FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ)

Профиль · Отправлено: **00:48, 29-01-2003** | #**117**

Не знаю, кто чем пользуется, а вот мой домашний для обычного диал-апа:

#!/bin/sh
#
#file /etc/sysconfig/iptables_ppp.sh - Initial IP Firewall script for kernel 2.4.x
#
#Script не требует указания ни статического, ни "подхвата" динамического IP.
#Правила привязаны к интерфейсам.
#
INET_IFACE="ppp0"
LO_IFACE="lo"
IPTABLES="/sbin/iptables"
###################
#Проверка зависимостей в загружаемых IPTables modules
#
/sbin/depmod -a
###################
#Устанавливаем default policies для INPUT, FORWARD и OUTPUT chains
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
###################
#
#Создаем chain для "плохих" TCP пакетов
#
$IPTABLES -N bad_tcp_packets
#
#Создаем chain для защиты от спуффинга
#
$IPTABLES -N spuff_in_ppp
$IPTABLES -N spuff_out_ppp
#
#Создаем дочерние chains для входящих ICMP, TCP и UDP
#
$IPTABLES -N icmp_in_ppp
$IPTABLES -N tcp_in_ppp
$IPTABLES -N udp_in_ppp
#
#Создаем дочерние chains для исходящих ICMP, TCP и UDP
#
$IPTABLES -N icmp_out_ppp
$IPTABLES -N tcp_out_ppp
$IPTABLES -N udp_out_ppp
#
####################
#
#Регистрируем и удаляем все "проблемные" TCP пакеты
#
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \--log-prefix "New not syn: "
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
#
####################
#
#Регистрируем и удаляем все входящие спуффинг-пакеты (если есть LAN - отредактируйте ваш диапазон)
#
$IPTABLES -A spuff_in_ppp -s 127.0.0.0/8 -j LOG \--log-prefix "Loopback in ppp died: "
$IPTABLES -A spuff_in_ppp -s 127.0.0.0/8 -j DROP
$IPTABLES -A spuff_in_ppp -s 10.0.0.0/8 -j LOG \--log-prefix "Class A in ppp died: "
$IPTABLES -A spuff_in_ppp -s 10.0.0.0/8 -j DROP
$IPTABLES -A spuff_in_ppp -s 172.16.0.0/12 -j LOG \--log-prefix "Class B in ppp died: "
$IPTABLES -A spuff_in_ppp -s 172.16.0.0/12 -j DROP
$IPTABLES -A spuff_in_ppp -s 192.168.0.0/16 -j LOG \--log-prefix "Class C in ppp died: "
$IPTABLES -A spuff_in_ppp -s 192.168.0.0/16 -j DROP
$IPTABLES -A spuff_in_ppp -s 240.0.0.0/5 -j LOG \--log-prefix "Class E in ppp died: "
$IPTABLES -A spuff_in_ppp -s 240.0.0.0/5 -j DROP
$IPTABLES -A spuff_in_ppp -s 224.0.0.0/4 -j LOG \--log-prefix "Multicast in ppp died: "
$IPTABLES -A spuff_in_ppp -s 224.0.0.0/4 -j DROP
$IPTABLES -A spuff_in_ppp -s 255.255.255.255 -j LOG \--log-prefix "Broadcast in ppp died: "
$IPTABLES -A spuff_in_ppp -s 255.255.255.255 -j DROP
$IPTABLES -A spuff_in_ppp -d 0.0.0.0 -j LOG \--log-prefix "Broadcast in ppp died: "
$IPTABLES -A spuff_in_ppp -d 0.0.0.0 -j DROP
#
#Регистрируем и удаляем все исходящие спуффинг-пакеты (если есть LAN - отредактируйте ваш диапазон)
#
$IPTABLES -A spuff_out_ppp -d 127.0.0.0/8 -j LOG \--log-prefix "Loopback out ppp died: "
$IPTABLES -A spuff_out_ppp -d 127.0.0.0/8 -j DROP
$IPTABLES -A spuff_out_ppp -d 10.0.0.0/8 -j LOG \--log-prefix "Class A out ppp died: "
$IPTABLES -A spuff_out_ppp -d 10.0.0.0/8 -j DROP
$IPTABLES -A spuff_out_ppp -d 172.16.0.0/12 -j LOG \--log-prefix "Class B out ppp died: "
$IPTABLES -A spuff_out_ppp -d 172.16.0.0/12 -j DROP
$IPTABLES -A spuff_out_ppp -d 192.168.0.0/16 -j LOG \--log-prefix "Class C out ppp died: "
$IPTABLES -A spuff_out_ppp -d 192.168.0.0/16 -j DROP
$IPTABLES -A spuff_out_ppp -d 240.0.0.0/5 -j LOG \--log-prefix "Class E out ppp died: "
$IPTABLES -A spuff_out_ppp -d 240.0.0.0/5 -j DROP
$IPTABLES -A spuff_out_ppp -d 224.0.0.0/4 -j LOG \--log-prefix "Multicast out ppp died: "
$IPTABLES -A spuff_out_ppp -d 224.0.0.0/4 -j DROP
$IPTABLES -A spuff_out_ppp -d 255.255.255.255 -j LOG \--log-prefix "Broadcast out ppp died: "
$IPTABLES -A spuff_out_ppp -d 255.255.255.255 -j DROP
$IPTABLES -A spuff_out_ppp -s 0.0.0.0 -j LOG \--log-prefix "Broadcast out ppp died: "
$IPTABLES -A spuff_out_ppp -s 0.0.0.0 -j DROP
#
####################
#
#Загружаем ICMP rules для входящих потоков
#
$IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 11 -j ACCEPT
$IPTABLES -A icmp_in_ppp -m limit --limit 6/minute --limit-burst 1 \-p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_in_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "ICMP in ppp died: "
$IPTABLES -A icmp_in_ppp -p ICMP -j DROP
#
#Загружаем TCP rules для входящих потоков. Для входящих --dport двойная проверка
#
$IPTABLES -A tcp_in_ppp -p TCP --syn --sport 20 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 21:22 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 80 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 111 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 113 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 139 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP --syn --dport 443 -j ACCEPT
#$IPTABLES -A tcp_in_ppp -p TCP --syn --sport 32768:65535 --dport 1024:65535 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -m multiport --sport 20,21,22,23,25,80,81,82,83 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -m multiport --sport 110,111,113,139,443,3128,5190,8080,8088 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -m multiport --dport 20,21,22,80,111,113,139,443 -j ACCEPT
