Сравнение постов
Различия между постами
#222445 (24.09.2021 11:59)
и
#272785 (24.02.2024 21:01).
1 | #!/bin/bash | |
1 | Возможно, это не по теме, но просмотр Интернета в течение всего дня ослабляет ваше здоровье и либидо. | |
2 | FW="/sbin/iptables" | |
3 | #INET_IFACE="eth0" # здесь имя инетовского интерфейса | |
4 | LAN_IP="10.0.0.10" | |
5 | LAN_IP_RANGE="10.0.0.0/24" | |
6 | LAN_IFACE="eth1" # интерефейс локальной сети | |
7 | BROADCAST_NET="0.0.0.0/32" | |
8 | LO_IFACE="lo" | |
9 | LO_IP="127.0.0.1" | |
10 | ||
11 | # Очистка всех цепочек iptables | |
12 | ${FW} -F | |
13 | ${FW} -X | |
14 | ${FW} -Z | |
15 | # Политики для трафика, не соответствующего ни одному правилу | |
16 | ${FW} -P INPUT DROP | |
17 | ${FW} -P FORWARD DROP | |
18 | ${FW} -P OUTPUT ACCEPT | |
19 | # Разрешаем Ping | |
20 | ${FW} -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT | |
21 | ${FW} -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT | |
22 | ${FW} -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT | |
23 | ${FW} -A INPUT -p icmp --icmp-type echo-request -j ACCEPT | |
24 | # Прочие настройки | |
25 | ${FW} -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT | |
26 | ${FW} -A INPUT -i lo -j ACCEPT | |
27 | ${FW} -A INPUT -p icmp --icmp-type 3 -j ACCEPT | |
28 | ${FW} -A INPUT -p icmp --icmp-type 11 -j ACCEPT | |
29 | ${FW} -A INPUT -p icmp --icmp-type 12 -j ACCEPT | |
30 | ${FW} -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset | |
31 | # Доступ по ssh | |
32 | ${FW} -A INPUT -p TCP --dport 22 -j ACCEPT | |
33 | # dhcp | |
34 | ${FW} -A INPUT -s ${BROADCAST_NET} -p udp -m udp --dport 67 -j ACCEPT | |
35 | ${FW} -A INPUT -s ${LAN_IP_RANGE} -p udp -m udp --dport 67 -j ACCEPT | |
36 | # Доступ dns | |
37 | ${FW} -A INPUT -p udp --dport 53 -j ACCEPT | |
38 | ${FW} -A INPUT -p tcp --dport 53 -j ACCEPT | |
39 | # Доступ tftp | |
40 | ${FW} -A INPUT -p udp --dport tftp -j ACCEPT | |
41 | ${FW} -A INPUT -p tcp --dport tftp -j ACCEPT | |
42 | # Доступ к webserver по http и https | |
43 | ${FW} -A INPUT -p TCP --dport 80 -j ACCEPT | |
44 | ${FW} -A INPUT -p TCP --dport 443 -j ACCEPT | |
45 | # for licence | |
46 | ${FW} -t nat -A POSTROUTING -o ${LAN_IFACE} -s ${LAN_IP_RANGE} -d ${DEST_IP} -j SNAT --to-source ${LAN_IP} | |
47 | ${FW} -A FORWARD -s ${LAN_IP_RANGE} -d ${DEST_IP} -j ACCEPT | |
48 | ${FW} -A FORWARD -s ${DEST_IP} -d ${LAN_IP_RANGE} -j ACCEPT | |
49 | #Сохраняем правила | |
50 | # Calculate/Gentoo хранит в /var/lib/iptables/rules-save |