forum.lissyara.su

Код: Выделить всё

#!/bin/sh
inet=ppp0 # PPTP internet connect
lan=eth1  # KOUg local net
wan=eth0  # Beeline intranet

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $lan -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -p ALL -j ACCEPT
iptables -A FORWARD -s 127.0.0.1 -p ALL -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $inet -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $wan -j ACCEPT
iptables -A FORWARD -i $inet -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $lan -o $inet -j ACCEPT

iptables -A INPUT -i $inet -p tcp --dport microsoft-ds -j DROP
iptables -A INPUT -i $inet -p udp --dport microsoft-ds -j DROP


iptables -I INPUT -p tcp --dport ssh -i ppp0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport ssh -i ppp0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

iptables -t nat -A POSTROUTING -o $inet -j MASQUERADE
iptables -t nat -A POSTROUTING -o $wan -j MASQUERADE

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -t nat -I PREROUTING -p tcp --dport 4222:4333 -j DNAT --to-destination 192.168.0.2
iptables -t nat -I PREROUTING -p udp --dport 4222:4333 -j DNAT --to-destination 192.168.0.2
iptables -t nat -I PREROUTING -p tcp --dport 6881:6999 -j DNAT --to-destination 192.168.0.2
iptables -t nat -I PREROUTING -p udp --dport 6881:6999 -j DNAT --to-destination 192.168.0.2

iptables -A FORWARD -i $inet -o $inet -j REJECT
iptables -A FORWARD -i $wan -o $inet -j REJECT
iptables -A FORWARD -i $wan -o $wan -j REJECT

iptables -A INPUT -p icmp -j ACCEPT

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.31.224.7    10.17.0.1       255.255.255.255 UGH   0      0        0 eth0
172.31.224.254  *               255.255.255.255 UH    0      0        0 ppp0
10.16.0.0       *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
10.17.0.0       *               255.255.252.0   U     0      0        0 eth0
default         koug.org        0.0.0.0         UG    0      0        0 ppp0
default         10.17.0.1       0.0.0.0         UG    0      0        0 eth0

Код: Выделить всё

ping 10.16.174.252
PING 10.16.174.252 (10.16.174.252) 56(84) bytes of data.
^C
--- 10.16.174.252 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5014ms

Код: Выделить всё

ping -I eth0 10.16.174.252
PING 10.16.174.252 (10.16.174.252) from 10.17.3.124 eth0: 56(84) bytes of data.
64 bytes from 10.16.174.252: icmp_seq=1 ttl=123 time=0.694 ms
64 bytes from 10.16.174.252: icmp_seq=2 ttl=123 time=4.27 ms
64 bytes from 10.16.174.252: icmp_seq=3 ttl=123 time=0.552 ms
^C
--- 10.16.174.252 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 0.552/1.841/4.277/1.723 ms

Код: Выделить всё

#!/bin/bash
# Network information
LAN=eth1
WAN=eth0
INET=ppp0

# Clean iptables rule
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Add beeline WAN routing
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.17.0.1

# Accept loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -s 127.0.0.1 -p ALL -j ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -j ACCEPT
iptables -A FORWARD -i $INET -o $LAN -j ACCEPT
iptables -A FORWARD -i $WAN -o $LAN  -j ACCEPT
iptables -A FORWARD -i $LAN -o $INET -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
iptables -A FORWARD -i $INET -o $INET -j REJECT
iptables -A FORWARD -i $WAN -o $INET -j REJECT
iptables -A FORWARD -i $WAN -o $WAN -j REJECT

# Restrict ssh session from internet
iptables -I INPUT -p tcp --dport ssh -i $INET -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport ssh -i $INET -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP
iptables -I INPUT -p tcp --dport ssh -i $WAN  -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport ssh -i $WAN -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

# Disabling SMB connections from Internet
iptables -A INPUT -i $INET -p tcp --dport microsoft-ds -j DROP
iptables -A INPUT -i $INET -p udp --dport microsoft-ds -j DROP

# Accepting to hub server connection
iptables -A INPUT -p tcp --dport 411 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 411 -j ACCEPT
iptables -A INPUT -p tcp --dport 1209 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1209 -j ACCEPT

# Natting
iptables -t nat -A POSTROUTING -p tcp -j SNAT --to-source 195.46.164.177
iptables -t nat -A POSTROUTING -p tcp -j SNAT --to-source 10.17.3.124

iptables -t nat -I PREROUTING -p udp --dport 4222 -j DNAT --to 192.168.0.2:4222
iptables -I FORWARD -p udp -d 192.168.0.2 --dport 4222 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 4222 -j DNAT --to 192.168.0.2:4222
iptables -I FORWARD -p tcp -d 192.168.0.2 --dport 4222 -j ACCEPT
# Set all TTL to 64
iptables -t mangle -A PREROUTING -i $INET -j TTL --ttl-set 64

# Masquerade.
iptables -t nat -A POSTROUTING -o $INET -j MASQUERADE
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.31.224.7    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
172.31.224.253  0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
172.31.224.8    10.17.0.1       255.255.255.255 UGH   0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.17.0.0       0.0.0.0         255.255.252.0   U     0      0        0 eth0
10.0.0.0        10.17.0.1       255.0.0.0       UG    0      0        0 eth0
0.0.0.0         195.46.164.177  0.0.0.0         UG    0      0        0 ppp0
0.0.0.0         10.17.0.1       0.0.0.0         UG    0      0        0 eth0

Код: Выделить всё

WAN = eth0 // локалка провайдера 10.17.3.254 (похоже таки сделали статику)
LAN = eth1 // локалка моя 192.168.0.1
INET = pppo // инет через pptp сессию у провайдера, куплена статика... 195......

на роутере/компе : 
22 = SSH сервис
25 = SMTP сервис
80 = WWW сервис
110 = POP3 сервис
143 = IMAP сервис
411 = DC++ PtokaX сервис
1209 = DC++ PtokaX сервис

Код: Выделить всё

iptables -t nat -A POSTROUTING -o !$LAN -j MASQUERADE

Код: Выделить всё

1. PREROUTING
2. INPUT
3. FORWARD
4. OUTPUT
5. POSTROUTING

Код: Выделить всё

$!/bin/sh

WAN=eth0 # My local network 192.168.0.x
LAN=eth1 # Local network of my provider 10.x
INET=ppp0 # My internet connection via PPTP tunnel, have adress 195.46.164.177

# Clean iptables
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Block all connect and forwarding by default
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Accepting localhost
iptables -A INPUT -i lo -j ACCEPT

# LAN to WAN forwarding
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT

# LAN to INET forwarding
iptables -A FORWARD -i $LAN -o $INET -j ACCEPT


# Access to router services from
# LAN
iptables -A INPUT -p tcp -m tcp -i $LAN -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -i $LAN -j ACCEPT
# WAN
iptables -A INPUT -p tcp -m tcp -i $WAN -m multiport --dport 25,80,110,143,411,1209 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -i $WAN -m multiport --dport 25,80,110,143,411,1209 -j ACCEPT
# INET
iptables -A INPUT -p tcp -m tcp -i $INET -m multiport --dport 22,25,80,110,143,411,1209 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -i $INET -m multiport --dport 22,25,80,110,143,411,1209 -j ACCEPT

# enable routing

Код: Выделить всё

# Accepting localhost
iptables -A INPUT -i lo -j ACCEPT
# LAN
iptables -A INPUT -p tcp -m tcp -i $LAN -j ACCEPT
# WAN
iptables -A INPUT -p tcp -m tcp -i $WAN -m multiport --dport 25,80,110,143,411,1209 -j ACCEPT
# INET
iptables -A INPUT -p tcp -m tcp -i $INET -m multiport --dport 22,25,80,110,143,411,1209 -j ACCEPT

# LAN to WAN forwarding
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT

# LAN to INET forwarding
iptables -A FORWARD -i $LAN -o $INET -j ACCEPT


# Access to router services from
# LAN
iptables -A OUTPUT -p tcp -m tcp -i $LAN -j ACCEPT
# WAN
iptables -A OUTPUT -p tcp -m tcp -i $WAN -m multiport --dport 25,80,110,143,411,1209 -j ACCEPT
# INET
iptables -A OUTPUT -p tcp -m tcp -i $INET -m multiport --dport 22,25,80,110,143,411,1209 -j ACCEPT

Код: Выделить всё

#!/bin/sh 

Код: Выделить всё

$!/bin/sh

Код: Выделить всё

#!/bin/sh

# Переменные
WAN=eth0 # Моя локалка 192.168.0.x
LAN=eth1 # Локалка провайдера 10.x
INET=ppp0 # Интернет через туннель PPTP со статическим внешним адресом 195.46.164.177

