#
*filter
-F
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
#
# Разрешаем трафик с петлевого интерфейса
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#
# Разрешаем входящие и исходящие пинги
-A OUTPUT -p icmp -m icmp -d 18.54.65.XX --icmp-type 8/0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
#
# Разрешаем установленные подключения
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
################# Защита от распространенных атак #####################
#
# Отбросим все пакеты, которые не имеют никакого статуса
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
#
# Блокируем нулевые пакеты
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#
# Защищаемся от разведывательных пакетов XMAS
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#
# Закрываемся от syn-flood атак
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#
######## Открываем доступ по следующим портам #########
#
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -i bound0 -p tcp --dport 445 -j ACCEPT
-A INPUT -i bound0 -p tcp --dport 465 -j ACCEPT
-A INPUT -i bound0 -p udp --dport 137 -j ACCEPT
-A INPUT -i bound0 -p udp --dport 138 -j ACCEPT
#
###### Включаем логи по заблокированным пакетам ########
#
-N block_in
-N block_out
-A INPUT -j block_in
-A OUTPUT -j block_out
-A block_in -j LOG  --log-level info --log-prefix "--IN--BLOCK"
-A block_in -j DROP
-A block_out -j LOG  --log-level info --log-prefix "--OUT--BLOCK"
-A block_out -j DROP
#
COMMIT
#