Potrzebuję otworzyć porty 15060-15100 tcp na serwerze z uruchomioną usługą dhcp. Poznaję dopiero dokumentację iptables, mam plik konfiguracyjny po poprzednim administratorze. Czy Ktoś może mi podpowiedzieć jak to zrobić?
Kod: Zaznacz cały
#!/bin/sh
# globalne
IPT=/sbin/iptables
# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# modul ipt_conntrack_ftp do dzialania FTP w sieci
/sbin/modprobe ip_conntrack_ftp
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -X
iptables -t mangle -F
iptables -t filter -X
iptables -t filter -F
echo "Konfiguracja firewalla rozpoczeta"
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# polaczenia nawiazane
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Odrzucanie pakietow ze złymi pakietami
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
# ustawiamy zmienne potrzebne firewallowi
DNS1=212.72.34.44
DNS2=212.72.34.45
# pelny ruch na interfejsie lo (potrzebne do dzialania wielu lokalnych uslug)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d $DNS2 -p udp --dport 53 -j ACCEPT
# dodana regula do odrzucania udp poza 53
iptables -A INPUT -p udp --dport 1:52 -j DROP
# www do blokady
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT
############################################
# udostepnienie internetu w sieci lokalnej #
############################################
S0=192.168.50.1/24 # siec 1
# Siec 0 - S0
iptables -t nat -A POSTROUTING -s $S0 -j MASQUERADE
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 123 -j ACCEPT
#iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 110 -j ACCEPT
#iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 6667 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 5001 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 32001 -j ACCEPT
# nowy wpis dla dns
iptables -A OUTPUT -d 212.72.34.44 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A OUTPUT -d 212.72.34.45 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A OUTPUT -d 194.204.159.1 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A OUTPUT -d 194.204.159.1 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 212.72.34.44 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 212.72.34.45 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 194.204.159.51 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 194.204.159.51 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -j DROP
echo "Konfiguracja firewalla zakonczona"
