[Comm] Re: [Comm] Re: [Comm] Re: [Comm] Народ поделитесь кому незалко.

aek =?iso-8859-1?q?aek_=CE=C1_taxpol=2Ekrasnoyarsk=2Esu?=
Вт Фев 4 06:06:26 MSK 2003 

Hello Половников,

Monday, February 03, 2003, 7:17:42 PM, you wrote:


ПД>>> Народ поделитесь кому незалко простеньким скриптиком с правиломи
ПД>>> iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
ПД>>> примере посмотреть. А то мне срочно надо поднять iptables на серваке.
ПД>>> Помогите плиз...

ПД> Одна сетивуха eth0 смотрит в инет на ней нужен только 53,22 а вторая
ПД> eth1 в локалку нужно чтоб были открыты 25,110, 3128 ... Просто чтоб юзеры
ПД> могли получать и отправлять почту и через squid в инет ходить.

Как просил - примеры, свои интерфейсы/сети уж сам пропишешь.
Вроде все прозрачней некуда...
параметры --sport 0:65535 --dport 0:65535 смело можешь повырезать
(если не лень)

Пример файлика no_fire.sh
#!/bin/sh

# Delete any existing chains
/sbin/iptables -F
/sbin/iptables -X

# accept all traffic
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P INPUT   ACCEPT
/sbin/iptables -P OUTPUT  ACCEPT


Пример файлика fire.sh
#!/bin/sh
#

# Delete any existing chains
/sbin/iptables -F
/sbin/iptables -X

# Shut down all traffic
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

# Allow 'loopback interface'
/sbin/iptables -A INPUT  -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# Allow 'domain'
/sbin/iptables -A INPUT  -p tcp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A INPUT  -p udp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT  -p udp --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 53 --dport 0:65535 -j ACCEPT


# Allow 'ping'
# Echo Request
/sbin/iptables -A INPUT   -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT  -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
# Echo reply
/sbin/iptables -A INPUT   -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A OUTPUT  -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT

# Allow 'ntp'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 123 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A INPUT  -p udp -s 10.55.8.0/21 --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 123 -d 10.55.8.0/21 -j ACCEPT

# Allow 'nntp'
/sbin/iptables -A INPUT  -p tcp -s 10.0.0.0/8 --dport 119 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 119 -d 10.0.0.0/8 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.0.0.0/8 --dport 119 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn -s 10.0.0.0/8 --sport 119 -j ACCEPT

# Allow 'smtp'
/sbin/iptables -A INPUT  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 25 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 0:65535 --dport 25 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn --sport 25 --dport 0:65535 -j ACCEPT

# Allow 'pop3'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --sport 0:65535 --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 110 -d 10.55.8.0/21 --dport 0:65535 -j ACCEPT

# Allow 'ssh'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 22 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn -s 10.55.8.0/21 --sport 22 -j ACCEPT

/sbin/iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.1.30.3/32 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn --sport 22 -d
10.1.30.3/32 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn --sport 22 -d
10.55.8.0/21 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth2 -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -p tcp ! --syn --sport 22 -d
10.55.8.0/21 -j ACCEPT


# Allow 'http'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 80  -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.0.0.0/8 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn --sport 80  -s 10.0.0.0/8 -j ACCEPT

# Allow 'https'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 443  -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 1100 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 1100  -d 10.55.8.0/21 -j ACCEPT

Ногами просьба не пинать. Если что лишнее, подкорректируйте...


-- 
Всех благ!
Анатолий

Подробная информация о списке рассылки community