Compare Pastes

Differences between the pastes #222436 (24.09.2021 11:18) and #222444 (24.09.2021 11:57).


FW="/sbin/iptables"





BROADCAST_NET="0.0.0.0/32"
LO_IFACE="lo"
LO_IP="127.0.0.1"

# Очистка всех цепочек iptables
${FW} -F
${FW} -X
${FW} -Z
# Политики для трафика, не соответствующего ни одному правилу
${FW} -P INPUT DROP
${FW} -P FORWARD DROP
${FW} -P OUTPUT ACCEPT
# Разрешаем Ping
${FW} -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
${FW} -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
${FW} -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
${FW} -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Прочие настройки
${FW} -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
${FW} -A INPUT -i lo -j ACCEPT
${FW} -A INPUT -p icmp --icmp-type 3 -j ACCEPT
${FW} -A INPUT -p icmp --icmp-type 11 -j ACCEPT
${FW} -A INPUT -p icmp --icmp-type 12 -j ACCEPT
${FW} -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset
# Доступ по ssh
${FW} -A INPUT -p TCP --dport 22 -j ACCEPT
# dhcp 
${FW} -A INPUT -s ${BROADCAST_NET} -p udp -m udp --dport 67 -j ACCEPT
${FW} -A INPUT -s ${LAN_IP_RANGE} -p udp -m udp --dport 67 -j ACCEPT
# Доступ dns
${FW} -A INPUT -p udp --dport 53 -j ACCEPT
${FW} -A INPUT -p tcp --dport 53 -j ACCEPT
# Доступ tftp
${FW} -A INPUT -p udp --dport tftp -j ACCEPT
${FW} -A INPUT -p tcp --dport tftp -j ACCEPT
# Доступ к webserver по http и https
${FW} -A INPUT -p TCP --dport 80 -j ACCEPT
${FW} -A INPUT -p TCP --dport 443 -j ACCEPT
#Сохраняем правила
# Calculate/Gentoo хранит в /var/lib/iptables/rules-save
LO_IFACE="lo"
LO_IP="127.0.0.1"

# Очистка всех цепочек iptables
iptables -F
iptables -X
iptables -Z
# Политики для трафика, не соответствующего ни одному правилу
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Разрешаем Ping
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Прочие настройки
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset
# Доступ по ssh
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
# dhcp 
iptables -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -s $LAN_IP_RANGE -p udp -m udp --dport 67 -j ACCEPT
# Доступ dns
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
# Доступ tftp
iptables -A INPUT -p udp --dport tftp -j ACCEPT
iptables -A INPUT -p tcp --dport tftp -j ACCEPT
# Доступ к webserver по http и https
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -p TCP --dport 443 -j ACCEPT
# for licence
${FW} -t nat -A POSTROUTING -o ${LAN_IFACE} -s ${LAN_IP_RANGE} -d ${DEST_IP}  -j SNAT --to-source ${LAN_IP}
${FW} -A FORWARD -s ${LAN_IP_RANGE} -d ${DEST_IP} -j ACCEPT
${FW} -A FORWARD -s ${DEST_IP} -d ${LAN_IP_RANGE} -j ACCEPT
#Сохраняем правила
# Calculate/Gentoo хранит в /var/lib/iptables/rules-save

