From: aek <aek@taxpol.krasnoyarsk.su>
To: "Половников Денис" <community@altlinux.ru>
Subject: [Comm] Re: [Comm] Re: [Comm] Re: [Comm] Народ поделитесь кому незалко.
Date: Tue, 4 Feb 2003 10:06:26 +0700
Message-ID: <18421.030204@taxpol.krasnoyarsk.su> (raw)
In-Reply-To: <33420737093.20030203151742@transbank.ru>
Hello Половников,
Monday, February 03, 2003, 7:17:42 PM, you wrote:
ПД>>> Народ поделитесь кому незалко простеньким скриптиком с правиломи
ПД>>> iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
ПД>>> примере посмотреть. А то мне срочно надо поднять iptables на серваке.
ПД>>> Помогите плиз...
ПД> Одна сетивуха eth0 смотрит в инет на ней нужен только 53,22 а вторая
ПД> eth1 в локалку нужно чтоб были открыты 25,110, 3128 ... Просто чтоб юзеры
ПД> могли получать и отправлять почту и через squid в инет ходить.
Как просил - примеры, свои интерфейсы/сети уж сам пропишешь.
Вроде все прозрачней некуда...
параметры --sport 0:65535 --dport 0:65535 смело можешь повырезать
(если не лень)
Пример файлика no_fire.sh
#!/bin/sh
# Delete any existing chains
/sbin/iptables -F
/sbin/iptables -X
# accept all traffic
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
Пример файлика fire.sh
#!/bin/sh
#
# Delete any existing chains
/sbin/iptables -F
/sbin/iptables -X
# Shut down all traffic
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
# Allow 'loopback interface'
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# Allow 'domain'
/sbin/iptables -A INPUT -p tcp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 53 --dport 0:65535 -j ACCEPT
# Allow 'ping'
# Echo Request
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
# Echo reply
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT
# Allow 'ntp'
/sbin/iptables -A INPUT -p tcp -s 10.55.8.0/21 --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 123 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 10.55.8.0/21 --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 123 -d 10.55.8.0/21 -j ACCEPT
# Allow 'nntp'
/sbin/iptables -A INPUT -p tcp -s 10.0.0.0/8 --dport 119 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 119 -d 10.0.0.0/8 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.0.0.0/8 --dport 119 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -s 10.0.0.0/8 --sport 119 -j ACCEPT
# Allow 'smtp'
/sbin/iptables -A INPUT -p tcp --sport 0:65535 --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 25 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 0:65535 --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn --sport 25 --dport 0:65535 -j ACCEPT
# Allow 'pop3'
/sbin/iptables -A INPUT -p tcp -s 10.55.8.0/21 --sport 0:65535 --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 110 -d 10.55.8.0/21 --dport 0:65535 -j ACCEPT
# Allow 'ssh'
/sbin/iptables -A INPUT -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 22 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -s 10.55.8.0/21 --sport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.1.30.3/32 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn --sport 22 -d
10.1.30.3/32 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn --sport 22 -d
10.55.8.0/21 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth2 -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -p tcp ! --syn --sport 22 -d
10.55.8.0/21 -j ACCEPT
# Allow 'http'
/sbin/iptables -A INPUT -p tcp -s 10.55.8.0/21 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 80 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.0.0.0/8 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn --sport 80 -s 10.0.0.0/8 -j ACCEPT
# Allow 'https'
/sbin/iptables -A INPUT -p tcp -s 10.55.8.0/21 --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 443 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 10.55.8.0/21 --dport 1100 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 1100 -d 10.55.8.0/21 -j ACCEPT
Ногами просьба не пинать. Если что лишнее, подкорректируйте...
--
Всех благ!
Анатолий
next prev parent reply other threads:[~2003-02-04 3:06 UTC|newest]
Thread overview: 6+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-02-03 10:10 Половников Денис
2003-02-03 11:04 ` [Comm] " aek
2003-02-03 12:17 ` [Comm] " Половников Денис
2003-02-04 3:06 ` aek [this message]
2003-02-04 6:11 ` [Comm] Re: [Comm] " Половников Денис
2003-02-07 9:30 ` Maxim.Savrilov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=18421.030204@taxpol.krasnoyarsk.su \
--to=aek@taxpol.krasnoyarsk.su \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git