Пост #222444 |
сохранен 24.09.2021 11:57
- Редактировать пост
- Печать
- Скачать
- Сравнить с первичным постом
- Перейти к первичному посту
- Посты-ответы на этот пост: # 222445 # 278823
- Посмотреть дерево постов
-
Сравнить с постом
#
Текст поста
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 | #!/bin/bash #INET_IFACE="eth0" # здесь имя инетовского интерфейса LAN_IP="10.0.0.10" LAN_IP_RANGE="10.0.0.0/24" LAN_IFACE="eth1" # интерефейс локальной сети LO_IFACE="lo" LO_IP="127.0.0.1" # Очистка всех цепочек iptables iptables -F iptables -X iptables -Z # Политики для трафика, не соответствующего ни одному правилу iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Разрешаем Ping iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Прочие настройки iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT iptables -A INPUT -p tcp --syn --dport 113 -j REJECT --reject-with tcp-reset # Доступ по ssh iptables -A INPUT -p TCP --dport 22 -j ACCEPT # dhcp iptables -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport 67:68 -j ACCEPT iptables -A INPUT -s $LAN_IP_RANGE -p udp -m udp --dport 67 -j ACCEPT # Доступ dns iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT # Доступ tftp iptables -A INPUT -p udp --dport tftp -j ACCEPT iptables -A INPUT -p tcp --dport tftp -j ACCEPT # Доступ к webserver по http и https iptables -A INPUT -p TCP --dport 80 -j ACCEPT iptables -A INPUT -p TCP --dport 443 -j ACCEPT # for licence ${FW} -t nat -A POSTROUTING -o ${LAN_IFACE} -s ${LAN_IP_RANGE} -d ${DEST_IP} -j SNAT --to-source ${LAN_IP} ${FW} -A FORWARD -s ${LAN_IP_RANGE} -d ${DEST_IP} -j ACCEPT ${FW} -A FORWARD -s ${DEST_IP} -d ${LAN_IP_RANGE} -j ACCEPT #Сохраняем правила # Calculate/Gentoo хранит в /var/lib/iptables/rules-save rc-service iptables save |