Iptables, NAT, PPTP, как запретить все, кроме необходимого?

Question

vetash @vetash

Iptables, NAT, PPTP, как запретить все, кроме необходимого?

Необходимо запретить все порты, кроме необходимых на интерфейсах eth0 и ppp0.
(Провайдер использует PPTP Dual Acces)

Имеем такой конфиг:

#!/bin/sh
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT
# Включаем NAT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.55.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.55.0/24 -j MASQUERADE
# Разрешаем ответы из внешней сети
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i ppp0 -o eth1 -j REJECT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

#Запретить Samba снаружи
iptables -A INPUT -i eth0 -p udp --dport 139 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 139 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 445 -j DROP

iptables -A INPUT -i ppp0 -p udp --dport 139 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 139 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP

Что нужно добавить, чтобы на внешних интерфейсах работали порты только:
22,53,80,443,933,465,25,587,143?
Что надо добавить, чтобы отбрасывать нежелательные пакеты?

ptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Нашел вот такие опции - только не понял, где надо указывать Интерфейсы на которых оно должно работать.
В общем, опять запутался в правилах iptables, помогите, тону!

Вопрос задан более трёх лет назад
5380 просмотров

2 комментария

Подписаться 2 Оценить 2 комментария

sonik_spb @sonik_spb

Какие политике стоят по умолчанию? Покажите
iptables -S

Написано более трёх лет назад

vetash @vetash Автор вопроса

Добавил еще 2 строки:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Включаем сегментацию пакетов
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Но, думаю не особо повлияет на ответы.
Вот:

#iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 445 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 139 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 445 -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

2 комментария

vetash @vetash Автор вопроса

Хорошо, а как запретить все остальные?

Написано более трёх лет назад
sonik_spb @sonik_spb

У вас сейчас по умолчанию политика фаервола такая:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Что означает что всё что не запрещено явно - разрешено.

если вам нужно запретить всё кроме того что у вас разрешено явно, тогда вам стоит поменять политику по умолчанию.

Менять так:
iptables -P имя_цепочки DROP

INPUT - входящие соединения
FORWARD - то что сервер пересылает в сеть\из сети
OUTPUT - исходящие соединения

делайте допустим на INPUT по умолчанию всё DROP и открывайте правилами только нужные порты.

Помните - что по сети настраивать фаервол дело не благодарное! Советую всё это изучать только если вы имеете локальный доступ к данному компьютеру.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Сетевое администрирование

+3 ещё

Средний
Как перенастроить шаблон Zabbix для MT RB2011 CAPsMAN?
- 1 подписчик
- вчера
- 65 просмотров
1

ответ
Windows

+3 ещё

Простой
Можно ли иметь два или более сертификата на сервере Exchange 2013 с одинаково назначенными службами?
- 2 подписчика
- 29 апр.
- 174 просмотра
1

ответ
Компьютерные сети

+1 ещё

Простой
Что нужно знать начинающему системному администратору?
- 2 подписчика
- 28 апр.
- 1460 просмотров
6

ответов
Компьютерные сети

+2 ещё

Простой
Почему не работает интернет через кабель на пк?
- 1 подписчик
- 28 апр.
- 404 просмотра
4

ответа
Сетевое администрирование

+2 ещё

Простой
Почему не отрабывают правила Forward в Firewall MikroTik?
- 2 подписчика
- 27 апр.
- 282 просмотра
1

ответ
Linux

+2 ещё

Средний
Почему не получается произвести аутентификацию нод?
- 1 подписчик
- 25 апр.
- 74 просмотра
0

ответов
Сетевое администрирование

+1 ещё

Простой
Настроить wake on lan для AnyDesk?
- 6 подписчиков
- 24 апр.
- 8508 просмотров
5

ответов
Linux

+2 ещё

Средний
Не вижу вводимые символы в консоли Debian 10?
- 2 подписчика
- 23 апр.
- 223 просмотра
0

ответов
Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- 22 апр.
- 253 просмотра
1

ответ
Debian

Простой
Как в Debian с помощью find нати каталоги созданные 1 час назад?
- 1 подписчик
- 22 апр.
- 53 просмотра
2

ответа
Показать ещё Загружается…

Системный инженер

САТЕЛ • Нижний Новгород

от 160 000 ₽

Специалист технической поддержки (работа из офиса г.Казань)

Данафлекс • Казань

от 60 000 ₽

Системный Администратор

DBI • Ростов-на-Дону

от 100 000 ₽

Изменение темы сайта на ghost cms

02 мая 2024, в 04:47

5000 руб./за проект

Symfony, Vue - Сервис автоматизации бизнеса натяжных потолков

02 мая 2024, в 04:44

700 руб./в час

Интеграция бс24 с сайтом на битрикс

02 мая 2024, в 03:39

7000 руб./за проект

Какие политике стоят по умолчанию? Покажите
iptables -S
Добавил еще 2 строки:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #Включаем сегментацию пакетов iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Но, думаю не особо повлияет на ответы.
Вот:
#iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p udp -m udp --dport 139 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 445 -j DROP -A INPUT -i ppp0 -p udp -m udp --dport 139 -j DROP -A INPUT -i ppp0 -p tcp -m tcp --dport 139 -j DROP -A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP -A INPUT -i ppp0 -p udp -m udp --dport 445 -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -i eth1 -o ppp0 -j ACCEPT -A FORWARD -i eth1 -o eth0 -j ACCEPT -A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ppp0 -o eth1 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable

Answer 1 · 2014-03-11 08:51:28

Skazik @Skazik

Например -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
Интерфейс указывается после -i

Ответ написан более трёх лет назад

2 комментария

Iptables, NAT, PPTP, как запретить все, кроме необходимого?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт