Добрый день. Iptables занимаюсь впервые, поэтому хотел попросить вашего мнения, на сколько правильно все написано. Может какие то записи можно грамотнее написать. Ну и может что то нужно доработать.
iptables настроен на компьютере, где используется squid.
#!/bin/sh
#пересылка пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Разрешаем трафик
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp3s0 -j ACCEPT
#разрешить принимать уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ICMP
iptables -A INPUT -p icmp -j ACCEPT
#SSH
iptables -A INPUT -s 192.168.1.111/32 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
#откроем доступ наружу из внутренней сети
iptables -A FORWARD -i enp3s0 -o eno1 -j ACCEPT
#влючаем NAT
iptables -t nat -A POSTROUTING -o eno1 -s 192.168.1.0/24 -j MASQUERADE
#Разрешить принимать ответы из внешней сети
iptables -A FORWARD -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Ограничим доступ во внутреннюю сеть снаружи
iptables -A FORWARD -i eno1 -o enp3s0 -j REJECT
#разрешить машинам ходить в интернет по портам
iptables -A FORWARD -p TCP -s 192.168.1.0/24 -m multiport --dport 80,443,53 -j ACCEPT
iptables -A FORWARD -p TCP -d 192.168.1.0/24 -m multiport --dport 80,443,53 -j ACCEPT
iptables -A FORWARD -p UDP -s 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP -d 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT
#Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i enp3s0 ! -d 192.168.1.0/24 -p tcp -m multuport --dport 80,8080 -j DNAT --to 192.168.1.254:3228
Также через прокси работает wsus. Хочу написать ему правило, чтобы он мог работать только с серверами microsoft. Подскажите как это можно реализовать?
Пользователь добавил сообщение 03 Мая 2017, 13:32:56:
Конечно по аналогии, хотелось бы ограничить доступ компьютеру только в определенную подсеть, находящаяся в интернете.
Это правило поможет?
iptables -t filter -A FORWARD -s 192.168.0.10 -d 234.234.234.0/24 -p tcp -m tcp --dport 80 -j ACCEPT