LINUX.ORG.RU

Сообщения cccp

 

Товарищи ! проблема с iptables

Форум — Admin

СОБственно ничего не работает с таким конфигом (не я писал - взяд с xakep.ru) :( у меня RedHat 9.0 ядро 2ю4 откомпилировано как надо) в чем ппроблема?

*filter :INPUT DROP [1:299] :FORWARD DROP [0:0] :OUTPUT DROP [1:299]

-A INPUT -m state ! -i lo --state NEW -j DROP

-A INPUT -s 10.0.0.0/8 -i ppp0 -j DROP -A INPUT -d 10.0.0.0/8 -i ppp0 -j DROP -A OUTPUT -s 10.0.0.0/8 -o ppp0 -j DROP -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP -A INPUT -i ppp0 -f -j DROP -A INPUT -s 172.16.0.0/12 -i ppp0 -j DROP -A INPUT -d 172.16.0.0/12 -i ppp0 -j DROP -A OUTPUT -s 172.16.0.0/12 -o ppp0 -j DROP -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP -A INPUT -s 192.168.0.0/16 -i ppp0 -j DROP -A INPUT -d 192.168.0.0/16 -i ppp0 -j DROP -A OUTPUT -s 192.168.0.0/16 -o ppp0 -j DROP -A OUTPUT -d 192.168.0.0/16 -o ppp0 -j DROP -A INPUT -s 127.0.0.1/255.0.0.0 -i ppp0 -j DROP -A OUTPUT -s 127.0.0.1/255.0.0.0 -o ppp0 -j DROP -A INPUT -s 255.255.255.255 -i ppp0 -j DROP -A INPUT -d 0.0.0.0 -i ppp0 -j DROP -A OUTPUT -s 255.255.255.255 -o ppp0 -j DROP -A OUTPUT -d 0.0.0.0 -o ppp0 -j DROP -A INPUT -s 224.0.0.0/4 -i ppp0 -j DROP -A INPUT -s 1.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 2.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 5.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 7.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 23.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 27.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 31.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 37.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 39.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 41.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 42.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 58.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 60.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 65.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 66.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 67.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 68.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 69.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 70.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 71.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 72.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 73.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 74.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 75.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 76.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 77.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 78.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 79.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 80.0.0.0/4 -i ppp0 -j DROP -A INPUT -s 96.0.0.0/4 -i ppp0 -j DROP -A INPUT -s 112.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 113.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 114.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 115.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 116.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 117.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 118.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 119.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 120.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 121.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 122.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 123.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 124.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 217.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 218.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 219.0.0.0/8 -i ppp0 -j DROP -A INPUT -s 220.0.0.0/6 -i ppp0 -j DROP

#Запрещаем любые новые подключения с любых интерфейсов, кроме lo к #компьютеру.

-A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP #- если интерфейс не lo, то нефиг ломиться в его адресов.

#Разрешаем icmp сообщение - подавление источника - используется для #регулирования скорости обмена данными между узлами.

-A INPUT -p icmp -m icmp -i ppp0 --icmp-type echo-reply -j ACCEPT -A OUTPUT -p icmp -m icmp -o ppp0 --icmp-type echo-request -j ACCEPT

#Разрешаем себе пинговать кого угодно - нас же не попингуешь - пакеты #рубятся.

-A INPUT -p icmp -m icmp -i ppp0 --icmp-type parameter-problem -j ACCEPT -A OUTPUT -p icmp -m icmp -o ppp0 --icmp-type parameter-problem -j ACCEPT

-A OUTPUT -p udp -m udp -o ppp0 --dport 53 --sport 1024:65535 -j ACCEPT -A OUTPUT -p tcp -m tcp -o ppp0 --dport 53 --sport 1024:65535 -j ACCEPT -A INPUT -p udp -m udp -i ppp0 --dport 1024:65535 --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65353 --sport 53 -j ACCEPT

#ДНС - вещь нужная - разрешаем. -A OUTPUT -p tcp -m tcp -o ppp0 --dport 113 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 113 -j ACCEPT ! --syn -A INPUT -p tcp -m tcp -i ppp0 --dport 113 -j DROP

#Разрешаем AUTH-запросы на удаленные сервера, на свой же компьютер - #запрещаем.

-A OUTPUT -p tcp -m tcp -o ppp0 --dport 25 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 25 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 110 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 110 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 23 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 23 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 22 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 22 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 22 --sport 1020:1023 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1020:1023 --sport 22 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 21 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 21 -j ACCEPT ! --syn -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 20 -j ACCEPT -A OUTPUT -p tcp -m tcp -o ppp0 --dport 20 --sport 1024:65535 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 1024:65535 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 1024:65535 -j ACCEPT ! --syn

-A OUTPUT -p tcp -m tcp -o ppp0 --dport 79 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 79 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 43 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 43 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 70 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 70 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o ppp0 --dport 210 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i ppp0 --dport 1024:65535 --sport 210 -j ACCEPT ! --syn -A OUTPUT -p udp -m udp -o ppp0 --dport 33434:33523 --sport 32769:65535 -j ACCEPT

-A OUTPUT -p udp -m udp -o ppp0 --dport 67 --sport 68 -j ACCEPT -A INPUT -p udp -m udp -i ppp0 --dport 68 --sport 67 -j ACCEPT

COMMIT

cccp
()
2 комментария

RSS подписка на новые темы