Как в iptables закрыть все порты и сделать перенаправление с 8080 порта на 80 порт?

Question

[oleggg1]

Помогите, пожалуйста. Нужно через iptables закрыть все порты кроме порта 8080 и сделать перенаправление с 8080 порта на порт 80.
Вот так не работает:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -P INPUT DROP

Comments

[mureevms]

Во-первых, таблица nat это цепочка FORWARD, а этих правил Вы не привели
Во-вторых, не понятно натите вы подсеть или нет. Ну и включен ли в ядре форвардинг пакетов.
Покажите все правила iptables.

[mureevms]

Ну и опишите словами задачу - что конкретно хотите получить.

[oleggg1]

mureevms: Спасибо за ответ. Задача такая:
1. закрыть все порты кроме 8080 и 22.
2. сделать перенаправление с 8080 на 80 порт
Кроме приведённых больше никаких правил нет.

[mureevms]

Перенаправление делаете локальное, т.е. с порта 8080 на 80 одного и того же хоста?

[oleggg1]

mureevms: да, именно так

Answer 1

[mureevms]

Судя по всему, сам клиент локальный. Не работает, потому что пакеты с localhost не попадают в nat таблицу.
Чтоб работало на локалхосте надо добавить это правило:

iptables -t nat -A OUTPUT -p tcp -s 127.0.0.1 --dport 8080 -j REDIRECT --to-ports 80

Comments

[oleggg1]

Нет, так тоже не работает. Тут, видимо дело в другом. После добавления правила:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

всё работает, но после того как я закрываю весь трафик, оставляя исключение для 8080 порта:

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -P INPUT DROP

всё перестаёт работать

[oleggg1]

Да, клиент локальный. Это веб-сервер, который слушает 80 порт. Мне нужно закрыть доступ к нему по 80 порту через iptables и сделать через тот же iptables перенаправление с 8080 порта на 80 порт.

[mureevms]

80 порт тоже надо открыть

[mureevms]

Зачем такие сложности? Не проблема же повесить веб сервер на порт 8080

[oleggg1]

К сожалению, повесить вебсервер на другой порт нельзя. Нужно реализовать это через iptables.

[mureevms]

80 порт открыли?

[oleggg1]

Так 80 порт должен быть закрыт, открыт только 8080. Может быть можно открыть его в INPUT, а потом где-нибудь в mangle закрыть?

[mureevms]

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 80 -j ACCEPT

[oleggg1]

То есть вот так сделать? Если да, то нее работает.
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

[mureevms]

Выяснилось, что закрыть 80 порт в данном виде не получится, т.к. REDIRECT перенаправляет на порт того же интерфейса, а по условию его надо закрыть.
Поэтому предлагаю сделать DNAT на localhost. Набор правил:

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 127.0.0.1:80
iptables -A INPUT -p tcp -d 127.0.0.1 --dport 80 -j ACCEPT
iptables -P INPUT DROP

[oleggg1]

Спасибо за ответ. Удалил все свои правила и поставил из вашего примера. К сожалению, не работает. Ни 80, ни 8080 порты не отвечают с такими правилами.

[mureevms]

Действительно. На чистой виртуалке не сработало.
Но у меня хорошая новость) Попробуйте это:

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80
iptables -P INPUT DROP

[oleggg1]

Работает! Большое Вам человеческое спасибо!

[oleggg1]

mureevms: Может подскажете как сделать из этого stateless firewall? Как я понимаю нужно в таблице raw добавить нечто подобное:

-I PREROUTING -p tcp ! --dport 80 -j NOTRACK
-I PREROUTING -p tcp ! --dport 8080 -j NOTRACK
-I OUTPUT -p tcp ! --dport 8080 -j NOTRACK
-I OUTPUT -p tcp ! --dport 80 -j NOTRACK

Но с этим не работает то решение задачи, которое было выше.

[mureevms]

Не работал с NOTRACK, поэтому не знаю.
А зачем?

[oleggg1]

Ну, во-первых, это увеличение перфоманса, а во-вторых, это позволяет избежать переполнения таблицы состояний при ддосе, например

[mureevms]

Увеличить таблицу. А вообще, если будут всерьез ддосить, то эти действия бесполезны

Answer 2

[lukashin]

Не хватает

iptables -t nat -A POSTROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

Comments

[oleggg1]

В POSTROUTING таблицы nat нет REDIRECT

[lukashin]

oleggg1: действительно.

А так?

iptables -t nat -A PREROUTING -d -p tcp -m tcp --dport 8080 -j DNAT --to-destination :80
iptables -t nat -A POSTROUTING -d -p tcp -m tcp --dport 80 -j SNAT --to-source ip

[oleggg1]

Нет, это вообще другая история. Нужно что-то сделать после редиректа в nat

Answer 3

[Виталий]

зачем сложности с прероутингом и тп?
я так понимаю, что есть прокси форвардинг на нгинкс типо 80 -> localhost:8080
цепочка инпут, политика дроп
аксептим с флагами эстаблишет релейтед
аксептим на 80 порт кого хотим

оутпут разрешено все (получается что все локальные службы, которые будут инициировать коннект будут работать)
И все заработает.