# Чистим таблицы
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Устанавливаем правила по умолчанию, СБРОС ДЛЯ ВСЕХ...
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# INPUT
## разрешаем входящий на lo
iptables -A INPUT -i lo -j ACCEPT
## разрешаем входящий из LAN 
iptables -A INPUT -p tcp -m tcp -i $LAN -j ACCEPT
## разрешаем входящий из WAN
iptables -A INPUT -p tcp -m tcp -i $WAN -m multiport --dport 25,80,110,143,411,1209 -j ACCEPT
## разрешаем входящий из INET
iptables -A INPUT -p tcp -m tcp -i $INET -m multiport --dport 22,25,80,110,143,411,1209 -j ACCEPT

# FORWARD
## перенаправление трафика из LAN в WAN
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
## перенаправление трафика из LAN в INET
iptables -A FORWARD -i $LAN -o $INET -j ACCEPT


# OUTPUT
## разрешаем исходящий из LAN
iptables -A OUTPUT -p tcp -m tcp -i $LAN -j ACCEPT
## разрешаем исходящий из WAN
iptables -A OUTPUT -p tcp -m tcp -i $WAN -m multiport --dport 25,80,110,143,411,1209 -j ACCEPT
## разрешаем исходящий из INET
iptables -A OUTPUT -p tcp -m tcp -i $INET -m multiport --dport 22,25,80,110,143,411,1209 -j ACCEPT

Код: Выделить всё

6.5.6. Действие MASQUERADE

Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT.

Маскарадинг подразумевает получение IP адреса от заданного сетевого интерфейса, вместо прямого его указания, как это делается с помощью ключа --to-source в действии SNAT. Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию.

Как вы уже поняли, действие MASQUERADE может быть использовано вместо SNAT, даже если вы имеете постоянный IP адрес, однако, невзирая на положительные черты, маскарадинг не следует считать предпочтительным в этом случае, поскольку он дает большую нагрузку на систему.

Действие MASQUERADE допускается указывать только в цепочке POSTROUTING таблицы nat, так же как и действие SNAT. MASQUERADE имеет ключ, описываемый ниже, использование которого необязательно.

Таблица 6-19. Действие MASQUERADE
Ключ 	--to-ports
Пример 	iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
Описание 	Ключ --to-ports используется для указания порта источника или диапазона портов исходящего пакета. Можно указать один порт, например: --to-ports 1025, или диапазон портов как здесь: --to-ports 1024-3000. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol.

Код: Выделить всё

#!/bin/sh

# Переменные
WAN=eth0 # Моя локалка 192.168.0.x
LAN=eth1 # Локалка провайдера 10.x
INET=ppp0 # Интернет через туннель PPTP со статическим внешним адресом 195.46.164.177

# Чистим таблицы
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Устанавливаем правила по умолчанию, СБРОС ДЛЯ ВСЕХ...
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# INPUT
## разрешаем входящий на lo
iptables -A INPUT -i lo -j ACCEPT
## разрешаем входящий из LAN 
iptables -A INPUT -p tcp -m tcp -i $LAN -j ACCEPT
## разрешаем входящий из WAN
iptables -A INPUT -p tcp -m tcp -i $WAN -m multiport --dports 25,80,110,143,411,1209 -j ACCEPT
## разрешаем входящий из INET
iptables -A INPUT -p tcp -m tcp -i $INET -m multiport --dports 22,25,80,110,143,411,1209 -j ACCEPT
## разрешаем доступ к роутеру уже установленным соединениям
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# FORWARD
## перенаправление трафика из LAN в WAN
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT
## перенаправление трафика из LAN в INET
iptables -A FORWARD -i $LAN -o $INET -j ACCEPT
## перенаправление трафика из сети INET в LAN только установленным соединениям
iptables -A FORWARD -i $INET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
## перенаправление трафика из сети WAN в LAN только установленным соединениям
iptables -A FORWARD -i $WAN -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Преобразование адресов локальной сети
iptables -t nat -A POSTROUTING -o !$LAN -j MASQUERADE

# Разрешаем роутинг
echo 1 > /proc/sys/net/ipv4/ip_forward

Код: Выделить всё

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP