#!/bin/sh# Nazwa i lokalizacja programuIPTABLES=iptables# Sciezka do pli

1. #!/bin/sh
2. # Nazwa i lokalizacja programu
3. IPTABLES=iptables
4.  
5. # Sciezka do pliku wykonywlanego
6. PATH="/usr/sbin"
7.  
8. SERWER="83.xx.xx.xx"
9.  
10. # Adres komputera z którego logujemy się jako admin
11. KOMP="moje ip"
12.  
13. # Przestrzen adresowa naszej sieci wewnetrzenej i karta ja obslugujaca
14. WEW_NET="192.168.0.1/28"
15. WEW_DEV="eth0"
16.  
17. # Adres wyjsciowy - zewnetrzny i karta obslugujaca
18. ZEW_NET="0/0"
19. ZEW_DEV="eth1"
20.  
21. # Uslugi TCP
22. TCP_IN="www,ssh,ftp-data,ftp"          
23. TCP_OUT="www,ftp,ftp-data,ssh"    
24.  
25. #Uslugi UDP
26. UDP_IN="443,465,995"
27. UDP_OUT=""
28.  
29. # Uslugi ICMP
30. ICMP_IN=""
31. ICMP_OUT=""
32.  
33. #################################################################################
34. # Usuwanie poprzednich regul
35. $IPTABLES -F INPUT
36. $IPTABLES -F FORWARD
37. $IPTABLES -F OUTPUT
38.  
39. # Ustawienie domyslnej polityki
40. $IPTABLES -P INPUT DROP
41. $IPTABLES -P OUTPUT ACCEPT  
42. $IPTABLES -P FORWARD DROP
43.  
44. # Logi
45. $IPTABLES -A INPUT -j LOG -m limit --limit 15/hor              # 15 logów na godzine
46. $IPTABLES -A OUTPUT -j LOG -m limit --limit 15/hour
47. $IPTABLES -A FORWARD -j LOG -m limit --limit 15/hour
48.  
49. # Sledzenie polaczen
50. modprobe ip_conntarck
51. modprobe ip_conntarck_ftp
52.  
53. # Wylaczenie odpowiedzi na pingi
54. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
55.  
56. # Ochrona przed atakami typu Smurf
57. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
58.  
59. # Ochrona przed komunikacja ICMP error
60. echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
61.  
62. # Logowanie dziwnych pakietow (spoofed. source routed. redirects)
63. echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
64.  
65. # Brak akceptacji datagramu IP z opcja "source route"
66. echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
67.  
68. # Brak przyjmowania pakietow ICMP redict, ktore moga zmienic tablice routingu
69. echo "0" /proc/sys/net/ipv4/conf/all/accept_redirects
70.  
71. # Wszystkie karty nie beda przyjmowaly pakietow z sieici innych niz te
72. # z tablicy routingu
73. echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
74.  
75. # Odblokowanie petli zwrotnej LOOPBACK
76. $IPTABLES -A INPUT -i lo -j ACCEPT
77. $IPTABLES -A OUTPUT -o lo -j ACCEPT
78.  
79. # Korzystanie z protokolow w trybie passive on
80. $IPTABLES -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
81.  
82. # Odblokowanie uslug na serwerze dla innych przychodzacych z zewnatrz
83. $IPTABLES -A INPUT -p tcp -s 0/0 --sport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
84. $IPTABLES -A INPUT -p tcp  -s 0/0 --sport 80 -j ACCEPT # czyli www
85. $IPTABLES -A INPUT -p udp -s 0/0 --sport 20:22 -j ACCEPT # czyli ftp-data,ftp,ssh,
86. $IPTABLES -A INPUT -p tcp -s 0/0 --dport 113 -j ACCEPT # identyfikacja
87. $IPTABLES -A INPUT -p udp -s 0/0 --dport 1025:1100 -j ACCEPT # dla hotha
88.  
89. # Administracja z tego adresu
90. $IPTABLES -A INPUT -s $KOMP -j ACCEPT  
91.  
92. # dostep do DNS
93. $IPTABLES -A INPUT -p tcp -s 0/0 --sport 53 -d $SERWER  -j ACCEPT
94. $IPTABLES -A INPUT -p udp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
95.  
96. # Pakiety z adresem zrodlowym
97. $IPTABLES -A INPUT -i $WEW_DEV -s $SERWER -j DROP               # atak Land
98.  
99. # Pakiety z adresow nierutowlanych, multicast i zarezerwowanych
100. $IPTABLES -A INPUT -i $WEW_DEV -s 10.0.0.0/8 -j DROP            #class A
101. $IPTABLES -A INPUT -i $WEW_DEV -s 172.16.0.0/12 -j DROP         #class B
102. #$IPTABLES -A INPUT -i $WEW_DEV -s 192.168.0.0/16 -j DROP       #class C
103. $IPTABLES -A INPUT -i $WEW_DEV -s 224.0.0.0/4 -j DROP           #multicast
104. $IPTABLES -A INPUT -i $WEW_DEV -d 224.0.0.0/4 -j DROP           #multicast
105. $IPTABLES -A INPUT -i $WEW_DEV -s 240.0.0.0/5 -j DROP           #reserved
106. $IPTABLES -A INPUT -i $WEW_DEV -s 127.0.0.0/5 -j DROP           #lo