HOWTO: Iptables для новичков

[bubuntu-ru]

А зачем  должен что-то приводить :], я не дропаю  отдачу так жестоко.  А  енто, "реальный конфиг" = ентому "Такое правило можно писать, если вся система(общее понятие) раскидана на n-кол-о пк. 1 пк-сервис, и тд", тогда фаеров будет равно кол-у пк(серверов). Вариант корпоративных сетей. А вы тут в основном пишите про фаер типа "бастион". Бастион-1 фаер, 1 пк(ну пусть тоже кликается сервер)+ тьма сервисов(аля-роутер)

[alexxnight]

А зачем  должен что-то приводить :], я не дропаю  отдачу так жестоко.  А  енто, "реальный конфиг" = ентому "Такое правило можно писать, если вся система(общее понятие) раскидана на n-кол-о пк. 1 пк-сервис, и тд", тогда фаеров будет равно кол-у пк(серверов). Вариант корпоративных сетей. А вы тут в основном пишите про фаер типа "бастион". Бастион-1 фаер, 1 пк(ну пусть тоже кликается сервер)+ тьма сервисов(аля-роутер)

я Вас не понимаю...

[bubuntu-ru]

:], ладна я пасс. Не понимаете, и не надо значит.

[fisher74]

Я тоже Вас не понимаю. Вроде слова знакомые, но многое сказанное Вами не складывается в текст. Ещё раз извините

[SergeySV]

Парни нужен ваш грамотный совет
стоит сервер принимает инет и раздает на домашний пк и приставку на сервере имеется пара игровых хостов и сайт правильно ли я настроил и помогите с какой нибудь защитой от доса и засорение пакетами... а то кодеры заметил когда юзают читы повышают пинг
я пару способов пробовал но что то ничего они не помогают, закоментировал
да и еще сервер в двух локалках и инете

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh


IPT="/sbin/iptables"


iWAN="eth2"
iLAN="eth0"
iLO="lo"


WAN="10.6.бла.бла"
LAN="192.168.0.1"
LO="127.0.0.1"
XBOX_IP="192.168.0.10"


##=- Чистим все цепочки -=##
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

##=- Политики по умолчанию -=##
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

##=- Создаем дополнительные цепочки -=##
$IPT -N bad_tcp_packets
##$IPT -N allowed
$IPT -N tcp_packets
$IPT -N udp_packets
$IPT -N icmp_packets

## bad_tcp_packets ##
$IPT -A bad_tcp_packets -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG --log-level WARN --log-prefix "New not syn: "
$IPT -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP

##$IPT -A allowed -p TCP --syn -j ACCEPT
##$IPT -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
##$IPT -A allowed -p TCP -j DROP

## tcp_packets ##
$IPT -A tcp_packets -p TCP --dport 22 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 53 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 80 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 88 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 411 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 1863 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 1209 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 1411 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 4111 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 6881 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 3306 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 2074 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 3074 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 3724 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 8888 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 8885 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 8886 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 8887 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 8888 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 8900 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 27500 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 28960 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 28999 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 28910 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 29900 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 29920 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 29901 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 27041 -j ACCEPT
$IPT -A tcp_packets -p TCP -m multiport --dports 27000:27015 -j ACCEPT
$IPT -A tcp_packets -p TCP -m multiport --dports 27016:27031 -j ACCEPT
$IPT -A tcp_packets -p TCP -m multiport --dports 27032:27040 -j ACCEPT
$IPT -A tcp_packets -p TCP -m multiport --dports 27041:27050 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 9987 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 10011 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 30033 -j ACCEPT

## udp_packets ##
$IPT -A udp_packets -p UDP --dport 9987 -j ACCEPT

$IPT -A udp_packets -p UDP --dport 2074 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 3074 -j ACCEPT

$IPT -A udp_packets -p UDP --dport 3306 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 3330 -j ACCEPT

