Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #!/bin/sh
- # Nazwa i lokalizacja programu
- IPTABLES=iptables
- # Sciezka do pliku wykonywlanego
- PATH="/usr/sbin"
- SERWER="83.xx.xx.xx"
- # Adres komputera z którego logujemy się jako admin
- KOMP="moje ip"
- # Przestrzen adresowa naszej sieci wewnetrzenej i karta ja obslugujaca
- WEW_NET="192.168.0.1/28"
- WEW_DEV="eth0"
- # Adres wyjsciowy - zewnetrzny i karta obslugujaca
- ZEW_NET="0/0"
- ZEW_DEV="eth1"
- # Uslugi TCP
- TCP_IN="www,ssh,ftp-data,ftp"
- TCP_OUT="www,ftp,ftp-data,ssh"
- #Uslugi UDP
- UDP_IN="443,465,995"
- UDP_OUT=""
- # Uslugi ICMP
- ICMP_IN=""
- ICMP_OUT=""
- #################################################################################
- # Usuwanie poprzednich regul
- $IPTABLES -F INPUT
- $IPTABLES -F FORWARD
- $IPTABLES -F OUTPUT
- # Ustawienie domyslnej polityki
- $IPTABLES -P INPUT DROP
- $IPTABLES -P OUTPUT ACCEPT
- $IPTABLES -P FORWARD DROP
- # Logi
- $IPTABLES -A INPUT -j LOG -m limit --limit 15/hor # 15 logów na godzine
- $IPTABLES -A OUTPUT -j LOG -m limit --limit 15/hour
- $IPTABLES -A FORWARD -j LOG -m limit --limit 15/hour
- # Sledzenie polaczen
- modprobe ip_conntarck
- modprobe ip_conntarck_ftp
- # Wylaczenie odpowiedzi na pingi
- echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
- # Ochrona przed atakami typu Smurf
- echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- # Ochrona przed komunikacja ICMP error
- echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
- # Logowanie dziwnych pakietow (spoofed. source routed. redirects)
- echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
- # Brak akceptacji datagramu IP z opcja "source route"
- echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
- # Brak przyjmowania pakietow ICMP redict, ktore moga zmienic tablice routingu
- echo "0" /proc/sys/net/ipv4/conf/all/accept_redirects
- # Wszystkie karty nie beda przyjmowaly pakietow z sieici innych niz te
- # z tablicy routingu
- echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
- # Odblokowanie petli zwrotnej LOOPBACK
- $IPTABLES -A INPUT -i lo -j ACCEPT
- $IPTABLES -A OUTPUT -o lo -j ACCEPT
- # Korzystanie z protokolow w trybie passive on
- $IPTABLES -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
- # Odblokowanie uslug na serwerze dla innych przychodzacych z zewnatrz
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT # czyli www
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
- $IPTABLES -A INPUT -p tcp -s 0/0 --dport 113 -j ACCEPT # identyfikacja
- $IPTABLES -A INPUT -p udp -s 0/0 --dport 1025:1100 -j ACCEPT # dla hotha
- # Administracja z tego adresu
- $IPTABLES -A INPUT -s $KOMP -j ACCEPT
- # dostep do DNS
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
- # Pakiety z adresem zrodlowym
- $IPTABLES -A INPUT -i $WEW_DEV -s $SERWER -j DROP # atak Land
- # Pakiety z adresow nierutowlanych, multicast i zarezerwowanych
- $IPTABLES -A INPUT -i $WEW_DEV -s 10.0.0.0/8 -j DROP #class A
- $IPTABLES -A INPUT -i $WEW_DEV -s 172.16.0.0/12 -j DROP #class B
- #$IPTABLES -A INPUT -i $WEW_DEV -s 192.168.0.0/16 -j DROP #class C
- $IPTABLES -A INPUT -i $WEW_DEV -s 224.0.0.0/4 -j DROP #multicast
- $IPTABLES -A INPUT -i $WEW_DEV -d 224.0.0.0/4 -j DROP #multicast
- $IPTABLES -A INPUT -i $WEW_DEV -s 240.0.0.0/5 -j DROP #reserved
- $IPTABLES -A INPUT -i $WEW_DEV -s 127.0.0.0/5 -j DROP #lo
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement