bin bash export IPT iptables Внешний интерфейс export WAN eno2 Локальн

  • Anonymous
  • Text only
  • 05 Aug 2019 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
#!/bin/bash



export IPT="iptables"



# Внешний интерфейс

export WAN=eno2



# Локальная сеть

export LAN1=eno1

export LAN1_IP_RANGE=192.168.65.0/24



# Очищаем правила

$IPT -F

$IPT -F -t nat

$IPT -F -t mangle

$IPT -X

$IPT -t nat -X

$IPT -t mangle -X



# Запрещаем все, что не разрешено

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP



# Разрешаем localhost и локалку

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A INPUT -i $LAN1 -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A OUTPUT -o $LAN1 -j ACCEPT



# Рзрешаем пинги

$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT



# Разрешаем все исходящие подключения сервера

$IPT -A OUTPUT -o $WAN -j ACCEPT

# Разрешаем все входящие подключения сервера

#$IPT -A INPUT -i $WAN -j ACCEPT



# разрешаем установленные подключения

$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT



# Отбрасываем неопознанные пакеты

$IPT -A INPUT -m state --state INVALID -j DROP

$IPT -A FORWARD -m state --state INVALID -j DROP



# Отбрасываем нулевые пакеты

$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP



# Закрываемся от syn-flood атак

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP



# Блокируем доступ с указанных адресов

#$IPT -A INPUT -s 84.122.21.197 -j REJECT



# Пробрасываем внешний порт 23543 на локальный адрес и порт 3389

#$IPT -t nat -A PREROUTING -p tcp --dport 23543 -i ${WAN} -j DNAT --to 10.1.3.50:3389

#$IPT -A FORWARD -i $WAN -d 10.1.3.50 -p tcp --dport 3389 -j ACCEPT



# Разрешаем доступ из локалки наружу

$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT

# Закрываем доступ снаружи в локалку

$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT



# Включаем NAT

$IPT -t nat -A POSTROUTING -j MASQUERADE



# Send to OpenVPN

ipset -N movelist nethash



#$IPT -t mangle -A OUTPUT -m set --match-set movelist dst -j MARK --set-mark 0x2

$IPT -t mangle -A INPUT -i $LAN1 -p tcp -d 178.62.9.171 -j MARK --set-mark 0x2

$IPT -t mangle -A OUTPUT -j CONNMARK --restore-mark





# Сохраняем правила

/sbin/iptables-save  > /etc/iptables.rules





-----------



ip route add default via 172.20.0.4 dev tun0 table 102

ip rule add fwmark 0x2/0x2 lookup 102
← newer dump
older dump →