1	1	#!/bin/bash
2		FW="/sbin/iptables"
	2
3	3	#INET_IFACE="eth0" # здесь имя инетовского интерфейса
4	4	LAN_IP="10.0.0.10"
5	5	LAN_IP_RANGE="10.0.0.0/24"
6	6	LAN_IFACE="eth1" # интерефейс локальной сети
7		BROADCAST_NET="0.0.0.0/32"
8		LO_IFACE="lo"
9		LO_IP="127.0.0.1"
10
11		# Очистка всех цепочек iptables
12		${FW} -F
13		${FW} -X
14		${FW} -Z
15		# Политики для трафика, не соответствующего ни одному правилу
16		${FW} -P INPUT DROP
17		${FW} -P FORWARD DROP
18		${FW} -P OUTPUT ACCEPT
19		# Разрешаем Ping
20		${FW} -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
21		${FW} -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
22		${FW} -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
23		${FW} -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
24		# Прочие настройки
25		${FW} -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
26		${FW} -A INPUT -i lo -j ACCEPT
27		${FW} -A INPUT -p icmp --icmp-type 3 -j ACCEPT
28		${FW} -A INPUT -p icmp --icmp-type 11 -j ACCEPT
29		${FW} -A INPUT -p icmp --icmp-type 12 -j ACCEPT
30		${FW} -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset
31		# Доступ по ssh
32		${FW} -A INPUT -p TCP --dport 22 -j ACCEPT
33		# dhcp
34		${FW} -A INPUT -s ${BROADCAST_NET} -p udp -m udp --dport 67 -j ACCEPT
35		${FW} -A INPUT -s ${LAN_IP_RANGE} -p udp -m udp --dport 67 -j ACCEPT
36		# Доступ dns
37		${FW} -A INPUT -p udp --dport 53 -j ACCEPT
38		${FW} -A INPUT -p tcp --dport 53 -j ACCEPT
39		# Доступ tftp
40		${FW} -A INPUT -p udp --dport tftp -j ACCEPT
41		${FW} -A INPUT -p tcp --dport tftp -j ACCEPT
42		# Доступ к webserver по http и https
43		${FW} -A INPUT -p TCP --dport 80 -j ACCEPT
44		${FW} -A INPUT -p TCP --dport 443 -j ACCEPT
45		#Сохраняем правила
46		# Calculate/Gentoo хранит в /var/lib/iptables/rules-save
	7	LO_IFACE="lo"
	8	LO_IP="127.0.0.1"
	9
	10	# Очистка всех цепочек iptables
	11	iptables -F
	12	iptables -X
	13	iptables -Z
	14	# Политики для трафика, не соответствующего ни одному правилу
	15	iptables -P INPUT DROP
	16	iptables -P FORWARD DROP
	17	iptables -P OUTPUT ACCEPT
	18	# Разрешаем Ping
	19	iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
	20	iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
	21	iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
	22	iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
	23	# Прочие настройки
	24	iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
	25	iptables -A INPUT -i lo -j ACCEPT
	26	iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
	27	iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
	28	iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
	29	iptables -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset
	30	# Доступ по ssh
	31	iptables -A INPUT -p TCP --dport 22 -j ACCEPT
	32	# dhcp
	33	iptables -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport 67:68 -j ACCEPT
	34	iptables -A INPUT -s $LAN_IP_RANGE -p udp -m udp --dport 67 -j ACCEPT
	35	# Доступ dns
	36	iptables -A INPUT -p udp --dport 53 -j ACCEPT
	37	iptables -A INPUT -p tcp --dport 53 -j ACCEPT
	38	# Доступ tftp
	39	iptables -A INPUT -p udp --dport tftp -j ACCEPT
	40	iptables -A INPUT -p tcp --dport tftp -j ACCEPT
	41	# Доступ к webserver по http и https
	42	iptables -A INPUT -p TCP --dport 80 -j ACCEPT
	43	iptables -A INPUT -p TCP --dport 443 -j ACCEPT
	44	# for licence
	45	${FW} -t nat -A POSTROUTING -o ${LAN_IFACE} -s ${LAN_IP_RANGE} -d ${DEST_IP} -j SNAT --to-source ${LAN_IP}
	46	${FW} -A FORWARD -s ${LAN_IP_RANGE} -d ${DEST_IP} -j ACCEPT
	47	${FW} -A FORWARD -s ${DEST_IP} -d ${LAN_IP_RANGE} -j ACCEPT
	48	#Сохраняем правила
	49	# Calculate/Gentoo хранит в /var/lib/iptables/rules-save