From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 30 Dec 2005 09:48:24 +0200 To: "ALT Linux Community" From: "Maxim Mogilevsky" Content-Type: multipart/mixed; boundary=----------fwfGovrQ9oHGQO8igFtqjp MIME-Version: 1.0 Message-ID: User-Agent: Opera M2/7.50 (Linux, build 673) Subject: [Comm] iptables for pptp via eth0 X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 30 Dec 2005 08:00:18 -0000 Archived-At: List-Archive: List-Post: ------------fwfGovrQ9oHGQO8igFtqjp Content-Type: text/plain; format=flowed; delsp=yes; charset=koi8-r Content-Transfer-Encoding: 8bit ALM2.4 Подскажите какие изменения надо сделать в правилах для того, чтобы поднимался pptp, без iptables поднимается. В инструкции на pptp нашел правила для iptables, не все понял, но там ссылки на протокол gre в /etc/service такого не нашел. Спасибо Максим ------------fwfGovrQ9oHGQO8igFtqjp Content-Disposition: attachment; filename=iptables.home Content-Type: application/octet-stream; name=iptables.home Content-Transfer-Encoding: 8bit #!/bin/bash # # file /etc/sysconfig/iptable_ppp.sh - Initial IP Firewall script for 2.4.x # # Author: Vladimir Kholmanov, changes Eugene Prokopiev # use at your own risk # ################################################################################ EXTERNAL_IFACE_1="eth0" EXTERNAL_IFACE_2="ppp7" #INTERNAL_IFACE="eth0" LOCAL_IFACE="lo" IPTABLES="/sbin/iptables" ################################################################################ # Проверка зависимостей в загружаемых IPTables modules # /sbin/depmod -a # ################################################################################ # Устанавливаем default policies для INPUT, FORWARD и OUTPUT chains # $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT ################################################################################ # Создаем дочерние chains для ICMP, TCP и UDP протоколов. # $IPTABLES -N icmp_in_ppp $IPTABLES -N tcp_in_ppp $IPTABLES -N udp_in_ppp ################################################################################ # Загружаем ICMP rules для входящих потоков # $IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 3 -j ACCEPT $IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 0 -j ACCEPT $IPTABLES -A icmp_in_ppp -p ICMP --icmp-type 11 -j ACCEPT $IPTABLES -A icmp_in_ppp -m limit --limit 6/minute --limit-burst 1 -p ICMP --icmp-type 8 -j ACCEPT $IPTABLES -A icmp_in_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG --log-prefix "ICMP in ppp died: " $IPTABLES -A icmp_in_ppp -p ICMP -j DROP ################################################################################ # Загружаем TCP rules для входящих потоков # $IPTABLES -A tcp_in_ppp -p TCP --syn --dport 80 -j ACCEPT $IPTABLES -A tcp_in_ppp -p TCP --syn --dport 22 -j ACCEPT $IPTABLES -A tcp_in_ppp -p TCP --syn --dport 53 -j ACCEPT $IPTABLES -A tcp_in_ppp -p TCP --syn --dport 123 -j ACCEPT $IPTABLES -A tcp_in_ppp -p TCP --syn --dport 6000 -j DROP $IPTABLES -A tcp_in_ppp -p TCP --syn --dport 1024:65535 -j ACCEPT $IPTABLES -A tcp_in_ppp -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A tcp_in_ppp -m limit --limit 2/minute --limit-burst 4 -j LOG --log-prefix "TCP in ppp died: " $IPTABLES -A tcp_in_ppp -p TCP -j DROP ################################################################################ # Загружаем UDP rules для входящих потоков # $IPTABLES -A udp_in_ppp -p UDP --dport 53 -j ACCEPT $IPTABLES -A udp_in_ppp -p UDP --dport 123 -j ACCEPT $IPTABLES -A udp_in_ppp -p UDP --dport 1024:65535 -j ACCEPT $IPTABLES -A udp_in_ppp -m limit --limit 3/minute --limit-burst 6 -j LOG --log-prefix "UDP in ppp died: " $IPTABLES -A udp_in_ppp -p UDP -j DROP ################################################################################ # INPUT chain # # Регистрируем и удаляем "проблемные" TCP пакеты. # $IPTABLES -A INPUT -i $EXTERNAL_IFACE -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPTABLES -A INPUT -i $EXTERNAL_IFACE -p tcp ! --syn -m state --state NEW -j DROP ################################################################################ # "Направляющие" для локальных и "перенаправляющие" для inet пакетов rules. # $IPTABLES -A INPUT -p TCP -i $LOCAL_IFACE -j ACCEPT #$IPTABLES -A INPUT -p TCP -i $INTERNAL_IFACE -j ACCEPT $IPTABLES -A INPUT -p TCP -i $EXTERNAL_IFACE_1 -j tcp_in_ppp $IPTABLES -A INPUT -p TCP -i $EXTERNAL_IFACE_2 -j tcp_in_ppp $IPTABLES -A INPUT -p UDP -i $LOCAL_IFACE -j ACCEPT #$IPTABLES -A INPUT -p UDP -i $INTERNAL_IFACE -j ACCEPT $IPTABLES -A INPUT -p UDP -i $EXTERNAL_IFACE_1 -j udp_in_ppp $IPTABLES -A INPUT -p UDP -i $EXTERNAL_IFACE_2 -j udp_in_ppp $IPTABLES -A INPUT -p ICMP -i $LOCAL_IFACE -j ACCEPT #$IPTABLES -A INPUT -p ICMP -i $INTERNAL_IFACE -j ACCEPT $IPTABLES -A INPUT -p ICMP -i $EXTERNAL_IFACE_1 -j icmp_in_ppp $IPTABLES -A INPUT -p ICMP -i $EXTERNAL_IFACE_2 -j icmp_in_ppp ################################################################################ # Регистрирующее rule для "неохваченных" пакетов. # $IPTABLES -A INPUT -m limit --limit 10/minute --limit-burst 6 -j LOG --log-prefix "IP INPUT packet died: " ################################################################################ # Корректировка уязвимости NAT # $IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP ##if [ $PPPOE_PMTU == "yes" ] ; then # $IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN \ # -j TCPMSS --clamp-mss-to-pmtu #fi #$IPTABLES -t nat -P POSTROUTING DROP #$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL_IFACE -j MASQUERADE ------------fwfGovrQ9oHGQO8igFtqjp--