IPTABLES оцените правила

[kbu]

Уважаемое комюнити,возникла необходимость сделать сервак с такой начинкой DNS, DHCP, PPTP, POSTFIX, NTP, SQUID...написал правила,но хотелось бы чтобы на них посмотрели свежим взглядом и сказали что не так в них и как лучше сделать...может где-то улучшить защиту...
И вопросик такой..перечитал много форумов,но почему-то так и не понял как правильно завернуть интернет через SQUID...подскажите пожалуйста...

вот мои правила:

(Нажмите, чтобы показать/скрыть)

# Ustanavlivaem pravila po umol4aniu
    $IPT -P INPUT DROP
    $IPT -P FORWARD ACCEPT
    $IPT -P OUTPUT DROP
   
    # Razrewaem vse dlya loopback
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT
    $IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
   
    # Razrewaem vse dlya ppp
    $IPT -A INPUT -i ppp0 -j ACCEPT
    $IPT -A OUTPUT -o ppp0 -j ACCEPT
   
    # Razrewaem GRE
    $IPT -A INPUT -p gre -i $INET_IFACE -j ACCEPT
    $IPT -A OUTPUT -p gre -o $INET_IFACE -j ACCEPT
   
    # Razrewaem pptp
    $IPT -A INPUT -p tcp -m tcp -i INET_IFACE --dport 1723 -j ACCEPT
   
    # Razrewaem adresu s pptp rabotat
    $IPT -A INPUT -p tcp -m tcp -s 172.16.0.10 -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -d 172.16.0.10 -j ACCEPT
   
    # Vklu4aem NAT
    $IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
   
    # Razrewaem vse dlya LAN
    $IPT -A INPUT -p tcp -m tcp -i $LAN_IFACE -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -j ACCEPT
   
    # Razrewaem paketi s ustanovivwimsya soedineniem
    $IPT -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
   
    # Razrewaem smtp
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 25 -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 25 -j ACCEPT
   
    # Razrewaem ftp
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 21 -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 21 -j ACCEPT
   
    # Zaprewaem pop3 s ineta
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport -j DROP
   
    # Razrewaem ssh na 22
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 22150 -j ACCEPT
    $IPT -A OUTPUT  -p tcp -m tcp  -o $INET_IFACE --sport 22150 -j ACCEPT
    # Razrewaem klientbank
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 60000 -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 60000 -j ACCEPT
   
    # Razrewaem DNS
    $IPT -A INPUT -p udp -m udp -i $INET_IFACE --sport 53 -j ACCEPT
    $IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53 -j ACCEPT
   
    # Razrewaem HTTP
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 80 -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 80 -j ACCEPT
   
    # Razrewaem NTP
    $IPT -A INPUT -p udp -i $INET_IFACE --sport 123 -j ACCEPT
   
    # Razrewaem HTTPS
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 443 -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --sport 443 -j ACCEPT
   
    # Razrewaem ICMP i zaprewaem
    $IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT

[AnrDaemon]

iptables-save показывайте. Мы вам не онлайн-интерпретаторы скриптов.

[kbu]

сори...

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Tue Aug 23 16:50:09 2011
*nat
:PREROUTING ACCEPT [10041:447486]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [11:766]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 23 16:50:09 2011
# Generated by iptables-save v1.4.10 on Tue Aug 23 16:50:09 2011
*filter
:INPUT DROP [10040:447522]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [3:228]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i INET_IFACE -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -s 172.16.0.10/32 -p tcp -m tcp -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22150 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 60000 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o eth0 -p gre -j ACCEPT
-A OUTPUT -d 172.16.0.10/32 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 60000 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT

[fisher74]

Одно только 16-ти кратное повторение маскарадинга говорит о том, что Вы в результирующие правила даже не заглядывали. А заглянув, игнорировали и решили, что за Вас будут думать.

[kbu]

Я просто не понимаю откуда оно взялось.....

[fisher74]

Из многократного запуска скрипта во время его тестирования, а значит в скрипте упущена очистка всех правил.
Беглый просмотр правил показал сразу необычный подход к защите: запретить всё входящее и исходящее, совершенно наплевав на проходящее.
Дефолтный запрет исходящего траффика требует внимательнейшего подхода к разрешающим правилам и почти всегда ведёт к ошибкам

[kbu]

Вот за комментарий по делу-спасибо!

[kbu]

А как на счет вот таких поправок?

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Tue Aug 23 21:37:14 2011
*nat
:PREROUTING ACCEPT [2:640]
:INPUT ACCEPT [2:640]
:OUTPUT ACCEPT [142:10107]
:POSTROUTING ACCEPT [3:173]
-A PREROUTING ! -d 192.168.110.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 23 21:37:14 2011
# Generated by iptables-save v1.4.10 on Tue Aug 23 21:37:14 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [48:3648]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i INET_IFACE -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -s 172.16.0.10/32 -p tcp -m tcp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22150 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 60000 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.110.0/24 -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o eth0 -p gre -j ACCEPT
-A OUTPUT -d 172.16.0.10/32 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22150 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 60000 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Tue Aug 23 21:37:14 2011

[fisher74]

Хе... А вот поясните ещё, какой скрытый смысл в

:INPUT DROP [10040:447522]
:OUTPUT DROP [3:228]

если

-A INPUT -i ppp0 -j ACCEPT

Просто непонятно от кого Вы строите защиту, если пускаете весь дикий интернет правилом в первых же рядах?

Зато своих же подопечных пускаете только в локалку

-A FORWARD -s 192.168.110.0/24 -o eth0 -j ACCEPT

[kbu]

Хорошо...подскажите пожалуйста как тогда надо сделать правильно?

[fisher74]

1. Не страдать параноей запретив только INPUT и FORWARD, как минимум в начале настройки. OUTPUT - тогда, когда будете понимать защиту в целом
2. Разрешить служебный траффик локальной петли и пакеты установленных соединений
3. Разрешить работу pptp на интерфейсе, обращённому к провайдеру (как я понимаю, в Вашем случае - eth0)
4. Если на шлюз выполняет ещё и функции сервера, то разрешить входящие соединения. Здесь нужно понимать. что можно (или нужно) разрешить пользоваться этими сервисами как своим локальным пользователям, так и локальным пользователям сети провайдера (если таковой траффик открыт провайдером), там и всему интернету
5. Замутить прозрачность прокси-сервера
6. Разрешить избранный проходящий траффик от своих подопечных (подопечного)...
.....
Почти вкратце

[kbu]

спасибо за план действий:)
буду пытаться писать!

вот когда комментарии по делу,то аж в радость! *бииир*

[kbu]

Подскажите пожалуйста, а как реализовать

3. Разрешить работу pptp на интерфейсе, обращённому к провайдеру (как я понимаю, в Вашем случае - eth0)

[fisher74]

Примерно так.

Код: [Выделить]

sudo iptables -A INPUT  -p tcp -i eth0 -s $IP_SRV --dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT  -p gre -i eth0 -s $IP_SRV -j ACCEPT
А, вообще, гугл пестрит решением этого вопроса.

[kbu]

Очень признателен за подсказку!спасибо большое!