<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

</head>

<body bgcolor="#ffffff" text="#000000">

<div class="moz-text-flowed"

 style="font-family: -moz-fixed; font-size: 12px;" lang="x-unicode">Как

реализовать данный скрипт?

<br>

<br>

# grep -v \# sec

<br>

<br>

echo -e "Установка общих переменных окружения"

<br>

IPT="/sbin/iptables"

<br>

IFC="/sbin/ifconfig"

<br>

G="/bin/grep"

<br>

SED="/bin/sed"

<br>

AWK="/usr/bin/awk"

<br>

ECHO="/bin/echo -e"

<br>

<br>

$ECHO "Установка переменных окружения Loop device/localhost"

<br>

LPDIF="lo"

<br>

LPDIP="127.0.0.1"

<br>

LPDBC="255.255.255.255"

<br>

LPDMSK="255.0.0.0"

<br>

LPDNET="$LPDIP/$LPDMSK"

<br>

<br>

$ECHO "Установка переменных окружения внешнего интерфейса"

<br>

EXTIF="eth0"

<br>

EXTIP="`$IFC $EXTIF | $AWK

/$EXTIF/'{next}//{split($0,a,":");split(a[2],a," ");print a[1];exit}'`"

<br>

EXTBC="255.255.255.255"

<br>

EXTMSK="`$IFC $EXTIF | $AWK

/$EXTIF/'{next}//{split($0,a,":");split(a[4],a," ");print a[1];exit}'`"

<br>

EXTNET="$EXTIP/$EXTMSK"

<br>

<br>

$ECHO "Сброс всех существующих и очистка персональных цепочек."

<br>

CHAINS=`cat /proc/net/ip_tables_names 2&gt;/dev/null`

<br>

for i in $CHAINS

<br>

do

<br>

$IPT -t $i -F

<br>

done

<br>

for i in $CHAINS

<br>

do

<br>

$IPT -t $i -X

<br>

done

<br>

<br>

$IPT -F

<br>

$IPT -t nat -F

<br>

$IPT -t mangle -F

<br>

$IPT -X

<br>

$IPT -t nat -X

<br>

$IPT -t mangle -X

<br>

<br>

$ECHO "Запрещаем все входящиеи сквозные соединения, разрешаем все

исходящие соединения"

<br>

$IPT -P INPUT DROP

<br>

$IPT -P OUTPUT ACCEPT

<br>

$IPT -P FORWARD DROP

<br>

<br>

$IPT --append INPUT --match state --state related,established --jump

ACCEPT

<br>

$IPT --append INPUT -i $EXTIF --protocol icmp --icmp-type echo-request

--match limit --limit 1/s --jump ACCEPT

<br>

$IPT --append INPUT -i $EXTIF --match tcp --protocol tcp --syn -m limit

--limit 1/s --jump ACCEPT

<br>

$IPT --append INPUT -i $EXTIF --match tcp --protocol tcp --tcp-flags

SYN,ACK,FIN,RST RST -m limit --limit 1/s --jump ACCEPT

<br>

$IPT --append INPUT -i $EXTIF --match tcp  --protocol tcp --syn --dport

3030:3033 -m iplimit --iplimit-above 3 --jump REJECT

<br>

$IPT --append INPUT -i $EXTIF --match tcp --protocol tcp --match

multiport --dports 21,22,80,3030:3033 --sport 1024:65535 --match limit

--limit 10/s --jump ACCEPT

<br>

$IPT --append INPUT -i $EXTIF --match tcp --protocol tcp --match time

--timestart 00:00 --timestop 08:00 --days Mon --dport 21 --jump REJECT

<br>

$IPT --append INPUT --match psd --jump DROP

<br>

$IPT --append INPUT -i $EXTIF --protocol tcp --match tcp --match

multiport --dports 135,139,1025 --jump TARPIT

<br>

<br>

$ECHO "Выключение поддержки проброса пакетов в ядре"

<br>

echo 0 &gt; /proc/sys/net/ipv4/ip_forward

<br>

<br>

Почему-то в ALS4.0+Branch5.0 нифига не видит половину?

<br>

<br>

# ./sec

<br>

Установка общих переменных окружения

<br>

Установка переменных окружения Loop device/localhost

<br>

Установка переменных окружения внешнего интерфейса

<br>

Полученные значения переменных окружения

<br>

LPDIP=127.0.0.1 LPDBC=255.255.255.255 LPDMSK=255.0.0.0

LPDNET=127.0.0.1/255.0.0.0

<br>

EXTIP=x EXTBC=255.255.255.255 EXTMSK=255.255.255.252

EXTNET=x/255.255.255.252

<br>

INTIP= INTBC= INTMSK= INTNET=

<br>

Сброс всех существующих и очистка персональных цепочек.

<br>

Запрещаем все входящиеи сквозные соединения, разрешаем все исходящие

соединения

<br>

iptables v1.4.0: Couldn't load match

`iplimit':/lib64/iptables/libipt_iplimit.so: cannot open shared object

file: No such file or directory

<br>

<br>

Try `iptables -h' or 'iptables --help' for more information.

<br>

iptables v1.4.0: Unknown arg `--days'

<br>

Try `iptables -h' or 'iptables --help' for more information.

<br>

iptables v1.4.0: Couldn't load match

`psd':/lib64/iptables/libipt_psd.so: cannot open shared object file: No

such file or directory

<br>

<br>

Try `iptables -h' or 'iptables --help' for more information.

<br>

iptables v1.4.0: Couldn't load target

`TARPIT':/lib64/iptables/libipt_TARPIT.so: cannot open shared object

file: No such file or directory

<br>

<br>

Try `iptables -h' or 'iptables --help' for more information.

<br>

Выключение поддержки проброса пакетов в ядре

<br>

<br>

</div>

</body>

</html>