Порт 3128
На сервере поднят почтовый сервер, VPN, SAMBA
iptables вот
#!/bin/bash
# Задаем некоторые переменные:
# Переменная, задающая путь к файлу запуска iptables.
IPT="/sbin/iptables"
# Ваш сетевой интерфейс. Это нужно, чтобы не писать в правилах одно и тоже.
INET_IFACE="eth0"
LAN_IP_RANGE="192.168.1.0/24"
#iptables -t nat -F
#iptables -F
#iptables -X
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -F
iptables -F
iptables -X
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
#Отбрасывать все пакеты, которые не могут быть идентифицированы
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#Приволит к связыванию системных ресурсов так, что реальный обмен данными становится невозможным
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#Службы, использующие UDP, очень часто становятся мишенью для атак с целью вывода системы из строя
iptables -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
iptables -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
iptables -A INPUT -p UDP -j RETURN
iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT
#ICMP - перенаправление
#ICMP - сообщение указываетсистеме изменить содержимое таблиц маршрутизации с тем, чтобы направлять
#пакеты по более короткому маршруту. Может быть исплоьзовано взломщиком для перенаправления трафика
#через свою машину
iptables -A INPUT --fragment -p ICMP -j DROP
iptables -A OUTPUT --fragment -p ICMP -j DROP
#Разрешаем себе пинг наружу, нас же не пинговать пакеты отбрасывать
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
#Перенапрваить пакеты в локальную сеть
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
#iptables -A INPUT -i ALL -p tcp -m tcp --dport 22 -j ACCEPT
#iptables -A INPUT -i ALL -p icmp -j ACCEPT
#iptables -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 -j ACCEPT
iptables -A INPUT --proto tcp --dport 22 -j ACCEPT
iptables -A INPUT --proto tcp --dport 1723 -j ACCEPT
#iptables -A INPUT --proto tcp --dport 25 -j ACCEPT
#iptables -A INPUT --proto tcp --dport 110 -j ACCEPT
#iptables -A INPUT --proto tcp --dport 25 -j DROP
#iptables -A INPUT --protocol tcp --dport 80 -s $LAN_IP_RANGE -j DROP
iptables -A INPUT --protocol tcp -i eth0 --dport 80 -j DROP
iptables -A INPUT --protocol tcp -i eth0 --dport 8080 -j DROP
iptables -A INPUT --protocol tcp -i eth0 --dport 81 -j DROP
#iptables -A INPUT --protocol tcp -i eth0 --dport 21 -j DROP
iptables -A INPUT --protocol tcp -i eth0 --dport 143 -j DROP
#iptables -A INPUT --protocol tcp --dport 3128 -s 0.0.0.0/0 -j DROP
iptables -A INPUT --protocol tcp -i eth0 --dport 3128 -j DROP
echo vpn firewall loaded OK.
Еще поднят сервер Apache, но чтобы web-страница была доступанв только из внутренней сети, прописана строка
iptables -A INPUT --protocol tcp -i eth0 --dport 80 -j DROP
Тема: Мимо прокси (Прочитано 2999 раз)
