Правила iptables. Их ошибки.

Автор siferdj, 16 февраля 2014, 01:07:15

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

siferdj

Доброго времени суток, дорогие друзья! Хотелось бы у вас спросить, как у экспертов, что именно в этих правилах лишнее, что ненужное, что совсем глупое?

Немного о конфигурации:
eth1 (192.168.1.1) "смотрит" в интернет;
eth0 (192.168.0.0) "смотрит" в локальную сеть;
Сервер используется как NAT. Получает интернет на eth1 и отдает на eth0. Был сервер squid, но в нем необходимость отпала. Сам в iptables не силен, поэтому хочу спросить у Вас.
Может посоветуете красиво и главное правильно оптимизировать эти правила? Задача сервера: получать и отдавать интернет, разрешить пользоваться локальной сетью и ЗАЩИЩАТЬ!
Заранее спасибо!
Открыть содержимое (спойлер)
#!/bin/sh
PATH=/sbin:/usr/local/sbin
echo 1 > /proc/sys/net/ipv4/ip_forward
#echo 0 > /proc/sys/net/ipv4/ip_dynaddr
#echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

modprobe iptable_nat
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
modprobe ipt_MASQUERADE

IPTABLES="/sbin/iptables"
#Flush everything away!

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

# reset the default policies in the nat table.
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
# reset the default policies in the mangle table.
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#
# flush all the rules in the filter and nat tables.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# erase all chains that's not default in filter and nat table.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT



#ssh
$IPTABLES -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 213.155.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 92.113.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 91.124.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 94.178.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 94.179.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 95.134.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 91.207.0.0/23 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 178.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 92.112.0.0/16 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 178.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 176.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -s 46.0.0.0 -j ACCEPT #new hetzner
$IPTABLES -A INPUT -p tcp --dport 22 -s 94.153.0.0/16 -j ACCEPT

#$IPTABLES -A INPUT -p tcp --dport 22 -j DROP



#xazkors
#$IPTABLES -A INPUT -s 61.0.0.0/32 -p tcp --dport 22 -j REJECT
#$IPTABLES -A INPUT -s 122.0.0.0/32 -p tcp --dport 22 -j REJECT


#masquerade

#admin
#$IPTABLES -t nat -A POSTROUTING -s 192.168.0.3 -d 0.0.0.0/0 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.3/32 -j MASQUERADE

#lilya
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.41 -d 0.0.0.0/0 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.41/32 -j MASQUERADE

#server  (locum)
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.111/32 -j MASQUERADE



##########################АДРЕСА ПРЯМО В ИНТЕРНЕТ############################
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.154/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.152/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.151/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.150/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.14/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.3/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.4/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.5/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.100/32 -j MASQUERADE #wifi
#############################################################################

##########################
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.9/32  -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.41/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.11/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.19/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.6/32  -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.15/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.17/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.6/32  -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.22/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.12/32 -j MASQUERADE


#$IPTABLES -A INPUT -i eth1 -p tcp -m multiport --port 995,111,110,143,80,8080,85,139,53 -j REJECT


##$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -s 192.168.0.1/16 -d 192.168.0.1 --dport 80 -j DNAT --to-destination 192.168.0.1:85
[свернуть]