Iptables + обновления Ubuntu Server 14.04

@Михаил КОт · Регистрация: 25.11.2015

Студворк — интернет-сервис помощи студентам

После написания правил для Iptables перестала обновляться Ubuntu. Чтобы можете подсказать?

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
#!/bin/sh
 
echo "0" > /proc/sys/net/ipv4/ip_forward
 echo "1" > /proc/sys/net/ipv4/tcp_syncookies
 echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
 
#необходим для корректной работы FTP-сервера
/sbin/modprobe ip_conntrack_ftp
 
#сброс старых данных
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X
/sbin/iptables -X -t nat
/sbin/iptables -X -t mangle
 
 
#Устанавливаем правила DROP по умолчанию. (Set Default-Drop Policy)
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
 
 
#Create New Chain Called BAD_PACKETS
/sbin/iptables -N BAD_PACKETS
 
 
#Разрешаем работу локального интерфейса, того самого 127.0.0.1 (Alow the Lookback)
/sbin/iptables -A INPUT -i lo -j ACCEPT
 
#Jump To BAD_PACKETS
/sbin/iptables -A INPUT -j BAD_PACKETS
 
#Разрешаем поддерживать открытими уже установленные соединения (Allow Established Connections)
/sbin/iptables -A -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Разрешаем присоединяться по SSH, при условии, что используется 22 порт (Allow SSH)
 
#Фильтрация по мак адресу
/sbin/iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source :E8:6A:1E -j ACCEPT 
#Ограниченое кол-во подключений по SSH
/sbin/iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
 
#Разрешаем webmin на стандартном 10000 порту (Allow Webmin)
#/sbin/iptables -A INPUT -p TCP -i eth0 --dport 10000 -j ACCEPT
 
#Allow input torrent-client 
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 65535 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth0 --dport 65535 -j ACCEPT
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 49152 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth0 --dport 49152 -j ACCEPT
#Web transmission
 
#Фильтрация по MAC-адресу
/sbin/iptables -A INPUT -p tcp --destination-port 9091 -m mac --mac-source E:E8:6A:1E -j ACCEPT 
 
#Allow Samba From Specified Hosts
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 137:139 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth0 --dport 137:139 -j ACCEPT
/sbin/iptables -A INPUT -p TCP -i eth0 --sport 137:139 -j ACCEPT
/sbin/iptables -A INPUT -p UDP -i eth0 --sport 137:139 -j ACCEPT
 
#Allow CMP Replies From Specified Hosts (Ping)
/sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
 
#Разрешаем подключаться к SMPT на 587 порт
#/sbin/iptables -A INPUT -p tcp --dport 587 -j ACCEPT
 
#LOG
/sbin/iptables -A INPUT -j LOG --log-prefix "INPUT DROP: "
 
#Accept Loopback On OUTPUT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
 
#Разрешаем поддерживать открытими уже установленные соудинения. (Allow Established Connection)
/sbin/iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Разрешаем получать IP по DCHP (Allow DHCP)
/sbin/iptables -A OUTPUT -p UDP --dport 67 --sport 68 -j ACCEPT
 
#Allow HTTP, FTP, DNS, SSh, SMPT & PORT 443 Outbound
#/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 53 -j ACCEPT 
/sbin/iptables -A OUTPUT -p UDP -o eth0 --dport 53 -j ACCEPT
#/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 22 -j ACCEPT
#/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 21 -j ACCEPT
#transmisson web
/sbin/iptables -A output -p TCP -i eth0 --dport 9091 -j ACCEPT
 
#Allow POP,IMAP
#/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 110 -j ACCEPT
#/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 143 -j ACCEPT
 
#Allow IMAPS 
#/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 993 -j ACCEPT
 
#Allow output NTP (for ntpdate)
/sbin/iptables -A OUTPUT -p UDP -o eth0 --dport 123 -j ACCEPT
 
#Allow Samba From Speciffied Hosts 
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 137:139 -j ACCEPT
/sbin/iptables -A OUTPUT -p UDP -o eth0 --dport 137:139 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p UDP -o eth0 --dport 445 -j ACCEPT
 
#Allow ICMP
/sbin/iptables -A OUTPUT -p ICMP -o eth0 --icmp-type 8 -j ACCEPT
 
#OpenVPN
#iptables -A INPUT -p udp -m udp eth0 --dport 1194 -j ACCEPT
#iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT
#iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE

@afiskon · 25.11.2015, 23:06

А что пишет при обновлении?

@Михаил КОт · 26.11.2015, 14:26 **[ТС]**

Iptables + обновления Ubuntu Server 14.04

Dmitry · 26.11.2015, 17:24

по ходу, чет не вижу правил для днс...

@Михаил КОт · 17.12.2015, 15:22 **[ТС]**

Пробывал прокидывать днс разными способами, все равно не выходит каменный цветок.
Подскажите как правельно правило прописать, а то в гугле вариантов целая куча, а толку 0. Или я чего то просто не допонимаю.

@poss · 19.12.2015, 13:08

iptables не нужно учить,
теперь есть сайт ddos-guard,
ТС не трать время на изучение устаревших технологий.

@Михаил КОт · 23.12.2015, 04:34 **[ТС]**

Всем спасибо нашел, где ошибся.

Добавлено через 10 часов 59 минут

Сообщение от Михаил КОт

#Разрешаем поддерживать открытими уже установленные соединения (Allow Established Connections)
/sbin/iptables -A -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Пропустил INPUT.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .
SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .

@afiskon 65 / 53 / 4 Регистрация: 06.09.2010 Сообщений: 254
	25.11.2015, 23:06
	А что пишет при обновлении? 0

@Михаил КОт 0 / 0 / 2 Регистрация: 25.11.2015 Сообщений: 21
	26.11.2015, 14:26 [ТС]
	0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	26.11.2015, 17:24
	по ходу, чет не вижу правил для днс... 0

@Михаил КОт 0 / 0 / 2 Регистрация: 25.11.2015 Сообщений: 21
	17.12.2015, 15:22 [ТС]
	Пробывал прокидывать днс разными способами, все равно не выходит каменный цветок. Подскажите как правельно правило прописать, а то в гугле вариантов целая куча, а толку 0. Или я чего то просто не допонимаю. 0

@poss Заблокирован
	19.12.2015, 13:08
	iptables не нужно учить, теперь есть сайт ddos-guard, ТС не трать время на изучение устаревших технологий. 0

Iptables + обновления Ubuntu Server 14.04

Решение