Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #!/bin/sh
- # Nazwa i lokalizacja programu
- IPTABLES=iptables
- # Sciezka do pliku wykonywlanego
- PATH="/usr/sbin"
- # Usuwamy poprzednie reguly
- $IPTABLES -F INPUT
- $IPTABLES -F FORWARD
- $IPTABLES -F OUTPUT
- # Ustawienie domyslnej polityki
- $IPTABLES -P INPUT DROP
- $IPTABLES -P OUTPUT ACCEPT # akceptujemy wszystko co od nas wychodzi
- $IPTABLES -P FORWARD DROP
- # Zapisujemy caly nasz ruch w logach
- $IPTABLES -A INPUT -j LOG -m limit --limit 4/hor
- $IPTABLES -A OUTPUT -j LOG -m limit --limit 4/hour
- $IPTABLES -A FORWARD -j LOG -m limit --limit 4/hour
- # Wylaczamy odpowiedzi na pingi
- echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
- # Ochrona przed atakami typu Smurf
- echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- # Wlaczamy ochrone przed komunikacja ICMP error
- echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
- # Wlacza logowanie dziwnych pakietow (spoofed. source routed. redirects)
- echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
- # Nie akceptujemy datagramu IP z opcja "source route"
- echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
- # Nie przyjmujemy pakietow ICMP redict, ktore moga zmienic nasza tablice routingu
- echo "0" /proc/sys/net/ipv4/conf/all/accept_redirects
- # Pozwalamy pakietom biegac po naszym komputerze
- # czyli odblokowujemy petle zwrotna LOOPBACK
- $IPTABLES -A INPUT -i lo -j ACCEPT
- $IPTABLES -A OUTPUT -o lo -j ACCEPT
- # Pozwalamy na korzstanie z protokolow w trybie passive on
- $IPTABLES -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
- $IPTABLES -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
- $IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT # tylko my mozemy pingowac
- # Odblokowujemy uslugi na serwerze dla innych przychodzacych z zewnatrz
- $IPTABLES -A INPUT -p tcp -s 0/0 --dport 5123 -j ACCEPT # czyli ssh
- #$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT # czyli www
- $IPTABLES -A INPUT -p udp -s 0/0 --dport 5123 -j ACCEPT # czyli ssh
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 20:21 -j ACCEPT # czyli ftp-data,ftp
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT # czyli www
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 20:21 -j ACCEPT # czyli ftp-data,ftp
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 5123 -j ACCEPT # ssh
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 5123 -j ACCEPT # ssh
- $IPTABLES -A INPUT -p udp -s 0/0 --sport 49152:65534 -j ACCEPT #passive port ftp
- $IPTABLES -A INPUT -p tcp -s 0/0 --sport 49152:65534 -j ACCEPT #passive port ftp
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement