iptables, ошибка =( Помогите чайнику

[DmitriyH]

Добрый день ! Никак не могу разобраться с правилами, вот почитал доки и создал скрипт, но при обработке скрипта пишет ошибку

./primer: line 9: :PREROUTING: command not found
./primer: line 11: :POSTROUTING: command not found
./primer: line 13: :OUTPUT: command not found
iptables: No chain/target/match by that name
./primer: line 19: COMMIT: command not found
./primer: line 21: *filter: command not found
./primer: line 23: :INPUT: command not found
./primer: line 25: :FORWARD: command not found
./primer: line 27: :OUTPUT: command not found
./primer: line 62: COMMIT: command not found

Есть 2 интерфейса eth0 смотрит в инет, eth1 в локалку...Пытался разрешить доступ на 22 и 21 порт с инета на eth0 и eth1 и дать шлюзирование ip адресу из локалке eth1 (195...) по всем портам чтобы ходил в инет. Остальное все закрыть нада. Хелп, не работает =(. Школьный сервер 4.0



iptables -F

iptables -t nat -F

*nat

:PREROUTING ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A POSTROUTING -o eth0 -j MASQUERADE


COMMIT

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]


iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options

iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable


iptables -A FORWARD -s 195.209.192.192 -i eth1 -j ACCEPT
iptables -A FORWARD -d 195.209.192.192  -o eth1 -j ACCEPT

iptables -A FORWARD -o eth0 -j DROP
iptables -A FORWARD -o eth1 -j DROP

COMMIT

[Andrey]

Уберите все строки не начинающиеся на iptables

[DmitriyH]

Ок. Появилась проблема прописал строчку,  но почему то сайты все равно не видны из "вне"

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

[speccyfan]

Ок. Появилась проблема прописал строчку,  но почему то сайты все равно не видны из "вне"
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

А что в Вашем случае "вне" ?

[MisHel64]

Ок. Появилась проблема прописал строчку,  но почему то сайты все равно не видны из "вне"
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

А что в Вашем случае "вне" ?

"вне" в его случае это инет, о чем написано в первом сообщении.
Есть очень интересный вопрос, а без использования пакетного фильтра сайт из "вне" виден?
И после прочтения первого сообщения возникло странное ощущение, что чловечек не знает ос существовании RFC1918, или условия задачи даны не полностью, или я не понимаю смысла вот это:

Код: [Выделить]

iptables -A FORWARD -s 195.209.192.192 -i eth1 -j ACCEPT
iptables -A FORWARD -d 195.209.192.192  -o eth1 -j ACCEPT


[black_13]

Там default policy для FORWARD ACCEPT скорее всего ... такчто не парьтесь
А про адреса ... он наверное для примера написал что в голову взбрело :)

-m state --state

А это разве не устарело уже?

[DmitriyH]

Разобрался !
Помогите прописать логирование iptables в отдельный файл, вот что у меня в файле syslog.conf

# Kernel
kern.=debug;kern.=info;kern.=notice             -/var/log/kernel/info
kern.=warning                                                   -/var/log/kernel/warnings
kern.err                                                                /var/log/kernel/errors

# User
user.=debug;user.=info;user.=notice             -/var/log/user/info
user.=warning                                                   -/var/log/user/warnings
user.err                                                                /var/log/user/errors

# Mail
mail.=debug;mail.=info;mail.=notice             -/var/log/mail/info
mail.=warning                                                   -/var/log/mail/warnings
mail.err                                                                /var/log/mail/errors
mail.*                                                                  -/var/log/mail/all

# Daemons
daemon.=debug;daemon.=info;daemon.=notice       -/var/log/daemons/info
daemon.=warning                                                         -/var/log/daemons/warnings
daemon.err                                                                      /var/log/daemons/errors

# Auth
auth.*                                                                  /var/log/auth/messages
authpriv.*                                                              /var/log/auth/secure
auth,authpriv.*                                                 -/var/log/auth/all

# Printer
lpr.=debug;lpr.=info;lpr.=notice                -/var/log/lpr/info
lpr.=warning                                                    -/var/log/lpr/warnings
lpr.err                                                                 /var/log/lpr/errors

# News
news.=debug;news.=info;news.=notice             -/var/log/news/info
news.=warning                                                   -/var/log/news/warnings
news.err                                                                /var/log/news/errors

# UUCP
uucp.=debug;uucp.=info;uucp.=notice             -/var/log/uucp/info
uucp.=warning                                                   -/var/log/uucp/warnings
uucp.err                                                                /var/log/uucp/errors

# Cron
cron.=debug;cron.=info;cron.=notice             -/var/log/cron/info
cron.=warning                                                   -/var/log/cron/warnings
cron.err                                                                /var/log/cron/errors

# FTP
ftp.=debug;ftp.=info;ftp.=notice                -/var/log/ftp/info
ftp.=warning                                                    -/var/log/ftp/warnings
ftp.err                                                                 /var/log/ftp/errors

###
# Various
###

# Log anything of level info or higher.
# Don't log mail and private authentication messages!
*.info;mail.none;authpriv.none  -/var/log/syslog/messages

# Log all alerts
*.alert                                                 /var/log/syslog/alert

# Everybody gets emergency messages
*.emerg                                                 *

# Save mail and news errors of level err and higher in a special file.
uucp,news.crit                                  -/var/log/syslog/spooler

# Save boot messages also to boot.log
local7.*                                                -/var/log/syslog/boot

# Log all to the console.

[MisHel64]

Помогите прописать логирование iptables в отдельный файл, вот что у меня в файле syslog.conf

Ты не до конца прочитал инструкцию на LOG для iptables'a, как дочитаешь, ответ станет очевидным.
Грубо, ты должен сам определить какой тип события имеет запись в лог, и уже эти события фильтровать в отдельный файл, с помощью указанного твоего конфига. Но ты должен быть готов, к тому, что в этот файл будут попадать и другие события системы с тем же типом. Я лично на debug вешаю, мне так удобней.