$IPT -A udp_packets -p UDP --dport 27500 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 27666 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 28000 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 28010 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 28960 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 28999 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 28910 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 29900 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 29920 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 29901 -j ACCEPT

$IPT -A udp_packets -p UDP --dport 1200 -j ACCEPT
$IPT -A udp_packets -p UDP -m multiport --dports 24300:24399 -j ACCEPT

$IPT -A udp_packets -p UDP -m multiport --dports 27000:27015 -j ACCEPT
$IPT -A udp_packets -p UDP -m multiport --dports 27016:27031 -j ACCEPT
$IPT -A udp_packets -p UDP -m multiport --dports 27032:27040 -j ACCEPT
$IPT -A udp_packets -p UDP -m multiport --dports 27041:27050 -j ACCEPT

$IPT -A udp_packets -p UDP --dport 53 -j ACCEPT
$IPT -A udp_packets -p UDP --dport 88 -j ACCEPT
$IPT -A udp_packets -p UDP -j DROP

## icmp_packets ##
$IPT -A icmp_packets -p ICMP --icmp-type 8 -j ACCEPT
$IPT -A icmp_packets -p ICMP --icmp-type 11 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT


## INPUT ##
$IPT -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p ALL -i $iLAN -j ACCEPT
$IPT -A INPUT -p ALL -i $iLO -j ACCEPT
$IPT -A INPUT -p TCP -j bad_tcp_packets
$IPT -A INPUT -p TCP -j tcp_packets
$IPT -A INPUT -p UDP -j udp_packets
$IPT -A INPUT -p ICMP -j icmp_packets

$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
#$IPT -A INPUT -p tcp -m tcp --dport 28960 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name COD4ST --hashlimit-htable-expire 60000 -j ACCEPT
#$IPT -A INPUT -p udp -m udp --dport 28960 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name COD4SU --hashlimit-htable-expire 60000 -j ACCEPT


#
# FORWARD chain
#

#
# Bad TCP packets we don't want
#
##$IPT -A FORWARD -p tcp -j bad_tcp_packets

## NAT ##
$IPT -t nat -A POSTROUTING -o $iWAN -j MASQUERADE

## xbox router NAT ##
$IPT -t nat -A PREROUTING -i $iWAN -p tcp --dport 3074 -j DNAT --to-destination $XBOX_IP
$IPT -t nat -A PREROUTING -i $iWAN -p udp -m multiport --dports 88,3074 -j DNAT --to-destination $XBOX_IP
$IPT -A FORWARD -i $iWAN -d $XBOX_IP -p tcp --dport 3074 -j ACCEPT
$IPT -A FORWARD -i $iWAN -d $XBOX_IP -p udp -m multiport --dports 88,3074 -j ACCEPT

$IPT -A FORWARD -i $iWAN -p ALL -j ACCEPT
$IPT -A FORWARD -o $iWAN -p ALL -j ACCEPT

## OUTPUT ##
##$IPT -A OUTPUT -p tcp -j bad_tcp_packets

$IPT -A OUTPUT -p ALL -o $iWAN -j ACCEPT
$IPT -A OUTPUT -p ALL -o $iLAN -j ACCEPT
$IPT -A OUTPUT -p ALL -o $iLO -j ACCEPT

$IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

#iptv#
$IPT -A FORWARD -p igmp -i eth0 -o eth1 -j ACCEPT
$IPT -A INPUT -d 224.0.0.0/240.0.0.0 -j ACCEPT
$IPT -A FORWARD -d 224.0.0.0/240.0.0.0 -j ACCEPT

[AnrDaemon]

iptables-save показывай. Мы тут не онлайн-интерпретаторы скриптов.

[SergeySV]

сори я тока познаю тонкости iptables
iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sat Apr 23 21:40:14 2011
*mangle
:PREROUTING ACCEPT [82593107:7221598159]
:INPUT ACCEPT [81611400:6484260560]
:FORWARD ACCEPT [980417:736767376]
:OUTPUT ACCEPT [45918006:18490319319]
:POSTROUTING ACCEPT [46896259:19226336016]
COMMIT
# Completed on Sat Apr 23 21:40:14 2011
# Generated by iptables-save v1.4.4 on Sat Apr 23 21:40:14 2011
*nat
:PREROUTING ACCEPT [136777:9466311]
:OUTPUT ACCEPT [96767:5917859]
:POSTROUTING ACCEPT [76734:4617052]
[0:0] -A PREROUTING -i eth2 -p tcp -m tcp --dport 3074 -j DNAT --to-destination 192.168.0.10
[0:0] -A PREROUTING -i eth2 -p udp -m multiport --dports 88,3074 -j DNAT --to-destination 192.168.0.10
[6650:492974] -A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Sat Apr 23 21:40:14 2011
# Generated by iptables-save v1.4.4 on Sat Apr 23 21:40:14 2011
*filter
:INPUT DROP [579:44321]
:FORWARD DROP [0:0]
:OUTPUT DROP [810:283333]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
[8295505:600729655] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[171:12939] -A INPUT -i eth0 -j ACCEPT
[967:58020] -A INPUT -i lo -j ACCEPT
[2670:141724] -A INPUT -p tcp -j bad_tcp_packets
[2635:139204] -A INPUT -p tcp -j tcp_packets
[2561:125587] -A INPUT -p udp -j udp_packets
[95:8961] -A INPUT -p icmp -j icmp_packets
[137:4660] -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
[131:4192] -A INPUT -d 224.0.0.0/4 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.10/32 -i eth2 -p tcp -m tcp --dport 3074 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.10/32 -i eth2 -p udp -m multiport --dports 88,3074 -j ACCEPT
[12400:4690941] -A FORWARD -i eth2 -j ACCEPT
[11626:1205153] -A FORWARD -o eth2 -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth1 -p igmp -j ACCEPT
[0:0] -A FORWARD -d 224.0.0.0/4 -j ACCEPT
[3920726:852590922] -A OUTPUT -o eth2 -j ACCEPT
[65449:10675886] -A OUTPUT -o eth0 -j ACCEPT
[79298:12461828] -A OUTPUT -o lo -j ACCEPT
[40:1952] -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
[0:0] -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[35:2520] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
[35:2520] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[78:4692] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
[17:4269] -A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
[2:120] -A tcp_packets -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 53 -j ACCEPT
[1888:100372] -A tcp_packets -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 88 -j ACCEPT
[576:29644] -A tcp_packets -p tcp -m tcp --dport 411 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1863 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1209 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1411 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 4111 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 6881 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 3306 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 2074 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 3074 -j ACCEPT
[60:3148] -A tcp_packets -p tcp -m tcp --dport 3724 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 8888 -j ACCEPT
[15:816] -A tcp_packets -p tcp -m tcp --dport 8885 -j ACCEPT
[17:848] -A tcp_packets -p tcp -m tcp --dport 8886 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 8887 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 8888 -j ACCEPT
[19:944] -A tcp_packets -p tcp -m tcp --dport 8900 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 27500 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 28960 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 28999 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 28910 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 29900 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 29920 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 29901 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 27041 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m multiport --dports 27000:27015 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m multiport --dports 27016:27031 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m multiport --dports 27032:27040 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m multiport --dports 27041:27050 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 9987 -j ACCEPT
[37:2220] -A tcp_packets -p tcp -m tcp --dport 10011 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 30033 -j ACCEPT
[4:752] -A udp_packets -p udp -m udp --dport 9987 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 2074 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 3074 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 3306 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 3330 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 27500 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 27666 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 28000 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 28010 -j ACCEPT
[1993:89008] -A udp_packets -p udp -m udp --dport 28960 -j ACCEPT
[1:43] -A udp_packets -p udp -m udp --dport 28999 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 28910 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 29900 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 29920 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 29901 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 1200 -j ACCEPT
[0:0] -A udp_packets -p udp -m multiport --dports 24300:24399 -j ACCEPT
[97:5141] -A udp_packets -p udp -m multiport --dports 27000:27015 -j ACCEPT
[41:2173] -A udp_packets -p udp -m multiport --dports 27016:27031 -j ACCEPT
[0:0] -A udp_packets -p udp -m multiport --dports 27032:27040 -j ACCEPT
[0:0] -A udp_packets -p udp -m multiport --dports 27041:27050 -j ACCEPT
[6:423] -A udp_packets -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 88 -j ACCEPT
[419:28047] -A udp_packets -p udp -j DROP
COMMIT
# Completed on Sat Apr 23 21:40:14 2011


[AnrDaemon]

А такое количество нерабочих правил - это нормально?
И почему не пользуетесь -m multiport, если вам нужны все эти правила? Читать же невозможно такие списки.

[SergeySV]

дык я и прошу помочь впервые делаю, вверху свой выложил если можно поправьте как надо.
и как вы определяете какие не работают.. !?

[AnrDaemon]

Трафика через правила нет.

[SergeySV]

это просто пару серверов игровых выключено ну и приставки xbox360 ps3, а iptables перезапускал вот и нету на многие правила трафика, но есть там конечно лишние порты открытые на всякий..

[AnrDaemon]

"На всякий" порты закрывают, а не открывают. Это так, к сведению.

[SergeySV]

послушав вас многое позакрывал

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh


IPT="/sbin/iptables"


iWAN="eth2"
iLAN="eth0"
iLO="lo"


WAN="10.6.4.231"
LAN="192.168.0.1"
LO="127.0.0.1"
XBOX_IP="192.168.0.10"


##=- Чистим все цепочки -=##
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

##=- Политики по умолчанию -=##
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

##=- Создаем дополнительные цепочки -=##
$IPT -N bad_tcp_packets
##$IPT -N allowed
$IPT -N tcp_packets
$IPT -N udp_packets
$IPT -N icmp_packets

## bad_tcp_packets ##
$IPT -A bad_tcp_packets -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG --log-level WARN --log-prefix "New not syn: "
$IPT -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP

##$IPT -A allowed -p TCP --syn -j ACCEPT
##$IPT -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
##$IPT -A allowed -p TCP -j DROP

## tcp_packets ##
$IPT -A tcp_packets -p TCP --dport 22 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 53 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 80 -j ACCEPT
#$IPT -A tcp_packets -p TCP --dport 88 -j ACCEPT

##hub dc
$IPT -A tcp_packets -p TCP -m multiport --dports 411,1209,1411,4111 -j ACCEPT

#xbox
#$IPT -A tcp_packets -p TCP --dport 1863 -j ACCEPT

$IPT -A tcp_packets -p TCP --dport 6881 -j ACCEPT
$IPT -A tcp_packets -p TCP --dport 3306 -j ACCEPT
#$IPT -A tcp_packets -p TCP --dport 2074 -j ACCEPT
#$IPT -A tcp_packets -p TCP --dport 3074 -j ACCEPT

#wow
$IPT -A tcp_packets -p TCP -m multiport --dports 3724,8885,8886,8900 -j ACCEPT

#cod
#$IPT -A tcp_packets -p TCP -m multiport --dports 28960,28999 -j ACCEPT

#steam
#$IPT -A tcp_packets -p TCP -m multiport --dports 27015,27500,27041 -j ACCEPT
#$IPT -A tcp_packets -p TCP -m multiport --dports 27000:27014 -j ACCEPT
#$IPT -A tcp_packets -p TCP -m multiport --dports 27016:27031 -j ACCEPT
#$IPT -A tcp_packets -p TCP -m multiport --dports 27032:27040 -j ACCEPT
#$IPT -A tcp_packets -p TCP -m multiport --dports 27042:27050 -j ACCEPT

#team speak 3
$IPT -A tcp_packets -p TCP -m multiport --dports 9987,10011,30033 -j ACCEPT

## udp_packets ##
#$IPT -A udp_packets -p UDP --dport 9987 -j ACCEPT

#$IPT -A udp_packets -p UDP --dport 2074 -j ACCEPT
#$IPT -A udp_packets -p UDP --dport 3074 -j ACCEPT

$IPT -A udp_packets -p UDP --dport 3306 -j ACCEPT

#$IPT -A udp_packets -p UDP --dport 3330 -j ACCEPT

#$IPT -A udp_packets -p UDP --dport 27500 -j ACCEPT
#$IPT -A udp_packets -p UDP --dport 27666 -j ACCEPT
#$IPT -A udp_packets -p UDP --dport 28000 -j ACCEPT
#$IPT -A udp_packets -p UDP --dport 28010 -j ACCEPT

#cod
$IPT -A udp_packets -p UDP -m multiport --dports 28960,28999 -j ACCEPT

#$IPT -A udp_packets -p UDP --dport 1200 -j ACCEPT
#$IPT -A udp_packets -p UDP -m multiport --dports 24300:24399 -j ACCEPT

#steam
#$IPT -A udp_packets -p UDP -m multiport --dports 27000:27015 -j ACCEPT
#$IPT -A udp_packets -p UDP -m multiport --dports 27016:27031 -j ACCEPT
#$IPT -A udp_packets -p UDP -m multiport --dports 27032:27040 -j ACCEPT
#$IPT -A udp_packets -p UDP -m multiport --dports 27041:27050 -j ACCEPT

#xbox
#$IPT -A udp_packets -p UDP --dport 53 -j ACCEPT
#$IPT -A udp_packets -p UDP --dport 88 -j ACCEPT

$IPT -A udp_packets -p UDP -j DROP

## icmp_packets ##
$IPT -A icmp_packets -p ICMP --icmp-type 8 -j ACCEPT
$IPT -A icmp_packets -p ICMP --icmp-type 11 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT


## INPUT ##
$IPT -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p ALL -i $iLAN -j ACCEPT
$IPT -A INPUT -p ALL -i $iLO -j ACCEPT
$IPT -A INPUT -p TCP -j bad_tcp_packets
$IPT -A INPUT -p TCP -j tcp_packets
$IPT -A INPUT -p UDP -j udp_packets
$IPT -A INPUT -p ICMP -j icmp_packets

$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
#$IPT -A INPUT -p tcp -m tcp --dport 28960 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name COD4ST --hashlimit-htable-expire 60000 -j ACCEPT
#$IPT -A INPUT -p udp -m udp --dport 28960 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name COD4SU --hashlimit-htable-expire 60000 -j ACCEPT


#
# FORWARD chain
#

#
# Bad TCP packets we don't want
#
##$IPT -A FORWARD -p tcp -j bad_tcp_packets

## NAT ##
$IPT -t nat -A POSTROUTING -o $iWAN -j MASQUERADE

## xbox router NAT ##
#$IPT -t nat -A PREROUTING -i $iWAN -p tcp --dport 3074 -j DNAT --to-destination $XBOX_IP
#$IPT -t nat -A PREROUTING -i $iWAN -p udp -m multiport --dports 88,3074 -j DNAT --to-destination $XBOX_IP
$IPT -A FORWARD -i $iWAN -d $XBOX_IP -p tcp --dport 3074 -j ACCEPT
$IPT -A FORWARD -i $iWAN -d $XBOX_IP -p udp -m multiport --dports 88,3074 -j ACCEPT

$IPT -A FORWARD -i $iWAN -p ALL -j ACCEPT
$IPT -A FORWARD -o $iWAN -p ALL -j ACCEPT

## OUTPUT ##
##$IPT -A OUTPUT -p tcp -j bad_tcp_packets

$IPT -A OUTPUT -p ALL -o $iWAN -j ACCEPT
$IPT -A OUTPUT -p ALL -o $iLAN -j ACCEPT
$IPT -A OUTPUT -p ALL -o $iLO -j ACCEPT

$IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

#iptv#
#$IPT -A FORWARD -p igmp -i eth0 -o eth1 -j ACCEPT
#$IPT -A INPUT -d 224.0.0.0/240.0.0.0 -j ACCEPT
#$IPT -A FORWARD -d 224.0.0.0/240.0.0.0 -j ACCEPT

и картина теперь такая

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sun Apr 24 01:45:06 2011
*mangle
:PREROUTING ACCEPT [109532817:9255102710]
:INPUT ACCEPT [108372261:8461591855]
:FORWARD ACCEPT [1159266:792940632]
:OUTPUT ACCEPT [59880562:21588732755]
:POSTROUTING ACCEPT [61037228:22380783615]
COMMIT
# Completed on Sun Apr 24 01:45:06 2011
# Generated by iptables-save v1.4.4 on Sun Apr 24 01:45:06 2011
*nat
:PREROUTING ACCEPT [165800:11376442]
:OUTPUT ACCEPT [109350:6727954]
:POSTROUTING ACCEPT [79801:4805332]
[776:71779] -A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Sun Apr 24 01:45:06 2011
# Generated by iptables-save v1.4.4 on Sun Apr 24 01:45:06 2011
*filter
:INPUT DROP [69:3795]
:FORWARD DROP [0:0]
:OUTPUT DROP [21:3300]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
[423830:26375170] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[23:1585] -A INPUT -i eth0 -j ACCEPT
[108:6480] -A INPUT -i lo -j ACCEPT
[262:13512] -A INPUT -p tcp -j bad_tcp_packets
[262:13512] -A INPUT -p tcp -j tcp_packets
[383:18011] -A INPUT -p udp -j udp_packets
[9:540] -A INPUT -p icmp -j icmp_packets
[25:884] -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
[0:0] -A FORWARD -d 192.168.0.10/32 -i eth2 -p tcp -m tcp --dport 3074 -j ACCEPT
[171:125858] -A FORWARD -d 192.168.0.10/32 -i eth2 -p udp -m multiport --dports 88,3074 -j ACCEPT
[1716:659500] -A FORWARD -i eth2 -j ACCEPT
[2191:282196] -A FORWARD -o eth2 -j ACCEPT
[227630:45038939] -A OUTPUT -o eth2 -j ACCEPT
[308:115186] -A OUTPUT -o eth0 -j ACCEPT
[5498:667460] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
[0:0] -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[0:0] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
[0:0] -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[9:540] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 53 -j ACCEPT
[220:11276] -A tcp_packets -p tcp -m tcp --dport 80 -j ACCEPT
[31:1600] -A tcp_packets -p tcp -m multiport --dports 411,1209,1411,4111 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 6881 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 3306 -j ACCEPT
[5:276] -A tcp_packets -p tcp -m multiport --dports 3724,8885,8886,8900 -j ACCEPT
[3:180] -A tcp_packets -p tcp -m multiport --dports 9987,10011,30033 -j ACCEPT
[0:0] -A udp_packets -p udp -m udp --dport 3306 -j ACCEPT
[340:14875] -A udp_packets -p udp -m multiport --dports 28960,28999 -j ACCEPT
[43:3136] -A udp_packets -p udp -j DROP
COMMIT
# Completed on Sun Apr 24 01:45:06 2011

можете подсказать как теперь защитить мне порты

Код: [Выделить]

-A tcp_packets -p tcp -m multiport --dports 3724,8885,8886,8900

Код: [Выделить]

-A udp_packets -p udp -m multiport --dports 28960,28999и что еще у меня плохо в правилах...

[alexxnight]

а от чего именно Вы хотите защититься?

[kolyan_k]

День добрый !
подскажите  как правильно сделать  правило ,

iptables -A INPUT -p tcp --dport 80 -j ACEPT
iptables -A INPUT -j DROP

мне нужен доступ к 80 порту с определенного  ip , а у меня со всех подряд получается...