#!/bin/sh# Nazwa i lokalizacja programuIPTABLES=iptables# Sciezka do

1. #!/bin/sh
2.  
3. # Nazwa i lokalizacja programu
4.  
5. IPTABLES=iptables
6.  
7. # Sciezka do pliku wykonywlanego
8.  
9. PATH="/usr/sbin"
10.  
11. # Usuwamy poprzednie reguly
12.  
13. $IPTABLES -F INPUT
14.  
15. $IPTABLES -F FORWARD
16.  
17. $IPTABLES -F OUTPUT
18.  
19. # Ustawienie domyslnej polityki
20.  
21. $IPTABLES -P INPUT DROP
22.  
23. $IPTABLES -P OUTPUT ACCEPT  # akceptujemy wszystko co od nas wychodzi
24.  
25. $IPTABLES -P FORWARD DROP
26.  
27. # Zapisujemy caly nasz ruch w logach
28.  
29.  
30. $IPTABLES -A INPUT -j LOG -m limit --limit 4/hor        
31.  
32. $IPTABLES -A OUTPUT -j LOG -m limit --limit 4/hour
33.  
34. $IPTABLES -A FORWARD -j LOG -m limit --limit 4/hour
35.  
36.  
37. # Wylaczamy odpowiedzi na pingi
38.  
39. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
40.  
41. # Ochrona przed atakami typu Smurf
42.  
43. echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
44.  
45.  
46. # Wlaczamy ochrone przed komunikacja ICMP error
47.  
48. echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
49.  
50. # Wlacza logowanie dziwnych pakietow (spoofed. source routed. redirects)
51.  
52. echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
53.  
54. # Nie akceptujemy datagramu IP z opcja "source route"
55.  
56. echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
57.  
58. # Nie przyjmujemy pakietow ICMP redict, ktore moga zmienic nasza tablice routingu
59.  
60. echo "0" /proc/sys/net/ipv4/conf/all/accept_redirects
61.  
62.  
63. # Pozwalamy pakietom biegac po naszym komputerze
64.  
65. # czyli odblokowujemy petle zwrotna LOOPBACK
66.  
67. $IPTABLES -A INPUT -i lo -j ACCEPT
68.  
69. $IPTABLES -A OUTPUT -o lo -j ACCEPT
70.  
71.  
72. # Pozwalamy na korzstanie z protokolow w trybie passive on
73.  
74. $IPTABLES -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
75.  
76. $IPTABLES -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
77.  
78. $IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT # tylko my mozemy pingowac
79.  
80.  
81. # Odblokowujemy uslugi na serwerze dla innych przychodzacych z zewnatrz
82.  
83.  
84. $IPTABLES -A INPUT -p tcp -s 0/0 --dport 5123 -j ACCEPT # czyli ssh
85.  
86. #$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT # czyli www
87.  
88. $IPTABLES -A INPUT -p udp -s 0/0 --dport 5123 -j ACCEPT # czyli ssh
89.  
90.  
91. $IPTABLES -A INPUT -p tcp -s 0/0 --sport 20:21 -j ACCEPT # czyli ftp-data,ftp
92.  
93. $IPTABLES -A INPUT -p tcp  -s 0/0 --sport 80 -j ACCEPT # czyli www
94.  
95. $IPTABLES -A INPUT -p udp -s 0/0 --sport 20:21 -j ACCEPT # czyli ftp-data,ftp
96.  
97. $IPTABLES -A INPUT -p udp -s 0/0 --sport 5123 -j ACCEPT # ssh
98.  
99. $IPTABLES -A INPUT -p tcp -s 0/0 --sport 5123 -j ACCEPT # ssh
100.  
101. $IPTABLES -A INPUT -p udp -s 0/0 --sport 49152:65534 -j ACCEPT #passive port ftp
102.  
103. $IPTABLES -A INPUT -p tcp -s 0/0 --sport 49152:65534 -j ACCEPT #passive port ftp
104.  
105.  
106.  
107.