настройка iptables для сервера

[allegator]

Спасибо огромное. И последний вопрос как создать с крип с нуля и куда его надо положить чтобы правило Iptables не сбрасывались.

[Yuriy_Y]

Код: [Выделить]

sudo nano /etc/network/if-ip.d/имя_скрипта_с_правилами

Код: [Выделить]

sudo chmod +x /etc/network/if-ip.d/имя_скрипта_с_правилами
При следующей загрузке скрипт выполнится и применит правила.

[saymon21root]

Код: [Выделить]

sudo nano /etc/network/if-ip.d/имя_скрипта_с_правилами

Код: [Выделить]

sudo chmod +x /etc/network/if-ip.d/имя_скрипта_с_правилами
При следующей загрузке скрипт выполнится и применит правила.

А не в /etc/network/if-pre-up.d ли? 

[Yuriy_Y]

Йошкин кот, и никто не поправил. 

/etc/network/if-up.d конечно. Потому как интерфейсы сначала подняться должны, а потом правила для них уже прописываться.

[fisher74]

Глупость.
Смотрите: в системе eth3 даже и не пахнет, а правило добавляется

~$ ifconfig -a eth3
eth3: error fetching interface information: Устройство не обнаружено
~$ sudo iptables -A INPUT -i eth3 -j DROP
~$ sudo iptables -nvL INPUT
Chain INPUT (policy ACCEPT 33 packets, 3861 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  eth3   *       0.0.0.0/0            0.0.0.0/0

[Yuriy_Y]

Глупость.
Смотрите: в системе eth3 даже и не пахнет, а правило добавляется

Хорошо, скажи как сделать по-умному. Глупый вариант у меня на трёх шлюзах уже пашет.

[fisher74]

Глупость не то, как Вы сделали, а то, что

Потому как интерфейсы сначала подняться должны, а потом правила для них уже прописываться.

[Yuriy_Y]

Глупость не то, как Вы сделали,

Значит я сделал правильно. Что не может не радовать. 

[fisher74]

На самом деле denis32дело сказал.
Поднятие правил в pre-up-период интерфейса мне кажется правильней.
Допустим тот же дроппинг всех "неправильных" пакетов. В Вашем случае будет временной диапазон, когда интерфейс будет уже поднят, а правила ещё не подгружены. Пусть он мизерный, но он будет.

[allegator]

Спасибо!!! с эти разобрались а как скрип написать? Может пример есть?

[Yuriy_Y]

Так чо? Разобрался? Иль дать пример своего скрипта?

[allegator]

буду очень признателен за пример скрипта ))))

[Yuriy_Y]

Не вопрос.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#
# eth0 - локальная сеть, eth1 - внешний интерфейс
#
# удалить все действующие правила
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешить соединения, которые инициированы изнутри (eth0)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешить доступ из LAN-сети к внешним сетям
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# Разрешить доступ по shh на шлюз
iptables -A INPUT -p TCP --dport 22 -i eth1 -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -i eth0 -j ACCEPT

# Пробросить порты
#       RDP на виндовый сервер
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth1 -j DNAT --to <ИП адрес>
#       Обновление NOD32 из внешки
iptables -t nat -A PREROUTING -p tcp --dport 2221 -i eth1 -j DNAT --to <ИП адрес>

#       VNC на компьютер бухгалтера
iptables -t nat -A PREROUTING -p tcp --dport 5800 -i eth1 -j DNAT --to <ИП адрес>
iptables -t nat -A PREROUTING -p tcp --dport 5900 -i eth1 -j DNAT --to <ИП адрес>

#       проброс порта 8888 на веб порт локальной машины
iptables -t nat -A PREROUTING -p tcp --dport 8888 -i eth1 -j DNAT --to <ИП адрес>:80

# ssh на сервер временный
iptables -t nat -A PREROUTING -p tcp --dport 7722 -i eth1 -j DNAT --to <ИП адрес>:22

# Masquerade.
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Прозрачный прокси
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

# Запретить forward извне во внутреннюю сеть
#iptables -A FORWARD -i eth1 -o eth1 -j REJECT
#iptables -A FORWARD -i eth1 -o eth1 -j DROP


# Включить forward
echo 1 > /proc/sys/net/ipv4/ip_forward

2All: Критика принимается только конструктивная. 

[saymon21root]

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh

IPTABLES="/sbin/iptables"
external="eth1"
BLOCKDB="/srv/.ip-all.blocked"
$IPTABLES -F
$IPTABLES -X
# C себя разрешаем всё
$IPTABLES -A OUTPUT  -m state --state NEW  -j ACCEPT
# Разрешаем доступ по интерфесу обратной петли
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Позволяем входящие и исходящие соединения, инициированные уже установленными соединениями
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Редирект с 411 на 4111 порты
$IPTABLES -t nat -A PREROUTING -i $external -p tcp --dport 411 -j REDIRECT --to-ports 4111
######################################## FTP ########################################
$IPTABLES -A INPUT -p tcp --dport 21 -m connlimit --connlimit-above 50 -j DROP
$IPTABLES -A INPUT -m conntrack --ctstate NEW -p tcp --dport 21 -m hashlimit --hashlimit-upto 5/sec --hashlimit-mode srcip --hashlimit-name ftphash -j ACCEPT
########################################  ssh ########################################
$IPTABLES -A INPUT -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP
########################################  прочее ########################################
# порт сканнеры
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP
# Дропаем все icmp
$IPTABLES -A INPUT -p icmp -j DROP
#проброс ICMP-запросов через шлюз: ping и trace
$IPTABLES -A FORWARD -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# антиспуффинг
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP
# Дропаем все с ошибками
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
########################################  WWW ########################################
# Вводим ограничения для новых подключений по WWW (не больше 50 соедининий с одного ip)
$IPTABLES -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j LOG --log-prefix "WWW: "
$IPTABLES -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
# Вводим ограничения для новых подключений по WWW (не более 5 в секунду)
$IPTABLES -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m limit --limit 5/sec --limit-burst 5 -j ACCEPT
########################################  Чёрный список ########################################
IPS=$(grep -Ev "^#" $BLOCKDB)
for i in $IPS
 do
         $IPTABLES -A INPUT -p tcp -i $external -s $i -j DROP
         $IPTABLES -A INPUT -p udp -i $external -s $i -j DROP
done

Знаю, что не есть хорошо.

[xeon_greg]

2All: Критика принимается только конструктивная

осталось только задать политики цепочек , если таковы не были заданы..