Правила iptables

[Onizu]

Доброго времени суток.

Заранее прошу отнестись с понимаем так как тока начал вникать. Потому и хочется что бы знающие со своей стороны глянули и направили

Имеется шлюз на ubuntu. Два сетевых интерфейса enp1s0(локальная сеть 10.10.1.0/24, IP 10.10.1.1) и enp3s1(интернет идет с роутера 192.168.0.0/24, IP 192.168.0.100 GW 192.168.0.1 DNS 192.168.0.1). Настроен Squid (не прозрачный на 3128). Все больше на нем пока ничего нету.

Задача: С помощью iptables ограничить доступ в интернет оборудования и ПК и пропустить только спец. оборудование (там нет настроек dns и всё бегает на конкретный IP. Тип протокола, порты и адреса не известны и могут меняться в зависимости от настроек прошивки).

Теперь по iptables. В принципе все работает как и задумалось, но хотелось бы услышать мнение со стороны.

Вот правила:

(Нажмите, чтобы показать/скрыть)

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i enp1s0 -o enp3s1  -j ACCEPT
#разрешаем свободно бегать этим IP на прямую
iptables -t nat -A POSTROUTING -o enp3s1 -s 10.10.1.100 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp3s1 -s 10.10.1.101 -j MASQUERADE

iptables -A FORWARD -i enp3s1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i enp3s1 -o enp1s0 -j REJECT

iptables -A INPUT -i enp1s0 -s 10.89.1.0/24 -p icmp -j ACCEPT
iptables -A OUTPUT -i enp1s0 -d 10.89.1.0/24 -p icmp -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Доступ к Squid
iptables -A INPUT -p tcp -i enp1s0 --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp -i enp1s0 --dport 3128 -j ACCEPT

iptables -A OUTPUT -p tcp -o enp3s1 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o enp3s1 --dport 443 -j ACCEPT

iptables -A OUTPUT -p tcp -o enp3s1 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -o enp3s1 --dport 53 -j ACCEPT

#Все рубим.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Да порты выхода ограничены 80,443 и 53 (для DNS)

Заранее признателен за понимание и мнения.

Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла. Длинные гиперссылки следует оформлять при помощи тега [url=]...[/url]

  --Aleksandru

[fisher74]

Порядок не правильный:
1. сначала организовываем защиту, потом разрешаем форвардинг как таковой
2. все глобальные запреты выставляем первыми, потом начинаем раздавать разрешения.
Глубже не смотрел, так как скрипты анализировать лень. К тому, кроме этого скрипта, правила могут добавить и другие.
Хотите реальную помощь - показывайте результирующие правила.
sudo iptables-save