помогите с iptables

Настройка, программирование, распределённые вычисления

Модераторы: Olej, bellic, vikos

Федя
Интересующийся
Сообщения: 4
Зарегистрирован: 15 сен 2015, 16:10
Контактная информация:

помогите с iptables

Непрочитанное сообщение Федя » 27 ноя 2015, 12:31

Суть, старый бук под ubuntu 14.04 serv ( динамический IP), раздает на 5 ПК на win 7, по wifi инет, после запуска скрипта, инет во внутренней сети исчезает, а на сервере есть, с любого ПК серв не пингуется, что не так подскажите пожалуйста, куда копать, или есть ли какое либо средство для обнаружения ошибок, ибо туп. Все ниже написанное, собрано с кучи сайтов за 4 дня. Спасибо
(обратите внимание на SSH, без запуска скрипта, через putty на 5282 порту работает, после запуска скрипта, НЕТ)

@CEPBEP:~$ ifconfig -a
eth1 Link encap:Ethernet HWaddr e8:9a:8f:42:f7:ec
inet addr:10.123.106.153 Bcast:10.123.111.255 Mask:255.255.240.0
inet6 addr: fe80::ea9a:8fff:fe42:f7ec/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1380331 errors:0 dropped:2205 overruns:0 frame:0
TX packets:382668 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:699318740 (699.3 MB) TX bytes:66581990 (66.5 MB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1471 errors:0 dropped:0 overruns:0 frame:0
TX packets:1471 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:104065 (104.0 KB) TX bytes:104065 (104.0 KB)

mon.wlan1 Link encap:UNSPEC HWaddr C0-F8-DA-95-0E-A2-00-00-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1208110 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:291268446 (291.2 MB) TX bytes:0 (0.0 B)

wlan1 Link encap:Ethernet HWaddr c0:f8:da:95:0e:a2
inet addr:192.168.150.1 Bcast:192.168.150.255 Mask:255.255.255.0
inet6 addr: fe80::c2f8:daff:fe95:ea2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:416722 errors:0 dropped:0 overruns:0 frame:0
TX packets:636789 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:102543048 (102.5 MB) TX bytes:800649848 (800.6 MB)


#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# FTP
/sbin/modprobe ip_conntrack_ftp
#старые данные и правила
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X
/sbin/iptables -X -t nat
/sbin/iptables -X -t mangle

echo Old Rules Flushed
#NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.150.0/24 -j MASQUERADE
# DROP
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

#Create New Chain Called BAD_PACKETS
/sbin/iptables -N BAD_PACKETS

#127.0.0.1 (Allow The Loopback)
/sbin/iptables -A INPUT -i lo -j ACCEPT

#Jump To BAD_PACKETS
/sbin/iptables -A INPUT -j BAD_PACKETS

#Allow Established Connections
/sbin/iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# DHCP
/sbin/iptables -A INPUT -p UDP --dport 68 --sport 67 -j ACCEPT

#SSH 5282
/sbin/iptables -A INPUT -p TCP -i eth1 --dport 5282 -j ACCEPT

#Allow net print
/sbin/iptables -A INPUT -p UDP -i eth1 --dport 631 -j ACCEPT

#Allow webmin
/sbin/iptables -A INPUT -p TCP -i eth1 --dport 10000 -j ACCEPT

#Allow avahi-daemon
/sbin/iptables -A INPUT -p TCP -i eth1 --dport 5353 -j ACCEPT

#Allow input torrents-client
/sbin/iptables -A INPUT -p TCP -i eth1 --dport 51413 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth1 --dport 51413 -j ACCEPT
/sbin/iptables -A INPUT -p TCP -i eth1 --dport 6881 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth1 --dport 6881 -j ACCEPT

#Allow Samba From Specified Hosts
/sbin/iptables -A INPUT -p TCP -i eth1 --dport 137:139 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth1 --dport 137:139 -j ACCEPT
/sbin/iptables -A INPUT -p TCP -i eth1 --sport 137:139 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth1 --sport 137:139 -j ACCEPT

#Allow CMP Replies From Specified Hosts (Ping)
/sbin/iptables -A INPUT -p ICMP -i eth1 --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -p ICMP -i eth1 --icmp-type 8 -j ACCEPT

# SMTP 587
/sbin/iptables -A INPUT -p tcp --dport 587 -j ACCEPT
#Log
/sbin/iptables -A INPUT -j LOG --log-prefix "INPUT DROP: "

#Accept Loopback On OUTPUT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

#Allow Established Connections
/sbin/iptables -A OUTPUT -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#IP по DHCP (Allow DHCP)
/sbin/iptables -A OUTPUT -p UDP --dport 67 --sport 68 -j ACCEPT

#Allow HTTP, FTP, DNS, SSH, SMTP & Port 443 Outbound
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 21 -j ACCEPT

#Allow POP, IMAP
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 143 -j ACCEPT

#Allow IMAPS
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 993 -j ACCEPT

#Allow output ICQ
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 5190 -j ACCEPT

# Allow output IRC
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 6667 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 6668 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 6669 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 8001 -j ACCEPT

#Allow output CUPS (for printers in net)
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 631 -j ACCEPT

#Allow output avahi-daemon
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 5353 -j ACCEPT

#Allow output NTP (for ntpdate)
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 123 -j ACCEPT

#Allow output Urban Terror
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 27960 -j ACCEPT

#Allow specify ports
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 2046 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 2050 -j ACCEPT

#Allow Samba From Specified Hosts
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 137:139 -j ACCEPT
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 137:139 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth1 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p UDP -o eth1 --dport 445 -j ACCEPT

#Allow ICMP
/sbin/iptables -A OUTPUT -p ICMP -o eth1 --icmp-type 8 -j ACCEPT

#Drop
/sbin/iptables -A OUTPUT -j LOG --log-prefix "OUTPUT DROP: "
/sbin/iptables -A BAD_PACKETS -p TCP ! --syn -m state --state NEW -j DROP
/sbin/iptables -A BAD_PACKETS -p TCP --tcp-flags ALL ALL -j DROP
/sbin/iptables -A BAD_PACKETS -p TCP --tcp-flags ALL NONE -j DROP
/sbin/iptables -A BAD_PACKETS -p TCP --tcp-flags ALL SYN \-m state --state ESTABLISHED -j DROP
/sbin/iptables -A BAD_PACKETS -p ICMP --fragment -j DROP
/sbin/iptables -A BAD_PACKETS -m state --state INVALID -j DROP
/sbin/iptables -A BAD_PACKETS -d 255.255.255.255 -j DROP
/sbin/iptables -A BAD_PACKETS -j RETURN

echo "Rules written."

Спасибо за понимание и поддержку!

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: помогите с iptables

Непрочитанное сообщение Olej » 27 ноя 2015, 21:33

Федя писал(а):старый бук под ubuntu 14.04 serv ( динамический IP), раздает на 5 ПК на win 7, по wifi инет, после запуска скрипта, инет во внутренней сети исчезает, а на сервере есть, с любого ПК серв не пингуется,
Вы бы написали по-людски, словами: чего вы добиться хотите?

P.S. Никто же не станет детально разгребаться с такой простынёй iptables правил.

А для правил показывайте лучше не то, что вы хотели установить (текст скрипта), а то, что там действительно установлено в итоге:

Код: Выделить всё

olej@nvidia ~ $ sudo iptables -L
...

Ответить

Вернуться в «Сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 11 гостей