#$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED --sport 32768:65535 --dport 1024:65535 -j ACCEPT
$IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED --sport 1024:65535 --dport 32768:65535 -j ACCEPT
$IPTABLES -A tcp_in_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "TCP in ppp died: "
$IPTABLES -A tcp_in_ppp -p TCP -j DROP
#
#Загружаем UDP rules для входящих потоков
#
$IPTABLES -A udp_in_ppp -p UDP --sport 53 -j ACCEPT
$IPTABLES -A udp_in_ppp -p UDP --sport 123 -j ACCEPT
$IPTABLES -A udp_in_ppp -p UDP --sport 137:138 --dport 137:138 -j ACCEPT
$IPTABLES -A udp_in_ppp -p UDP --sport 4000 -j ACCEPT
$IPTABLES -A udp_in_ppp -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "UDP in ppp died: "
$IPTABLES -A udp_in_ppp -p UDP -j DROP
#
####################
#
#Загружаем ICMP rules для исходящих потоков
#
$IPTABLES -A icmp_out_ppp -p ICMP --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_out_ppp -p ICMP --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_out_ppp -p ICMP --icmp-type 11 -j ACCEPT
$IPTABLES -A icmp_out_ppp -m limit --limit 6/minute --limit-burst 1 \-p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_out_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "ICMP out ppp died: "
$IPTABLES -A icmp_out_ppp -p ICMP -j DROP
#
#
#Загружаем TCP rules для исходящих потоков
#
$IPTABLES -A tcp_out_ppp -p TCP --sport 20:22 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 20:23 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 25 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 80 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 80:83 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 110 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 111 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 111 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 113 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 113 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 139 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 139 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 443 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 443 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 3128 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 5190 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 8080 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --dport 8088 -j ACCEPT
#$IPTABLES -A tcp_out_ppp -p TCP --sport 1024:65535 --dport 32768:65535 -j ACCEPT
$IPTABLES -A tcp_out_ppp -p TCP --sport 32768:65535 --dport 1024:65535 -j ACCEPT
$IPTABLES -A tcp_out_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG \--log-prefix "TCP out ppp died: "
$IPTABLES -A tcp_out_ppp -p TCP -j DROP
#
#Загружаем UDP rules для исходящих потоков
#
$IPTABLES -A udp_out_ppp -p UDP --dport 53 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --dport 67:68 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --dport 123 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --sport 137:138 --dport 137:138 -j ACCEPT
$IPTABLES -A udp_out_ppp -p UDP --dport 4000 -j ACCEPT
$IPTABLES -A udp_out_ppp -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "UDP in out died: "
$IPTABLES -A udp_out_ppp -p UDP -j DROP
#
###################
#
#INPUT chain
#
#Регистрируем и удаляем все "проблемные" входящие извне TCP пакеты
#
$IPTABLES -A INPUT -p tcp -i $INET_IFACE -j bad_tcp_packets
#
#Регистрируем и удаляем входящие спуффинг-пакеты
#
$IPTABLES -A INPUT -i $INET_IFACE -j spuff_in_ppp
#
#"Направляющие" для локальных и "перенаправляющие" для inet пакетов rules
#
$IPTABLES -A INPUT -p ICMP -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_in_ppp
$IPTABLES -A INPUT -p TCP -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_in_ppp
$IPTABLES -A INPUT -p UDP -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_in_ppp
#
#Регистрирующее rule для "неохваченых" входящих пакетов
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "IP INPUT packet died: "
#
#OUTPUT chain
#
#Регистрируем и удаляем все "проблемные" TCP пакеты, идущие наружу.
#
$IPTABLES -A OUTPUT -p tcp -o $INET_IFACE -j bad_tcp_packets
#
#Регистрируем и удаляем исходящие спуффинг-пакеты
#
$IPTABLES -A OUTPUT -o $INET_IFACE -j spuff_out_ppp
#
#Разрешающее для исходящих пакетов.
#
$IPTABLES -A OUTPUT -p ICMP -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p ICMP -o $INET_IFACE -j icmp_out_ppp
$IPTABLES -A OUTPUT -p TCP -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -o $INET_IFACE -j tcp_out_ppp
$IPTABLES -A OUTPUT -p UDP -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p UDP -o $INET_IFACE -j udp_out_ppp
#
#Регистрирующее rule для "неохваченых" исходящих пакетов
#
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 6 -j LOG \--log-prefix "IP OUTPUT packet died: "