Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #!/bin/sh
- ##############################################################################
- # Nazwa i lokalizacja programu
- IPTABLES=iptables
- # Sciezka do pliku wykonywlanego
- PATH="/usr/sbin"
- # Adres serwera - naszego kompa
- SERWER="192.168.0.3"
- # Adres komputera z ktorego logujemy sie jako admin :)
- KOMP="192.168.0.10"
- # Przestrzen adresowa naszej sieci wewnetrzenej i karta ja obslugujaca
- WEW_NET="192.168.0.1/28"
- WEW_DEV="eth0"
- # Adres wyjsciowy - zewnetrzny i karta obslugujaca
- ZEW_NET="0/0" # 0/0 wskazuje jakikolwiek adres IP
- ZEW_DEV="eth1"
- # Uslugi TCP,ktore chcemy przepuszczac - "" puste oznacza wszystkie porty
- # kolejne oddzielamy przecinkami
- TCP_IN="www,ssh,ftp-data,ftp" # 80,22,20,21
- TCP_OUT="www,ftp,ftp-data,irc,ssh" # 80,21,20, ,22
- # Uslugi UDP,ktore przepuszczamy - "" puste oznacza wszytskie porty
- # kolejne oddzielone przecinkami
- UDP_IN="443,465,995"
- UDP_OUT=""
- # Uslugi ICMP, ktore chcemy przepuszczac - "" puste oznacza wszystkie typy
- # kolejne oddzielone przecinkami
- ICMP_IN=""
- ICMP_OUT=""
- #################################################################################
- # Usuwamy poprzednie reguly
- $IPTABLES -F INPUT
- $IPTABLES -F FORWARD
- $IPTABLES -F OUTPUT
- # Ustawienie domyslnej polityki
- $IPTABLES -P INPUT DROP
- $IPTABLES -P OUTPUT ACCEPT # akceptujemy wszystko co od nas wychodzi
- $IPTABLES -P FORWARD DROP
- # Zapisujemy caly nasz ruch w logach
- $IPTABLES -A INPUT -j LOG -m limit --limit 15/hor # 15 logów na godzine
- $IPTABLES -A OUTPUT -j LOG -m limit --limit 15/hour
- $IPTABLES -A FORWARD -j LOG -m limit --limit 15/hour
- # Ladujemy mozliwosc sledzenia polaczen
- modprobe ip_conntarck
- modprobe ip_conntarck_ftp
- # Wylaczamy odpowiedzi na pingi
- #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
- # Ochrona przed atakami typu Smurf
- echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- # Wlaczamy ochrone przed komunikacja ICMP error
- echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
- # Wlacza logowanie dziwnych pakietow (spoofed. source routed. redirects)
- echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
- # Nie akceptujemy datagramu IP z opcja "source route"
- echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
- # Nie przyjmujemy pakietow ICMP redict, ktore moga zmienic nasza tablice routingu
- echo "0" /proc/sys/net/ipv4/conf/all/accept_redirects
- # Wszystkie karty nie beda przyjmowaly pakietow z sieici innych niz te
- # z tablicy routingu
- echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
- # Pozwalamy pakietom biegac po naszym komputerze
- # czyli odblokowujemy petle zwrotna LOOPBACK
- $IPTABLES -A INPUT -i lo -j ACCEPT
- $IPTABLES -A OUTPUT -o lo -j ACCEPT
- # Pozwalamy na korzstanie z protokolow w trybie passive on
- $IPTABLES -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
- # Pozwalamy na pingowanie nas i innych (opcje te zadzialaja jezli nie wylaczymy
- # pingowania) patrz wyzej
- #$IPTABLES -A INPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT
- #$IPTABLES -A OUTPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT
- $IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT # tylko my mozemy pingowac
- # Odblokowujemy uslugi na serwerze dla innych przychodzacych z zewnatrz
- #$IPTABLES -A INPUT -p tcp -s 0/0 --dport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
- #$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT # czyli www
- #$IPTABLES -A INPUT -p udp -s 0/0 --dport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT # czyli www
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
- $IPTABLES -A INPUT -p tcp -s 0/0 --dport 113 -j ACCEPT # identyfikacja
- $IPTABLES -A INPUT -p udp -s 0/0 --dport 1025:1100 -j ACCEPT # dla hotha
- # Odblokowujemy uslugi na sewerze dla danego adresu IP - KOMP patrz wyzej definicje TCP_IN, UDP_IN
- #$IPTABLES -A INPUT -p tcp -s $KOMP -m multiport --dport $TCP_IN -j ACCEPT # protokol tcp
- #$IPTABLES -A INPUT -p udp -s $KOMP -m multiport --dport $UDP_IN -j ACCEPT # protokol udp
- #$IPTABLES -A INPUT -p udp -s $KOMP --dport 137:139 -j ACCEPT # protokol udp
- # Zezwalamy na wszystko z danego adresu IP – administracja z tego adresu J
- $IPTABLES -A INPUT -s $KOMP -j ACCEPT # dlatego powyższe reguly sa wylaczone
- # dostep do DNS
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
- #$IPTABLES -A OUTPUT -p tcp -s $SERWER -d 0/0 --dport 53 -j ACCEPT
- #$IPTABLES -A OUTPUT -p udp -s $SERWER -d 0/0 --dport 53 -j ACCEPT
- #mozna i tak
- $IPTABLES –A INPUT –s 213.173.209.70 –j ACCEPT # DNSy tele2 J
- $IPTABLES –A INPUT –s 213.173.209.71–j ACCEPT
- # Teraz troche się pozamykamy J
- # Pakiety z adresem zrodlowym ustawionym na nasz
- $IPTABLES -A INPUT -i $WEW_DEV -s $SERWER -j DROP # atak Land
- # Pakiety z adresow nierutowlanych, multicast i zarezerwowanych
- $IPTABLES -A INPUT -i $WEW_DEV -s 10.0.0.0/8 -j DROP #class A
- $IPTABLES -A INPUT -i $WEW_DEV -s 172.16.0.0/12 -j DROP #class B
- #$IPTABLES -A INPUT -i $WEW_DEV -s 192.168.0.0/16 -j DROP #class C - z tego korzystamy
- $IPTABLES -A INPUT -i $WEW_DEV -s 224.0.0.0/4 -j DROP #multicast
- $IPTABLES -A INPUT -i $WEW_DEV -d 224.0.0.0/4 -j DROP #multicast
- $IPTABLES -A INPUT -i $WEW_DEV -s 240.0.0.0/5 -j DROP #reserved
- $IPTABLES -A INPUT -i $WEW_DEV -s 127.0.0.0/5 -j DROP #lo
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
