Comments

[Владислав Бушуев]

Смотрите сделал вот так:

# Разрешаем loopback
iptables -A INPUT -i lo -j ACCEPT

# Разрешим работу второй сетевой карты eth0
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A OUTPUT -p ALL -j ACCEPT

# Разрешаем все установленные соединения
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

# Разрешаем SSH
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1414 -j ACCEPT

# Разрешаем подключение к сайту
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

# Policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

И так же нету интернета.

[Антон Нагаец]

Владислав Бушуев: iptables -L в студию и sysctl net.ipv4.ip_forward

[Владислав Бушуев]

root@server:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

и
net.ipv4.ip_forward = 1
Я делаю так в rc.local:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables-restore < /etc/iptables.test
exit 0

[Антон Нагаец]

Владислав Бушуев: стукнитесь в скайп. Помогу. У вас просто не настроено ничего )

[Владислав Бушуев]

Антон Нагаец Отправил заявку :)

Answer 2

[Павел Перминов]

1. Не имеет знгачения очерёдность -P и -A. -P - то, что применяется, если не применилось ничё другое.
2. Где маршруты?
3. Где нат?

UPDT
Замените -m state на -m conttrack а --state ESTABLISHED на --ctstate ESTABLISHED

Comments

[Антон Нагаец]

2.3. маршруты и нат необязательны. Если они не требуются.
1. Не важны флаги, но важна последовательность.
Пример прохождения пакета
Я пришел -> Опа правило -> Она относится ко мне ? ->Да ( Ушел по правилу) /Нет (Пошел дальше)
В случае с примером пакет уперся в правило -P INPUT DROP и полетел в небытие.

[Павел Перминов]

Антон Нагаец: Если следовать вашей логике, то команда iptables -L --line-numbers должна показать Default policy нулевой строкой. Попробуйте :)
Есть внутренняя сеть. 192,168,0,0/24. Шлюз сети - 192.168.0.1 на интерфейсе eth0 и белый IP 1,1,1,1 на интерфейсе eth1, выдаваемый провайдером, через который доступен весь остальной мир по средством шлюза 1,1,1,2. Расскажите мне, как направить пакет изнутри наружу без маршрутизации и маскирования адресов? Каким образом маршрутизатор узнает, куда его направить, если маршруты не важны? И как что-то придёт в ответ от сервера (допустим) 8,8,8,8, если адресом источника в пакете будет указан 192.168.0.56?