IPTABLES settings on linux slackware server

1. # Удаление всех правил
2. echo "Delete firewall rules..."
3. iptables -F
4. iptables -F  -t nat
5. iptables -F  -t mangle
6. iptables -X
7. iptables -t nat -X
8. iptables -t mangle -X
9.  
10. # Запрет всего трафика
11. echo "Set main policy..."
12. iptables -P INPUT DROP
13. iptables -P OUTPUT DROP
14. iptables -P FORWARD DROP
15.  
16. # Включение логов (когда-то было для отладки)
17. #iptables -A INPUT -j LOG --log-prefix '[FW INPUT]:'
18. #iptables -A OUTPUT -j LOG --log-prefix '[FW OUTPUT]:'
19. #iptables -A FORWARD -j LOG --log-prefix '[FW FORWARD]:'
20.  
21. #Открываем порты VPN и протокол GRE для PPTP-VPN
22. #Есть как на сервере для виндовых клиентов,
23. #так и серверу может понадобиться  соединяться с VPN
24. echo "Open VPN ports and GRE..."
25. #to computer (входящие)
26. iptables -A INPUT  -p tcp --dport 1723 -j ACCEPT
27. iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
28. #from computer (исходящие)
29. iptables -A INPUT  -p tcp --sport 1723 -j ACCEPT
30. iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
31.  
32. iptables -A INPUT -p gre -j ACCEPT
33. iptables -A OUTPUT -p gre -j ACCEPT
34.  
35. #разрешить весь трафик на lo интерфейсе
36. echo "Accept all lo interface traffic..."
37. iptables -A INPUT -i lo -j ACCEPT
38. iptables -A OUTPUT -o lo -j ACCEPT
39.  
40. #открыть порты для VPN-клиентов (входящие)
41. # ssh (22 port)
42. echo "Open 22 port (ssh) for VPN clients..."
43. iptables -A INPUT  -s 172.16.1.0/24  -p tcp --dport 22 -j ACCEPT
44. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp --sport 22 -j ACCEPT
45. # XDMCP
46. echo "Open 177 port UDP (XDMCP) for VPN clients..."
47. iptables -A INPUT  -s 172.16.1.0/24  -p udp --dport 177 -j ACCEPT
48. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 177 -j ACCEPT
49.  
50. echo "Open 6000:6005 ports (Windows XDMCP) in both directions for VPN clients..."
51. iptables -A INPUT  -s 172.16.1.0/24  -p tcp -m multiport --dports 6000:6005 -j ACCEPT
52. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp -m multiport --sports 6000:6005 -j ACCEPT
53.  
54. iptables -A INPUT  -s 172.16.1.0/24  -p tcp -m multiport --sports 6000:6005 -j ACCEPT
55. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp -m multiport --dports 6000:6005 -j ACCEPT
56.  
57. echo "Open DNS for VPN clients..."
58. iptables -A INPUT  -s 172.16.1.0/24  -p udp --dport 53 -j ACCEPT
59. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 53 -j ACCEPT
60.  
61. iptables -A INPUT  -s 172.16.1.0/24  -p tcp --dport 53 -j ACCEPT
62. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 53 -j ACCEPT
63.  
64.  
65. #  Разрешить ICMP
66. echo "Allow ICMP and ports for TRACEROUTE..."
67. iptables -A INPUT  -p icmp -j ACCEPT
68. iptables -A OUTPUT -p icmp -j ACCEPT
69. #открыть порты для traceroute
70. iptables -A INPUT -p udp -m multiport --sports 33434:33534 -j ACCEPT
71. iptables -A OUTPUT -p udp -m multiport --dports 33434:33534 -j ACCEPT
72.  
73.  
74. #Открыть стандартные порты (входящие)
75. echo "Open standart ports (DNS,WWW, email) from server"
76. # 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg)
77. iptables -A INPUT -p udp -m multiport --sports 53,443 -j ACCEPT
78. iptables -A INPUT -p tcp -m multiport --sports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
79. iptables -A OUTPUT -p udp -m multiport --dports 53,443 -j ACCEPT
80. iptables -A OUTPUT -p tcp -m multiport --dports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
81.  
82. #FTP (21,20,49152-65534 tcp) пока не нужен
83. #echo "Setup FTP access from server..."
84. # 21 & 49... from computer
85. #iptables -A INPUT -p tcp -m multiport --sports 21,49155:65534 -j ACCEPT
86. #iptables -A OUTPUT -p tcp -m multiport --dports 21,49155:65534 -j ACCEPT
87. # 20 - to computer
88. #iptables -A INPUT  -p tcp --dport 20 -j ACCEPT
89. #iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT