#!/bin/bash #IP=0/0 #IP=192.168.1.1/24 #IP=`/sbin/ifconfig ppp0 | grep inet | cut -d':' -f 2 | cut -d' ' -f 1` ### echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all ### бришам све од /usr/sbin/iptables, за да почнам одново /usr/sbin/iptables -F /usr/sbin/iptables -X /usr/sbin/iptables -Z ### не му верувам на надворешниот свет /usr/sbin/iptables -P INPUT DROP ### си верувам дека немам некој тројанец на компјутер /usr/sbin/iptables -P OUTPUT ACCEPT #/usr/sbin/iptables -A OUTPUT -j LOG --log-level DEBUG ### forward /usr/sbin/iptables -P FORWARD DROP #/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #/usr/sbin/iptables -A FORWARD -i ! ppp0 -j ACCEPT #iptables -A OUTPUT -m owner --uid-owner bozho -j REJECT ### допушти све локално /usr/sbin/iptables -A INPUT -i lo -j ACCEPT ### пушти све и на eth0 #/usr/sbin/iptables -A INPUT -i eth0 -j ACCEPT ### пушти p2p (4662, 4663) #/usr/sbin/iptables -A INPUT -p tcp --dport 4662 -j ACCEPT ### пушти ftp #/usr/sbin/iptables -A INPUT -p tcp -m multiport --ports ftp,ftp-data -j ACCEPT #/usr/sbin/iptables -A INPUT -p tcp -m multiport --sports ftp,ftp-data -j ACCEPT ### Nemam ident, begaj #/usr/sbin/iptables -A INPUT -p tcp --dport 113 -j REJECT ### пушти ssh #/usr/sbin/iptables -A INPUT -p tcp --dport ssh -j ACCEPT ### пушти samba, vnatre #iptables -A INPUT -p tcp -m multiport --dports 137,138,139,445 -j ACCEPT #iptables -A INPUT -p udp -m multiport --dports 137,138,139,445 -j ACCEPT ### пушти nfs, mora i vo /etc/rc.d/rc.nfsd da im kazham na site demoni ### таму да се поврзуваат на статички порти и да додадам правила тука ### да ги прифаќа тие порти, друг пат. #iptables -A INPUT -p tcp -m multiport --dports 111,2049 -j ACCEPT #iptables -A INPUT -p udp -m multiport --dports 111,2049 -j ACCEPT ### pushti web /usr/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT ### одговори само на 3 пинга во секунда /usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/sec -j ACCEPT ### пушти само веќе постоечки конекции внатре /usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ### логирај све останато /usr/sbin/iptables -A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level DEBUG --log-prefix "IPTABLES:"