[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[AnrDaemon]

Модуль recent поможет.
Только он будет записывать, а считать тебе придётся самому.
Лучше поставь задачу нормально, наверняка есть более прямые способы её решения.

[mouserok]

Модуль recent поможет.
Только он будет записывать, а считать тебе придётся самому.
Лучше поставь задачу нормально, наверняка есть более прямые способы её решения.

что за модуль??? прога
может есть более проще метод

[AnrDaemon]

Как на счёт того, чтобы ХОТЬ ЧТО-НИБУДЬ сделать самому?
google iptables recent

может есть более проще метод

Да. Выключить компьютер из розетки и пойти спать.

[winmasta]

в последнее время лог заполняется такими сообщениями, раньше не было такого, подскажите в чем проблема

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

[46256.135539] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=173.244.219.76 DST=213.210.92.129 LEN=44 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=TCP SPT=80 DPT=54817 WINDOW=5840 RES=0x00 ACK SYN URGP=0
[49602.139184] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=213.180.204.183 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=60 ID=41756 DF PROTO=TCP SPT=80 DPT=60462 WINDOW=0 RES=0x00 RST URGP=0
[52356.858933] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=213.180.204.183 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=60 ID=7858 DF PROTO=TCP SPT=80 DPT=57441 WINDOW=0 RES=0x00 RST URGP=0
[53267.125343] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=213.180.204.183 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=60 ID=51221 DF PROTO=TCP SPT=80 DPT=43429 WINDOW=0 RES=0x00 RST URGP=0
[53655.328131] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=213.180.204.183 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=60 ID=26804 DF PROTO=TCP SPT=80 DPT=48303 WINDOW=0 RES=0x00 RST URGP=0
[54251.780609] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=53963 DF PROTO=TCP SPT=80 DPT=49289 WINDOW=9300 RES=0x00 ACK RST URGP=0
[54253.626532] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=59577 DF PROTO=TCP SPT=80 DPT=49297 WINDOW=9300 RES=0x00 ACK RST URGP=0
[54284.183515] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=217.20.145.53 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=0 DF PROTO=TCP SPT=80 DPT=49838 WINDOW=0 RES=0x00 RST URGP=0
[56558.381577] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.100.187.194 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=50138 WINDOW=0 RES=0x00 RST URGP=0
[56577.414327] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=87.248.207.253 DST=213.210.92.129 LEN=52 TOS=0x00 PREC=0x00 TTL=57 ID=9975 DF PROTO=TCP SPT=80 DPT=50143 WINDOW=65535 RES=0x00 ACK SYN URGP=0
[56614.994067] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=213.180.204.183 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=60 ID=8064 DF PROTO=TCP SPT=80 DPT=57449 WINDOW=0 RES=0x00 RST URGP=0
[56615.117035] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=91.189.92.166 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=TCP SPT=80 DPT=44544 WINDOW=0 RES=0x00 RST URGP=0
[56615.125775] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=91.189.92.191 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=34355 WINDOW=0 RES=0x00 RST URGP=0
[56669.460079] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=91.189.92.166 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=TCP SPT=80 DPT=44544 WINDOW=0 RES=0x00 RST URGP=0
[56675.574693] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=91.189.92.191 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=34355 WINDOW=0 RES=0x00 RST URGP=0
[56911.224614] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=174.121.219.72 DST=213.210.92.129 LEN=44 TOS=0x00 PREC=0x00 TTL=50 ID=19700 PROTO=TCP SPT=80 DPT=1234 WINDOW=16384 RES=0x00 ACK SYN URGP=0
[57944.056461] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=9270 DF PROTO=TCP SPT=80 DPT=50268 WINDOW=9300 RES=0x00 ACK RST URGP=0
[57974.872520] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=49018 DF PROTO=TCP SPT=80 DPT=50263 WINDOW=9300 RES=0x00 ACK RST URGP=0
[57981.067079] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=15321 DF PROTO=TCP SPT=80 DPT=50267 WINDOW=9300 RES=0x00 ACK RST URGP=0
[57981.067100] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=15316 DF PROTO=TCP SPT=80 DPT=50269 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58010.536321] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.52 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=14692 DF PROTO=TCP SPT=80 DPT=50256 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58057.501528] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=207.46.216.54 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=239 ID=58686 PROTO=TCP SPT=80 DPT=50278 WINDOW=9300 RES=0x00 RST URGP=0
[58544.265756] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=2430 DF PROTO=TCP SPT=80 DPT=50523 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58575.218650] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=53869 DF PROTO=TCP SPT=80 DPT=50518 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58581.133313] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=19872 DF PROTO=TCP SPT=80 DPT=50517 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58584.082939] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=33706 DF PROTO=TCP SPT=80 DPT=50522 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58610.873340] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.52 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=54652 DF PROTO=TCP SPT=80 DPT=50512 WINDOW=9300 RES=0x00 ACK RST URGP=0
[58666.065813] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=69.65.40.85 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=TCP SPT=80 DPT=57949 WINDOW=0 RES=0x00 RST URGP=0
[58676.459409] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=69.65.40.85 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=TCP SPT=80 DPT=57957 WINDOW=0 RES=0x00 RST URGP=0
[58860.117261] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=69.65.40.85 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=TCP SPT=80 DPT=58034 WINDOW=0 RES=0x00 RST URGP=0
[59124.400842] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=65.55.239.168 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=64153 PROTO=TCP SPT=80 DPT=50668 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59177.384747] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=61693 DF PROTO=TCP SPT=80 DPT=50735 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59177.384767] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=61680 DF PROTO=TCP SPT=80 DPT=50742 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59181.479815] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=26475 DF PROTO=TCP SPT=80 DPT=50741 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59264.536881] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=2049 DF PROTO=TCP SPT=80 DPT=50737 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59691.427459] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.52 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=49950 DF PROTO=TCP SPT=80 DPT=51074 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59744.675380] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=3215 DF PROTO=TCP SPT=80 DPT=51089 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59777.699757] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=65143 DF PROTO=TCP SPT=80 DPT=51196 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59777.699776] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=65142 DF PROTO=TCP SPT=80 DPT=51202 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59820.985893] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.52 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=4401 DF PROTO=TCP SPT=80 DPT=51194 WINDOW=9300 RES=0x00 ACK RST URGP=0
[59864.721132] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=3997 DF PROTO=TCP SPT=80 DPT=51207 WINDOW=9300 RES=0x00 ACK RST URGP=0
[60385.021046] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=32896 DF PROTO=TCP SPT=80 DPT=51353 WINDOW=9300 RES=0x00 ACK RST URGP=0
[60411.827461] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.52 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=56885 DF PROTO=TCP SPT=80 DPT=51349 WINDOW=9300 RES=0x00 ACK RST URGP=0
[60464.878806] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=4595 DF PROTO=TCP SPT=80 DPT=51358 WINDOW=9300 RES=0x00 ACK RST URGP=0
[60619.605072] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=95.211.88.51 DST=213.210.92.129 LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=80 DPT=45366 LEN=24
[60825.692845] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=213.180.204.183 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=60 ID=58824 DF PROTO=TCP SPT=80 DPT=60930 WINDOW=0 RES=0x00 RST URGP=0
[60978.237493] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=58346 DF PROTO=TCP SPT=80 DPT=51396 WINDOW=9300 RES=0x00 ACK RST URGP=0
[60982.624489] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=11174 DF PROTO=TCP SPT=80 DPT=51402 WINDOW=9300 RES=0x00 ACK RST URGP=0
[60982.624516] IPT INPUT packet died: IN=ppp0 OUT= MAC= SRC=94.245.117.47 DST=213.210.92.129 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=11178 DF PROTO=TCP SPT=80 DPT=51398 WINDOW=9300 RES=0x00 ACK RST URGP=0

iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Fri Feb 17 10:07:29 2012
*mangle
:PREROUTING ACCEPT [138091852:101575523540]
:INPUT ACCEPT [55793739:36210089952]
:FORWARD ACCEPT [82177563:65355455428]
:OUTPUT ACCEPT [67708895:65913898600]
:POSTROUTING ACCEPT [149883046:131268886522]
COMMIT
# Completed on Fri Feb 17 10:07:29 2012
# Generated by iptables-save v1.4.4 on Fri Feb 17 10:07:29 2012
*nat
:PREROUTING ACCEPT [777504:93342124]
:POSTROUTING ACCEPT [1700957:167389431]
:OUTPUT ACCEPT [539:77913]
-A PREROUTING -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.1
-A PREROUTING -i eth1 -p tcp -m tcp --dport 366 -j DNAT --to-destination 192.168.1.1
-A POSTROUTING -o eth1 -j SNAT --to-source 217.18.140.170
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Fri Feb 17 10:07:29 2012
# Generated by iptables-save v1.4.4 on Fri Feb 17 10:07:29 2012
*filter
:INPUT DROP [2651:219802]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i ppp+ -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.1.1/32 -i lo -j ACCEPT
-A INPUT -s 217.18.140.170/32 -i lo -j ACCEPT
-A INPUT -i eth1 -p gre -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 217.18.140.170/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -p tcp -j tcp_packets
-A INPUT -i ppp+ -p udp -j udp_packets
-A INPUT -i ppp+ -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/8 -i eth1 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -p tcp -m tcp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -p udp -m udp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i ppp+ -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -i eth1 -o eth0 -p tcp -m tcp --dport 366 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.1.1/32 -j ACCEPT
-A OUTPUT -s 217.18.140.170/32 -j ACCEPT
-A OUTPUT -o ppp+ -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -d 192.168.1.9/32 -p tcp -m tcp --dport 6881 -j ACCEPT
-A bad_tcp_packets -s 192.168.1.9/32 -p tcp -m tcp --sport 6881 -j ACCEPT
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -s 192.168.1.1/32 -p tcp -m tcp --dport 53 -j allowed
-A tcp_packets -i eth1 -p tcp -m tcp --dport 1723 -j allowed
-A tcp_packets -i eth1 -p tcp -m tcp --dport 366 -j allowed
-A tcp_packets -s 192.168.1.1/32 -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --sport 6881 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 6881 -j ACCEPT
-A udp_packets -s 192.168.1.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets -s 192.168.1.1/32 -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -p udp -m udp --sport 6881 -j ACCEPT
-A udp_packets -p udp -m udp --dport 6881 -j ACCEPT
-A udp_packets -d 217.18.140.170/32 -p udp -m udp --dport 500 -j ACCEPT
-A udp_packets -d 217.18.140.170/32 -p udp -m udp --dport 4500 -j ACCEPT
-A udp_packets -d 217.18.140.170/32 -p udp -m udp --dport 1701 -j ACCEPT
-A udp_packets -d 217.18.140.171/32 -i eth1 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255/32 -i eth1 -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed on Fri Feb 17 10:07:29 2012

и вообще кому не лень гляньте таблицы на предмет стрёмности

[AnrDaemon]

-A POSTROUTING -o ppp+ -j MASQUERADE
Уверены???

А правила явно не сами писали. Это всё можно минимум вдвое короче написать.

[winmasta]

-A POSTROUTING -o ppp+ -j MASQUERADE
Уверены???

А правила явно не сами писали. Это всё можно минимум вдвое короче написать.

Да правила брал из руководства, когда писал совсем с таблицами не дружил щас более менее , направьте плиз в нужное русло или какой нибудь там фак есть чтобы оптимизировать

[AnrDaemon]

Фак один - ваша голова. Составьте на русском языке описание вашей сети и направление движения пакетов. Потом примените правила, от самых общих - к самым частным.
В помощь: http://www.docum.org/docum.org/kptd/
Распечатать на A3, заламинировать, повесть на стену.

[winmasta]

Фак один - ваша голова. Составьте на русском языке описание вашей сети и направление движения пакетов. Потом примените правила, от самых общих - к самым частным.
В помощь: http://www.docum.org/docum.org/kptd/
Распечатать на A3, заламинировать, повесть на стену.

ну спасибо попробую усовершенствовать(ся)
Пользователь решил продолжить мысль 19 Февраля 2012, 14:35:43:а можно еще вопрос: в скрипте определяю переменную как подсеть - $LAN_IP_RANGE="192.168.1.0/24" а как можно определить несколько айпишников любых ?
Пользователь решил продолжить мысль 19 Февраля 2012, 14:43:42:там еще разбиение на цепочки tcp udp icmp - оно вообще надо ?

[AnrDaemon]

Добрый совет - пишите сразу под iptables-restore. У вас пока не настолько много правил, чтобы заморачиваться с комплексными скриптами. То же касается разбиения на цепочки.
И проштудируйте примеры правил в этом топике - там есть, чему поучиться.

[winmasta]

сижу думаю и возникает вопрос (я не специалист по tcp/ip) насколько это оправдано:

для инпута 53 и 80 порты (здесь как я понял проверяем установленный флаг SYN и сброшенные остальные, если объясните зачем буду благодарен)

Код: [Выделить]

-p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
для всех цепочек

Код: [Выделить]

-p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
Пользователь решил продолжить мысль 21 Февраля 2012, 12:02:15:вот написал таблицу для локалки без инета чтобы все работало правильно ?

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Tue Feb 21 10:32:30 2012
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
-A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT p UDP -i eth0 --dport 67 --sport 68 -j ACCEPT
-A OUTPUT -s lo -j ACCEPT
-A OUTPUT -s 192.168.1.1 -j ACCEPT
COMMIT
# Completed on Tue Feb 21 10:32:30 2012

[AnrDaemon]

Говорил же - проштудируйте примеры правил

Код: [Выделить]

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
COMMIT

[winmasta]

Говорил же - проштудируйте примеры правил

Код: [Выделить]

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
COMMIT

всю тему прочитал полностью

[AnrDaemon]

Понял, виноват. Это была не та тема
https://forum.ubuntu.ru/index.php?topic=20334.0
Пользователь решил продолжить мысль 22 Февраля 2012, 11:40:30:На свежую голову перечитал ваш оригинальный вопрос.
Пакеты с флагами ACK RST - подтверждение закрытия TCP сессии.
RST флуд - видимо, сканирование портов.
Остальное надо подробнее разбирать.

[winmasta]

-A POSTROUTING -o ppp+ -j MASQUERADE
Уверены???

А правила явно не сами писали. Это всё можно минимум вдвое короче написать.

внешний интернет уходит через ppp как по другому сделать ?
Пользователь решил продолжить мысль 22 Февраля 2012, 15:58:42:

Понял, виноват. Это была не та тема
https://forum.ubuntu.ru/index.php?topic=20334.0
Пользователь решил продолжить мысль 22 Февраля 2012, 11:40:30:На свежую голову перечитал ваш оригинальный вопрос.
Пакеты с флагами ACK RST - подтверждение закрытия TCP сессии.
RST флуд - видимо, сканирование портов.
Остальное надо подробнее разбирать.

сейчас пишу новые правила, как закончу выложу на проверку, а пока топология: на роутере eth0 - локалка eth1 - wan (часть интернета халявная) ppp0 - интернет остальной, хочется чтобы все ходили в интернет прозрачно, ну и там какие надо защиты чтобы были

[AnrDaemon]

-A POSTROUTING -o ppp+ -j MASQUERADE
Уверены???

А правила явно не сами писали. Это всё можно минимум вдвое короче написать.

внешний интернет уходит через ppp как по другому сделать ?

Проблем нет, пока у вас одно ppp соединение.
А когда вы захотите принимать входящие ppp соединения?
Как сделать иначе?
1. Зафиксировать исходящее соединение каким-то номером. (unit ###)
2. Указать его конкретно в правиле.