Forum Debian Users Gang

saiqard · 2010-04-23 09:09:43

Co sądzicie o skonfigurowanym przeze mnie skrypcie iptables?
Trzeba w nim coś zmienić, dodać?

Ogólna zasada jaką przyjąłem: blokujemy wszystko a następnie otwieramy to co potrzebne.

Oto skrypt:

Kod:

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

ip_wan=79.xxx.xxx.xxx
wan=eth0
lan=eth1

#ladujemy moduly dla ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp 

#usuniecie wszystkich regol filtra i czyszczenie tablic
iptables -F
iptables -F -t nat
iptables -F -t mangle

#domyslnie przepuszczamy wszystko
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#dopuszczamy to, co zostalo juz nawiazane
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#dopuszczamy pingi
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT  
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#dopuszczamy prace na interfejsie lokalnym
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
####################################################################regoly ogolne dla serwera############

#odrzucenie uszkodzonych pakietów
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP

#ograniczenie ilosci pakietow SYN, ACK, FIN, RST do 1 na sekunt
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

####################################################################regoly dla serwera###################

#dns(53)
iptables -I OUTPUT -o $wan -d 194.204.159.1/32 -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -o $wan -d 194.204.159.1/32 -p tcp --dport 53 -j ACCEPT
iptables -I OUTPUT -o $wan -d 194.204.152.34/32 -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -o $wan -d 194.204.152.34/32 -p tcp --dport 53 -j ACCEPT

#ntp(123)
iptables -I OUTPUT -o $wan -p udp -s $ip_wan -d 213.222.193.35 --dport 123 --sport 123 -j ACCEPT
iptables -I OUTPUT -o $wan -p udp -s $ip_wan -d 195.162.25.137 --dport 123 --sport 123 -j ACCEPT
iptables -I OUTPUT -o $wan -p udp -s $ip_wan -d 194.29.130.252 --dport 123 --sport 123 -j ACCEPT
iptables -I OUTPUT -o $wan -p udp -s $ip_wan -d 149.156.44.126 --dport 123 --sport 123 -j ACCEPT

#odblokowanie ssh(22)
iptables -I INPUT -i $wan -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -i $wan -p tcp --dport 22 -m state --state NEW -j LOG

iptables -I INPUT -i $lan -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -i $lan -p tcp --dport 22 -m state --state NEW -j LOG

#http(80)(aktualizacje i praca squida)
iptables -I OUTPUT -o $wan -p tcp -s $ip_wan --dport 80 -j ACCEPT


##########################################################regoly dla lan###################

#SQUID(80-->3128)
iptables -A INPUT -i br0 -p tcp --src 10.0.0.0/8 --dport 3128 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/8 -d ! 10.0.0.0/8 --dport 80 -j DNAT --to-destination 10.0.5.1:3128

#www(80,443)
#iptables -A FORWARD -m physdev --physdev-in $lan_wew -o $wan -p tcp -s 10.0.0.0/8 --dport 80 -j ACCEPT #przechodzi na port 3128
iptables -A FORWARD -m physdev --physdev-in $lan_wew -o $wan -p tcp -s 10.0.0.0/8 --dport 443 -j ACCEPT

#DNS(53)
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 -d 194.204.159.1/32 --dport 53 -j ACCEPT
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 -d 194.204.152.34/32 --dport 53 -j ACCEPT
iptables -A FORWARD -o $wan -p udp -s 10.0.0.0/8 -d 194.204.159.1/32 --dport 53 -j ACCEPT
iptables -A FORWARD -o $wan -p udp -s 10.0.0.0/8 -d 194.204.152.34/32 --dport 53 -j ACCEPT

#odblokowanie ssh(22)
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -m state --state NEW -j LOG

#SMTP+POP3+POP3SSH(25,110,,587,995)
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 25 -j ACCEPT
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 110 -j ACCEPT
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 587 -j ACCEPT
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 995 -j ACCEPT

#RDP(3389)
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 3389 -j ACCEPT

#VNC(5900)
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 5900 -j ACCEPT

#FTP(20,21)
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 --dport 20:21 -j ACCEPT

#GG(8074)
iptables -A FORWARD -o $wan -p tcp -s 10.0.0.0/8 -d 217.17.41.80-217.17.41.95/0 --dport 8074 -j ACCEPT

#VoIP(4569)
iptables -A FORWARD -o $wan -p udp -s 10.0.0.0/8 --dport 4569 -j ACCEPT

#maskowanie
iptables -t nat -A POSTROUTING -p all -s 10.0.0.0/8 -d ! 10.0.0.0/8 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 10.0.0.0/8 -d ! 10.0.0.0/8 -j SNAT --to-source $ip_wan

Ostatnio edytowany przez saiqard (2010-04-23 11:00:23)

keddie · 2010-04-23 10:52:44

Czasem nie powinieneś zamienić maski z /0 na /32 żeby ograniczyć zakres do jednego hosta?

Kod:

194.204.159.1/0

na

Kod:

194.204.159.1/32

itd...

saiqard · 2010-04-23 11:00:51

keddie napisał(-a):
Czasem nie powinieneś zamienić maski z /0 na /32 żeby ograniczyć zakres do jednego hosta?
Kod:
194.204.159.1/0
na
Kod:
194.204.159.1/32
itd...

Racja:)
Już poprawiłem
wielkie dzięki

Forum Debian Users Gang

Ogłoszenie

#1 2010-04-23 09:09:43

saiqard - Użytkownik

konfiguracja iptables

Kod:

#2 2010-04-23 10:52:44

keddie - Użytkownik

Re: konfiguracja iptables

Kod:

Kod:

#3 2010-04-23 11:00:51

saiqard - Użytkownik

Re: konfiguracja iptables

keddie napisał(-a):

Kod:

Kod:

Stopka forum