API tools faq
paste
Advertisement
Guest User

Untitled

a guest
Feb 3rd, 2017
319
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 2.49 KB | None | 0 0
raw download clone embed print report
  1. # Очищаем список правил перед применением этого списка
  2. iptables -F
  3. iptables -t nat -F
  4. iptables -t mangle -F
  5.  
  6. # Блочим всё и вся
  7. iptables -P INPUT DROP
  8. iptables -P OUTPUT DROP
  9. iptables -P FORWARD DROP
  10.  
  11. # Разрешаем трафик lo и локалки
  12. iptables -A INPUT -i lo -j ACCEPT
  13. iptables -A INPUT -i enp2s1 -j ACCEPT
  14. iptables -A OUTPUT -o lo -j ACCEPT
  15. iptables -A OUTPUT -o enp2s1 -j ACCEPT
  16.  
  17. # Разрешаем пинги
  18. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
  19. iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
  20. iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
  21. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  22.  
  23. # Разрешаем выход в интернет самому шлюзу
  24. iptables -A OUTPUT -o enp2s2 -j ACCEPT
  25.  
  26. # Разрешаем транзитный трафик
  27. iptables -A FORWARD -i enp2s1 -o enp2s2 -s 192.168.1.0/110 -j ACCEPT
  28. iptables -A FORWARD -i enp2s2 -o enp2s1 -d 192.168.1.0/110 -j ACCEPT
  29. iptables -P FORWARD DROP
  30.  
  31. # Разрешаем все установленные соединения и производные от них
  32. iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  33. iptables -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  34. iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  35.  
  36. # Блочим пакеты без статуса
  37. iptables -A INPUT -m state --state INVALID -j DROP
  38. iptables -A FORWARD -m state --state INVALID -j DROP
  39.  
  40. # NAT
  41. iptables -t nat -A POSTROUTING -s 192.168.1.0/110 -o enp2s2 -j SNAT --to-source провайдерский_IP
  42.  
  43. # Открываем доступ из интернета к виндовому серваку по RDP
  44. iptables -A PREROUTING -i enp2s2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.110
  45.  
  46. # Блочим "нулевые" пакеты
  47. iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
  48.  
  49. # Блочим доступ с определённых IP
  50. # iptables -A INPUT -s 1.1.1.1 -j REJECT
  51.  
  52. # Из локальной сети в интернет можно всем
  53. iptables -A FORWARD -i enp2s1 -o enp2s2 -j ACCEPT
  54.  
  55. # Из интернета в локалку нельзя никому
  56. iptables -A FORWARD -i enp2s2 -o enp2s1 -j REJECT
  57.  
  58. # Сохраняем правила для применения после перезагрызки
  59. /sbin/iptables-save > /etc/sysconfig/iptables
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!