Polskie Forum Użytkowników Debiana

Kod: Zaznacz cały

#!/bin/sh
# globalne
IPT=/sbin/iptables
# wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward

# modul ipt_conntrack_ftp do dzialania FTP w sieci
/sbin/modprobe ip_conntrack_ftp

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -X
iptables -t mangle -F
iptables -t filter -X
iptables -t filter -F

echo "Konfiguracja firewalla rozpoczeta"

# ustawienie polityki dzialania
iptables -P INPUT DROP 
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


# polaczenia nawiazane
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Odrzucanie pakietow ze złymi pakietami
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
# ustawiamy zmienne potrzebne firewallowi

DNS1=212.72.34.44
DNS2=212.72.34.45

# pelny ruch na interfejsie lo (potrzebne do dzialania wielu lokalnych uslug)
iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d $DNS2 -p udp --dport 53 -j ACCEPT
# dodana regula do odrzucania udp poza 53

iptables -A INPUT -p udp --dport 1:52 -j DROP

# www do blokady
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT


############################################
# udostepnienie internetu w sieci lokalnej #
############################################

S0=192.168.50.1/24 # siec 1

# Siec 0 - S0
iptables -t nat -A POSTROUTING -s $S0 -j MASQUERADE
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 123 -j ACCEPT
#iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 110 -j ACCEPT
#iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 6667 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 5001 -j ACCEPT
iptables -A FORWARD -s $S0 -d 0/0 -p tcp --dport 32001 -j ACCEPT

# nowy wpis dla dns
iptables -A OUTPUT -d 212.72.34.44 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A OUTPUT -d 212.72.34.45 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A OUTPUT -d 194.204.159.1 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A OUTPUT -d 194.204.159.1 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 212.72.34.44 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 212.72.34.45 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 194.204.159.51 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT
iptables -A FORWARD -d 194.204.159.51 -m state --state NEW -p tcp --dport 53 -o eth0 -j ACCEPT

iptables -A FORWARD -j DROP

echo "Konfiguracja firewalla zakonczona"

Kod: Zaznacz cały

/sbin/iptables -A INPUT -p tcp --match multiport --dports 80,22,53 -j ACCEPT

Kod: Zaznacz cały

/sbin/iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --dport 15060:15100 -j ACCEPT