Small_green_yojik
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
INET=${1}
NET="eth0"
LANIP="192.168.0.70"
NET_NET="192.168.0.0/24"
INETIP=${2}
UNPRIVPORTS="1024:65535"
#Сбрасываем все правила
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack ftp
modprobe nf_conntrack_ftp
#Запрещаем все
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Инет на сервере (в т.ч. через прокси)
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#разрешаем пинг
iptables -A OUTPUT -d 8.8.8.8 --protocol icmp --jump ACCEPT
#echo "Запрещаем левые запросы (мусор)"
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
#Сброс запоросов на соединение, кроме Webmin
iptables -A INPUT -d $INETIP -p TCP --syn --dport ! 22 -j DROP
# SSH (с защитой от брута)
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#openVPN, DHCP
iptables -A OUTPUT -p UDP --dport 1194 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 67 -j ACCEPT
iptables -A INPUT -p UDP --dport 68 -j ACCEPT
#FTP port forwarding
iptables -t nat -A PREROUTING -i $INET -p TCP -d $INETIP --dport 20:21 -j DNAT --to 192.168.0.105:20-21
iptables -t filter -A FORWARD -d 192.168.0.105 -p TCP --dport 20:21 -j ACCEPT
iptables -t nat -A PREROUTING -i $INET -p TCP --dport 10000:10500 -j DNAT --to-destination 192.168.0.105:10000-10500
iptables -t filter -A FORWARD -p TCP --dport 10000:10500 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Порты из локалки, в т.ч. WebMin
iptables -A INPUT -s $NET_NET -p TCP -d $LANIP -m multiport --dport 22,1080,80,443,555,2025,3025,4025,5025,2110,3110,4110,5110,8080,10000 -j ACCEPT
iptables -A INPUT -s $NET_NET -p TCP -d $LANIP -m multiport --dport 8082,9875 -j ACCEPT
#Оба офиса друг другу любые пакеты
iptables -A FORWARD -p ALL -j ACCEPT
#Чтоб все ходило
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s $LANIP -i lo -j ACCEPT
iptables -A INPUT -p ALL -s $INETIP -i lo -j ACCEPT
iptables -A OUTPUT -p ALL -d 127.0.0.1 -o lo -j ACCEPT
iptables -A OUTPUT -p ALL -s $LANIP -j ACCEPT
iptables -A OUTPUT -p ALL -s $INETIP -j ACCEPT
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
#Провайдеру TTL
#iptables -t mangle -A PREROUTING -i $INET -j TTL --ttl-set 64
#Включаем ip НАТ
iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP
echo "1" > /proc/sys/net/ipv4/ip_forward
|
Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 13:02 15-08-2012 | Исправлено: Small_green_yojik, 13:03 15-08-2012 |
|