Comments

[oleggg1]

Веб-сервер висит на 80 порту, этот порт должен быть закрыт, как и все остальные кроме 8080. Нужно средствами iptables реализовать перенаправление трафика с 8080 на 80

[Виталий]

oleggg1: а поднять вебсервер сразу на 8080 религия мешает? зачем ананизм?

[oleggg1]

Причём тут это? Задача поставлена реализовать это именно через iptables.

[Виталий]

oleggg1: ну раз сказали копать, копайте. вот тут объясняют что надо сделать serverfault.com/questions/140622/how-can-i-port-fo... и обязательно включите порт форвардинг.

[oleggg1]

Так тут не нужен форвардинг, трафик же ходит локально, если просто включить редирект в прероутинге, то всё работает, но продолжает так же работать и на 80 порту.

[Виталий]

oleggg1: так закройте на инпут с внешнего интерфейса 80 порт, я вообще уже не понимаю вашу задачу. Вам нужно чтобы внутренние клиенты пользовались вебкой на 80 ом? а внешние на 8080?

[oleggg1]

Если закрыть инпут, то работать перестаёт. Смотрите, задача такая:
Нужно оставить открытыми только 22 и 8080 порты, веб сервер слушает порт 80. Чтобы работал веб-сервер нужно перенаправить трафик с 8080 порта на 80 порт.

[Виталий]

oleggg1: для кого веб сервер работает на 80 порте? кто-то его на 80 потребляет?

[oleggg1]

Нужно чтобы извне вебсервер, который локально слушает 80 порт, был доступен по 8080 порту

[Виталий]

oleggg1: я понимаю, делаете днат дпорт 8080 до дестинейшен 127.0.0.1 80, политика форвард аксепт, политика инпут дроп, правила инпута, как я писал с флагами для внешнего интерфейса, для ло интерфейса инпут аксепт, форвардиинг все же помоему здесь нужно будет вклчюать, ибо между интерфейсами трафик роутить будете. ну и да на инпут открыть 22 и 8080, но на мой взгляд, если у веб сервера есть только клиенты из вне на 8080 не надо городить это все, просто в настройках вебсервера выставляется порт 8080 и делаются обычные правила без форвардинга. я убей не вижу плюсов в той схеме, что вы делаете.

[oleggg1]

В этой схеме нет никаких плюсов и в этом я с вами полностью согласен. Но, к сожалению, нет возможности поменять порт у веб-вервера на какой-либо другой. Задача именно решить это средствами iptables. Сейчас попробую вариант, который вы написали.

[Виталий]

oleggg1: если есть доступ к iptables значит есть рут, если есть рут, все остальное тоже решаемо....

[oleggg1]

Есть поставленная задача, которую можно решить только заданным способом, к сожалению.

В общем сделал так:
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 127.0.0.1:80
iptables -P FORWARD ACCEPT
iptables -P INPUT DROP
iptables -A FORWARD -p tcp -d 127.0.0.1 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

Не заработало

[Виталий]

oleggg1: политика инпут дроп, 127001 80 будет блокирован ею, я же написал описать политику для локального интерфейса отдельно

[Виталий]

-i eth0 -i lo

[oleggg1]

Вот так?
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 127.0.0.1:80
iptables -P FORWARD ACCEPT
iptables -P INPUT DROP
iptables -A FORWARD -p tcp -d 127.0.0.1 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

Так тоже не работает.

[Виталий]

oleggg1: и порт форвардинг включил?

[Виталий]

oleggg1: echo 1 > /proc/sys/net/ipv4/ip_forward, но данная настройка слетит после перезагрузки, так что лучше поправить конфиг — $ nano /etc/sysctl.conf далее ищем строчку #net.ipv4.ip_forward=1 и убираем «решётку»

[oleggg1]

Да, конечно.

Может быть можно как-то так?

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j DROP

В этом случае открывается извне и по 8080 и по 80. То есть последнее правило не работает.

[oleggg1]

Порт форвардинг я включил, я не могу назвать себя нубом, в таких мелочах разбираюсь ) Но вот с iptables, как выяснилось, не очень дружу в нетривиальных моментах.

[Виталий]

oleggg1: ну и в чем прикол этой схемы? включи на всех цепочках лог. и смотри какая цепочка отсекает твои пакеты.

[Виталий]

тебе надо чтобы клиент из внешнего интерфейса приходил на 8080 прероутингом отправлялся на 127.0.01 80 проходил оутпут форвард и на сколько я помню инпут от 1 интерфейса до второго, после этого получал трафик и шел назад, если ты где-то что-то не учел. каждая цепочка может помочь в блокировке.