Около сетевой Блог » IpTables

Linux: iptables пробрасываем порты наружу

Ioann — Tue, 02 Mar 2010 14:57:22 +0000

Часто возникает необходимость зайти через интернет на оборудование (сервер, компьютер или еще какой девайс) которое находится за файерволом и не имеет внешнего ip адреса. О том как это сделать написано много, но в большинстве случаев статьи длинные и не совсем понятные. Мы постараемся одним простым примером показать как это делается.

[ad#ad-2]
Прежде чем рассказать как настроить iptables для проброса портов в локальную сеть, хочется отметить что любой проброс в локалку – это еще одна открытая дыра в защите сети. И не просто сети а информации которая в ней хранится. Но уже если надо, и риск оправдан то делается это так:

# iptables -t nat -A PREROUTING -p tcp -d $EXT_FW_IP --dport $EXT_FW_PORT -j DNAT --to-destination $LOCAL_IP:$LOCAL_PORT

Где

$EXT_FW_IP - адрес файервола(маршрутизатора/сервера) который виден из интернета
$EXT_FW_PORT - порт файервола(маршрутизатора/сервера) который виден из интернета 
$LOCAL_IP - адрес нашего оборудование в локальной сети (то оборудование на которое мы хотим попасть)
$LOCAL_PORT - порт на который надо попасть на нашем локальном оборудовании

Рассмотрим пример:
Например у нас есть сервер отвечающий за хранение файлов в локальной сети. Ему незачем светиться в интернете. Доступ к интернету у него есть только через NAT для обновления установленных пакетов. В качестве файервола в нашей локальной сети выступает еще один сервер под управлением LINUX.
Пусть на файерволе внешний ip адрес 44.44.44.44, мы хотим получить доступ по ssh к нашему файл-серверу. Файл сервер имеет ip адрес 10.0.1.1. Под проброс выделим внешний порт 8082
Делаем проброс

iptables -t nat -A PREROUTING -p tcp -d 44.44.44.44 --dport 8082 -j DNAT --to-destination 10.0.1.1:22

И теперь выполнив ssh -l user_name 44.44.44.44:8082 мы попадем на стандартный ssh порт нашего сервера в локальной сети.

Статьи по теме:

Linux: сохраняем/ загружаем правила iptables

Ioann — Thu, 25 Feb 2010 15:49:20 +0000

При изменении правил iptables они автоматом не сохраняются. Для того что бы записать их надо выполнить простую команду.

[ad#ad-2]
Многие забывают записать существующую конфигурацию iptables перед внесением изменений. А зря, если изменяется не одна строчка а сотни, то откатиться назад будет очень непросто.
В Ubuntu Linux правила iptables сохраняются очень просто:

$ sudo -s
$ iptables-save > /root/working.iptables.rules

И загружаются не менее просто

# iptables-restore < /root/working.iptables.rules

Статьи по теме:

Linux: Samba ограничиваем доступ к шарам пользователям по имени или по IP

Ioann — Tue, 09 Feb 2010 15:14:53 +0000

Сегодня мы расскажем о том как ограничить доступ определенным пользователям или хостам к шарам Samba. Как обычно в статье рассмотрим несколько способов для реализации этой задачи.

[ad#ad-2]
Способ первый: редактирование файлов /etc/hosts.allow и /etc/hosts.deny
/etc/hosts.allow – описывает хосты которым разрешено пользоваться запущенными сетевыми службами.
/etc/hosts.deny – описывает хосты которым зкпрещено пользоваться запущенными сетевыми службами.
Например запретим подсети 192.168.2.0/24 обращаться к службе Samba. Для этого внесем в файл /etc/hosts.deny следующую строчку

smbd : 192.168.2.

Способ второй: использование директивы hosts allow в конфигурационном файле Samba
В этом примере обращение разрешено подсети 192.168.2.0/2 и локальному хосту:

[share]
  hosts allow = 192.168.2. 127.0.0.1

Так же через конфигурационный файл можно разрешить доступ только определенным пользователям и группам:

[share]
  valid users = user1 user2 @group1 @group2

Директивы read only и write only конфигурационного файла Samba

[share]
     read only = yes
     write list = user1 user2 @group1 @group2

В примере папка sales помечена как только для чтения, но пользователям tom и jerry разрешена запись в шару

[sales]
     comment = All Printers
     path = /nas/fs/sales
     read only = yes
     write list = tom jerry

Способ третий: использование IpTables

Статьи по теме:

Linux: IpTables ограничиваем количество соединений с одного ip

Ioann — Mon, 08 Feb 2010 13:33:35 +0000

Очень часто мы сталкиваемся с необходимостью ограничить количество соединений с одного хоста. Эта задача актуальна для администраторов, которые не хотят получить переполнение стека tcp/ip из-за пользователя который решил включить торрент клиент и забыл выключить DHT.

[ad#ad-2]
IpTables синтаксис команды ограничения соединений:

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт ssh с одного ip исспользуя IpTables

/sbin/iptables  -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт http с одного ip исспользуя IpTables

/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт http с с одной сети исспользуя IpTables

/sbin/iptables  -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page
service iptables save

Пример ограничения количества соединений на порт http с одного ip если он отсылает более 10 пакетов в 100 секунд исспользуя IpTables

#!/bin/bash
IPT=/sbin/iptales
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}
# ....
# ..

Пример проверки работоспособности указанных правил IpTables

#!/bin/bash
ip="10.10.10.10"
port="80"
for i in {1..100}
do
  # коннектимся, ничего не делаем  и выходим :) 
  echo "exit" | nc ${ip} ${port};
done