Small_green_yojik
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору INET=${1} NET="eth0" LANIP="192.168.0.70" NET_NET="192.168.0.0/24" INETIP=${2} UNPRIVPORTS="1024:65535" #Сбрасываем все правила iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -t nat -F iptables -t mangle -F modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_conntrack modprobe ip_conntrack ftp modprobe nf_conntrack_ftp #Запрещаем все iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP #Инет на сервере (в т.ч. через прокси) iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT #разрешаем пинг iptables -A OUTPUT -d 8.8.8.8 --protocol icmp --jump ACCEPT #echo "Запрещаем левые запросы (мусор)" iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP #Сброс запоросов на соединение, кроме Webmin iptables -A INPUT -d $INETIP -p TCP --syn --dport ! 22 -j DROP # SSH (с защитой от брута) iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #openVPN, DHCP iptables -A OUTPUT -p UDP --dport 1194 -j ACCEPT iptables -A OUTPUT -p UDP --dport 67 -j ACCEPT iptables -A INPUT -p UDP --dport 68 -j ACCEPT #FTP port forwarding iptables -t nat -A PREROUTING -i $INET -p TCP -d $INETIP --dport 20:21 -j DNAT --to 192.168.0.105:20-21 iptables -t filter -A FORWARD -d 192.168.0.105 -p TCP --dport 20:21 -j ACCEPT iptables -t nat -A PREROUTING -i $INET -p TCP --dport 10000:10500 -j DNAT --to-destination 192.168.0.105:10000-10500 iptables -t filter -A FORWARD -p TCP --dport 10000:10500 -m state --state ESTABLISHED,RELATED -j ACCEPT #Порты из локалки, в т.ч. WebMin iptables -A INPUT -s $NET_NET -p TCP -d $LANIP -m multiport --dport 22,1080,80,443,555,2025,3025,4025,5025,2110,3110,4110,5110,8080,10000 -j ACCEPT iptables -A INPUT -s $NET_NET -p TCP -d $LANIP -m multiport --dport 8082,9875 -j ACCEPT #Оба офиса друг другу любые пакеты iptables -A FORWARD -p ALL -j ACCEPT #Чтоб все ходило iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT iptables -A INPUT -p ALL -s $LANIP -i lo -j ACCEPT iptables -A INPUT -p ALL -s $INETIP -i lo -j ACCEPT iptables -A OUTPUT -p ALL -d 127.0.0.1 -o lo -j ACCEPT iptables -A OUTPUT -p ALL -s $LANIP -j ACCEPT iptables -A OUTPUT -p ALL -s $INETIP -j ACCEPT iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT #Провайдеру TTL #iptables -t mangle -A PREROUTING -i $INET -j TTL --ttl-set 64 #Включаем ip НАТ iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP echo "1" > /proc/sys/net/ipv4/ip_forward | Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 13:02 15-08-2012 | Исправлено: Small_green_yojik, 13:03 15-08-2012 |
|