Доброго времени суток никак не могу решить проблему у себя в сети. Есть шлюз под управлением ubuntu 10.04, настроил прозрачный прокси сервер и проброс портов. Проблема в том что народ в последнее время стал сидеть на торентах, подскажите команду как заблокировать все порты и оставить только нужные. Попробовал настроить но почему то при этом варианте https не работает(
*filter
:INPUT DROP #запрещаем все входящие подключения
:FORWARD DROP #запрещаем все перенаправления через NAT
:OUTPUT ACCEPT
#для большей секьюрности:
-A INPUT ! -i lo -m addrtype --src-type LOCAL -j DROP
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #пропускаем установленные соединения
-A FORWARD -i eth0 -p tcp -m state --state NEW -m tcp -m multiport --dports 80,8080,5900,443 -j ACCEPT #разрешаем подключения на необходимые порты
-A INPUT -i lo -j ACCEPT # разрешаем локальные подключения
-A INPUT -i eth1 -j ACCEPT# разрешаем все подключения из локалки
COMMIT
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination x.x.x.x(ip локалки):80
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination x.x.x.x(ip локалки):80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination x.x.x.x(ip локалки):5900
-A POSTROUTING -o eth0 -j SNAT --to-source внешний ip
COMMIT