iptables - проблема со скриптом.

[Sergius`]

Всем привет!

Имеется скрипт:

(Нажмите, чтобы показать/скрыть)

#! /bin/sh

IPTABLES="/sbin/iptables"

internet="ppp0"
external="eth0"

$IPTABLES -F
$IPTABLES -X

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

$IPTABLES -A OUTPUT -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp --dport 67 --sport 68 -j ACCEPT

$IPTABLES -I INPUT -p ah -j ACCEPT
$IPTABLES -I INPUT -p esp -j ACCEPT

$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP

$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP

$IPTABLES -A INPUT -p icmp -j DROP

$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP

$IPTABLES -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

$IPTABLES -A INPUT -p udp ! -i ppp0 --dport 137:139 -j DROP
$IPTABLES -A INPUT -p udp ! -i eth0 --dport 137:139 -j DROP

$IPTABLES -A INPUT -p tcp --dport 21 -m connlimit --connlimit-above 20 -j DROP
$IPTABLES -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP
$IPTABLES -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 30 -j DROP
$IPTABLES -A INPUT -p tcp --dport 3306 -m connlimit --connlimit-above 50 -j DROP
$IPTABLES -A INPUT -p tcp --dport 411 -m connlimit --connlimit-above 40 -j DROP
$IPTABLES -A INPUT -p tcp --dport 1209 -m connlimit --connlimit-above 40 -j DROP
$IPTABLES -A INPUT -p tcp --dport 1411 -m connlimit --connlimit-above 40 -j DROP
$IPTABLES -A INPUT -p tcp --dport 11209 -m connlimit --connlimit-above 40 -j DROP
$IPTABLES -A INPUT -p tcp --dport 2710 -m connlimit --connlimit-above 50 -j DROP
$IPTABLES -A INPUT -p tcp --dport 27025 -m connlimit --connlimit-above 15 -j DROP
$IPTABLES -A INPUT -p tcp --dport 27015 -m connlimit --connlimit-above 15 -j DROP

$IPTABLES -A INPUT -p tcp --dport 21 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3306 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3306 -m conntrack --ctstate NEW -m limit --limit 30/sec --limit-burst 30 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 411 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 411 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1209 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1209 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1411 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1411 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 11209 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 11209 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 2710 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 2710 -m conntrack --ctstate NEW -m limit --limit 30/sec --limit-burst 30 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 27025 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 27025 -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 27015 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 27015 -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 10 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 3306 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 3306 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 411 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 411 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1209 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 1209 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1411 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 1411 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 11209 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 11209 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 2710 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 2710 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 27025 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 27025 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 27015 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 27015 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -m tcp -o ppp0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -o ppp0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o eth0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -o eth0 --dport 53 -j ACCEPT

Проблема заключается в том что, при использовании данного скрипта, ftp сервер не доступен никому кроме меня. Также не доступен ретрекер который висит на 2710 порту. Также не доступен игровой сервер hlds который использует 27015 порт. аналогично сервер srcds тоже не доступен висит на 27025 порту

еще перестал работать поиск и скачивание файлов при помощи DC++ клиента.
Может что-то еще дописать или поправить нужно?

[xeon_greg]

ну если не работает то конечно нужно. и показывать надо не скрипт, а то что у тебя сейчас в ядре те

Код: [Выделить]

sudo iptables-save -c

[drako]

Вы никак слили чей-то скрипт без попытки осмысления того что в нем написано. Собственно одна из Ваших проблем в этом скрипте блокирование цепочки OUTPUT.

[Sergius`]

сам скрипт, и все работает!
и не сливал я его. и он мне действительно нужен.

конкретней можно, как исправить что-бы все работало
p.s хаб, и сайт доступен, остальное нет

[drako]

Так-с, в простыне проглядел что у Вас вообще чудные правила для OUTPUT одни аннулирующие другие:

Код: [Выделить]

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT  -m state --state NEW  -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 67 --sport 68 -j ACCEPT
-A OUTPUT -d 224.0.0.1/32 -j DROP
-A OUTPUT -p tcp -m tcp -m multiport --sports 80,443 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o $internet --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp -o $internet --dport 53 -j ACCEPT
-P OUTPUT DROP Правила 2 и 3 сводят на нет последнее правило. Показывайте iptables-save, а то в простыне легко пропускаются правила.

[xeon_greg]

сам скрипт, и все работает!
и не сливал я его. и он мне действительно нужен.

конкретней можно, как исправить что-бы все работало
p.s хаб, и сайт доступен, остальное нет

естественно он работает, но только не так как вам надо

[saymon21root]

Узнаю скрипт, могу даже ссыль дать, откуда был взят. Его писал один мой знакомый
Всётаки да, лучше писать самому, а всё остальное брать за пример.

[Sergius`]

поправил скрипт так как мне нада первый пост обновил
ситуация не изменилась

sudo iptables -L -n

(Нажмите, чтобы показать/скрыть)

sergius@server:~$ sudo iptables -L -n
[sudo] password for sergius:
Chain INPUT (policy DROP)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           ctstate NEW tcp flags:!0x17/0x02
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp flags:0x3F/0x3F
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp flags:0x3F/0x00
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03
SYN_FLOOD  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 #conn/32 > 20
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 #conn/32 > 30
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 #conn/32 > 30
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 #conn/32 > 50
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:411 #conn/32 > 40
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1209 #conn/32 > 40
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1411 #conn/32 > 40
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11209 #conn/32 > 40
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2710 #conn/32 > 50
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27025 #conn/32 > 15
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27015 #conn/32 > 15
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 ctstate NEW limit: avg 10/sec burst 10
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 ctstate NEW limit: avg 20/sec burst 20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 ctstate NEW limit: avg 20/sec burst 20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 ctstate NEW limit: avg 30/sec burst 30
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:411 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:411 ctstate NEW limit: avg 20/sec burst 20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1209 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1209 ctstate NEW limit: avg 20/sec burst 20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1411 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1411 ctstate NEW limit: avg 20/sec burst 20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11209 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11209 ctstate NEW limit: avg 20/sec burst 20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2710 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2710 ctstate NEW limit: avg 30/sec burst 30
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27025 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27025 ctstate NEW limit: avg 10/sec burst 10
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27015 ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27015 ctstate NEW limit: avg 10/sec burst 10
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:411
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1209
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1411
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11209
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2710
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27025
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27015

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:411
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1209
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1411
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11209
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2710
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27025
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27015
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53

Chain SYN_FLOOD (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 2/sec burst 6
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
sergius@server:~$

sudo iptables-save -c

(Нажмите, чтобы показать/скрыть)

sergius@server:~$ sudo iptables-save -c
# Generated by iptables-save v1.4.10 on Thu Oct  6 09:55:06 2011
*filter
:INPUT DROP [44:2817]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:SYN_FLOOD - [0:0]
[0:0] -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
[0:0] -A INPUT -p esp -j ACCEPT
[0:0] -A INPUT -p ah -j ACCEPT
[173:46397] -A INPUT -i lo -j ACCEPT
[11440:9076530] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[1:349] -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A INPUT -m state --state INVALID -j DROP
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[0:0] -A INPUT -p icmp -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
[46:2380] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j SYN_FLOOD
[895:78725] -A INPUT ! -i ppp0 -p udp -m udp --dport 137:139 -j DROP
[0:0] -A INPUT ! -i eth0 -p udp -m udp --dport 137:139 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 21 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 443 -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 3306 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 411 -m connlimit --connlimit-above 40 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 1209 -m connlimit --connlimit-above 40 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 1411 -m connlimit --connlimit-above 40 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 11209 -m connlimit --connlimit-above 40 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 2710 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 27025 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 27015 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
[0:0] -A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 3306 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 3306 -m conntrack --ctstate NEW -m limit --limit 30/sec --limit-burst 30 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 411 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[12:620] -A INPUT -p tcp -m tcp --dport 411 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1209 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1209 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1411 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1411 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 11209 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 11209 -m conntrack --ctstate NEW -m limit --limit 20/sec --limit-burst 20 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 2710 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[21:1072] -A INPUT -p tcp -m tcp --dport 2710 -m conntrack --ctstate NEW -m limit --limit 30/sec --limit-burst 30 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 27025 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 27025 -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 27015 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 27015 -m conntrack --ctstate NEW -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 411 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1209 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1411 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 11209 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 2710 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 27025 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 27015 -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
[173:46397] -A OUTPUT -o lo -j ACCEPT
[11:959] -A OUTPUT -m state --state NEW -j ACCEPT
[9283:951508] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 3306 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 411 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 1209 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 1411 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 11209 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 2710 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 27025 -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --dport 27015 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -o ppp0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
[46:2380] -A SYN_FLOOD -m limit --limit 2/sec --limit-burst 6 -j RETURN
[0:0] -A SYN_FLOOD -j DROP
COMMIT
# Completed on Thu Oct  6 09:55:06 2011
sergius@server:~$

[drako]

На вскидку

Код: [Выделить]

:INPUT DROP
-A INPUT -p icmp -j DROP
-A INPUT ! -i ppp0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT ! -i eth0 -p udp -m udp --dport 137:139 -j DROP
-A INPUT -i ppp0 -j DROP
-A INPUT -i eth0 -j DROPи

Код: [Выделить]

:OUTPUT ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 411 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1209 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1411 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 11209 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 2710 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 27025 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 27015 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -o ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPTмасло масленое получается.
У Вас на сервере фтп в активном режиме работает, потому что иначе не видно правил для портов под соединения для передачи данных?

[xeon_greg]

Код: [Выделить]

[46:2380] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j SYN_FLOOD вот это твое правило и косит твое фтп и и остальное.. даже не доходя до разрешающих правил.

[Sergius`]

Код: [Выделить]

$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPTABLES -N SYN_FLOOD
$IPTABLES -A INPUT -p tcp --syn -j SYN_FLOOD
$IPTABLES -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPTABLES -A SYN_FLOOD -j DROP
значит  косяк в этом правиле да?
ну это-же антиспуфинг, как тогда поправить, что-бы все нормально было?


 drako - в иптаблесе не особо силен, чкак быть, поможеш по уму наладить?

[saymon21root]

антиспуфинг можно настроить какбы в /etc/sysctl.conf

Код: [Выделить]

sudo sysctl -w net.ipv4.conf.all.rp_filter = 1
sudo sysctl -w net.ipv4.conf.default.rp_filter = 1
sudo sysctl -w net.ipv4.conf.eth1.rp_filter = 1
sudo sysctl -p
Если я не ошибаюсь.

[xeon_greg]

при чем тут спуфинг?? это типа от син флуда, а спуфинг это совсем другое, и добавлю что засовывать себе в ядро правила, значения которых не понимаешь - чревато вот такими и подобными последствиями
Пользователь решил продолжить мысль 06 Октября 2011, 12:50:53:прибить их к едрени фени, когда разберешься что к чему, и научишься работать с iptables, тогда напишешь свои. и потом тебя что сейчас кто-то долбит?

[saymon21root]

... Охота зарание сделать всё красиво, быстро, стабильно, безопасно, но как-то не совсем хорошо может получается.
Да, я вот на своём опыте познал, не стоит читать советских газет до обеда.

[xeon_greg]

затем нафига тебе сейчас на выходе полный дроп? что нет доверия к собственному компу? из кол-ва интерфейсов я понимаю что форвард тебе вообще не нужен, вобщем учить тебе iptables надо,  а правила конечно жестокие,  столько конлимитов, это чтобы жизнь малиной не казалась, не в обиду сказано но прям садомазохизм по отношению к себе