Advertisement
tolikpunkoff

IPTABLES settings on linux slackware server

Oct 20th, 2019
1,233
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
Bash 3.81 KB | None | 0 0
  1. # Удаление всех правил
  2. echo "Delete firewall rules..."
  3. iptables -F
  4. iptables -F  -t nat
  5. iptables -F  -t mangle
  6. iptables -X
  7. iptables -t nat -X
  8. iptables -t mangle -X
  9.  
  10. # Запрет всего трафика
  11. echo "Set main policy..."
  12. iptables -P INPUT DROP
  13. iptables -P OUTPUT DROP
  14. iptables -P FORWARD DROP
  15.  
  16. # Включение логов (когда-то было для отладки)
  17. #iptables -A INPUT -j LOG --log-prefix '[FW INPUT]:'
  18. #iptables -A OUTPUT -j LOG --log-prefix '[FW OUTPUT]:'
  19. #iptables -A FORWARD -j LOG --log-prefix '[FW FORWARD]:'
  20.  
  21. #Открываем порты VPN и протокол GRE для PPTP-VPN
  22. #Есть как на сервере для виндовых клиентов,
  23. #так и серверу может понадобиться  соединяться с VPN
  24. echo "Open VPN ports and GRE..."
  25. #to computer (входящие)
  26. iptables -A INPUT  -p tcp --dport 1723 -j ACCEPT
  27. iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
  28. #from computer (исходящие)
  29. iptables -A INPUT  -p tcp --sport 1723 -j ACCEPT
  30. iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
  31.  
  32. iptables -A INPUT -p gre -j ACCEPT
  33. iptables -A OUTPUT -p gre -j ACCEPT
  34.  
  35. #разрешить весь трафик на lo интерфейсе
  36. echo "Accept all lo interface traffic..."
  37. iptables -A INPUT -i lo -j ACCEPT
  38. iptables -A OUTPUT -o lo -j ACCEPT
  39.  
  40. #открыть порты для VPN-клиентов (входящие)
  41. # ssh (22 port)
  42. echo "Open 22 port (ssh) for VPN clients..."
  43. iptables -A INPUT  -s 172.16.1.0/24  -p tcp --dport 22 -j ACCEPT
  44. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp --sport 22 -j ACCEPT
  45. # XDMCP
  46. echo "Open 177 port UDP (XDMCP) for VPN clients..."
  47. iptables -A INPUT  -s 172.16.1.0/24  -p udp --dport 177 -j ACCEPT
  48. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 177 -j ACCEPT
  49.  
  50. echo "Open 6000:6005 ports (Windows XDMCP) in both directions for VPN clients..."
  51. iptables -A INPUT  -s 172.16.1.0/24  -p tcp -m multiport --dports 6000:6005 -j ACCEPT
  52. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp -m multiport --sports 6000:6005 -j ACCEPT
  53.  
  54. iptables -A INPUT  -s 172.16.1.0/24  -p tcp -m multiport --sports 6000:6005 -j ACCEPT
  55. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp -m multiport --dports 6000:6005 -j ACCEPT
  56.  
  57. echo "Open DNS for VPN clients..."
  58. iptables -A INPUT  -s 172.16.1.0/24  -p udp --dport 53 -j ACCEPT
  59. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 53 -j ACCEPT
  60.  
  61. iptables -A INPUT  -s 172.16.1.0/24  -p tcp --dport 53 -j ACCEPT
  62. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 53 -j ACCEPT
  63.  
  64.  
  65. #  Разрешить ICMP
  66. echo "Allow ICMP and ports for TRACEROUTE..."
  67. iptables -A INPUT  -p icmp -j ACCEPT
  68. iptables -A OUTPUT -p icmp -j ACCEPT
  69. #открыть порты для traceroute
  70. iptables -A INPUT -p udp -m multiport --sports 33434:33534 -j ACCEPT
  71. iptables -A OUTPUT -p udp -m multiport --dports 33434:33534 -j ACCEPT
  72.  
  73.  
  74. #Открыть стандартные порты (входящие)
  75. echo "Open standart ports (DNS,WWW, email) from server"
  76. # 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg)
  77. iptables -A INPUT -p udp -m multiport --sports 53,443 -j ACCEPT
  78. iptables -A INPUT -p tcp -m multiport --sports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
  79. iptables -A OUTPUT -p udp -m multiport --dports 53,443 -j ACCEPT
  80. iptables -A OUTPUT -p tcp -m multiport --dports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
  81.  
  82. #FTP (21,20,49152-65534 tcp) пока не нужен
  83. #echo "Setup FTP access from server..."
  84. # 21 & 49... from computer
  85. #iptables -A INPUT -p tcp -m multiport --sports 21,49155:65534 -j ACCEPT
  86. #iptables -A OUTPUT -p tcp -m multiport --dports 21,49155:65534 -j ACCEPT
  87. # 20 - to computer
  88. #iptables -A INPUT  -p tcp --dport 20 -j ACCEPT
  89. #iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement