Если, находясь во внешней локалке моего рутера, выставить в качестве гейта мой рутер, можно получить доступ к моим внутренним машинам. Как сделать, чтобы снаружи не были видны мои внутренние машины?
Да могут. Ситуация напоминает сказку о золотой рыбке.
>Как сделать, чтобы снаружи не были видны мои внутренние машины? >Ну и еще мне не нравится, что внешние машины через меня могут отсылать пакеты во внешнюю сеть. >Хочу чтобы даже пинги снаружи вовнутрь не работали.
лана, я седня добрый. но iptables-manual всё равно читай.
вместо 192.168.0.0/24 естественно надо подставить свою внутренню локалку. во избежания зафлуживания логов оные строчки закомменчены
# это шобы всякая падла не лезла брутить ssh
# за три конекта на ssh в течении одной минуты банит ( вроде тоже на минуту )
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j LOG --log-level alert --log-prefix "c00l-h4cker detected: " --log-ip-options
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j REJECT
# в /etc/protectport пишем порты, на которые ходить снаружи низя
for port in $(cat /etc/protectport)
do
#iptables -A INPUT -p tcp --dport $port --source '!' 192.168.0.0/24 -j LOG --log-level alert --log-prefix "c00l-h4cker " --log-ip-options --log-tcp-options
iptables -A INPUT -p tcp --dport $port --source '!' 192.168.0.0/24 -j REJECT
done
# в /etc/bannedip пишем забаненые насмерть ипшники
for ip in $(cat /etc/bannedip)
do
#iptables -A INPUT --source $ip -j LOG --log-level alert --log-prefix "banned ip "
iptables -A INPUT --source $ip -j DROP
done