Untitled

#!/bin/bash

IPT="/sbin/iptables"

# Set LAN Interface & IP

INTIF="eth1"
INTIP="192.168.1.1"
INTNET="192.168.1.0/24"

# Set DMZ Interface & IP

#DMZIF="eth1"
#DMZIP="192.168.3.1"
#SQUID="192.168.3.2"

# Set Loopback Interface

LOIF="lo"
LOIP="127.0.0.1"
# set VPN PPTP
VPNPPIF="ppp1"
VPNPPIP="117.0.35.69"
VPNPPNET="172.168.1.0/24"

# Set VPN Interface

VPNIF="tun0"
VPNIP="172.16.3.1"
VPNNET="172.16.3.0/27"

# Get External Interface & IP

EXTIF=`/sbin/route | grep -i 'default' | awk '{print$8}'`
EXTIP=`/sbin/ifconfig $EXTIF | grep "inet addr" | awk -F":" '{print$2}' | awk '{print $1}'`
EXTNET=any/0

# Set ICMP types, TCP ports, UDP ports, High ports, DNS servers

TCP_PORT="20 21 22 80 81 182 443 110 3128 25 3000 1194 1723 2222 2022 5060 5082 8089 8090 8888 3389 9000 3000 9002 636 26256 6881 6882 6883 6884 6885 6886 6887 6888 6889 6667 10022 17500 2087 2082 5555 4040"
MAIL_PORT="465 587 993 995"
HI_PORTS="1024:65535"
DNS="8.8.8.8 208.67.222.222 208.67.220.220"

# Remove old rules

$IPT -F
$IPT -F -t nat
$IPT -F -t filter
$IPT -F -t mangle
$IPT -t mangle -X
$IPT -t nat -X
$IPT -X
$IPT -Z INPUT
$IPT -Z OUTPUT
$IPT -Z FORWARD

# Set default policies


$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

$IPT -N LOGDROP > /dev/null 2> /dev/null
$IPT -F LOGDROP
$IPT -A LOGDROP -j LOG --log-prefix "LOGDROP "
$IPT -A LOGDROP -j DROP

$IPT -A INPUT -i $INTIF -p icmp -j ACCEPT
$IPT -A OUTPUT -o $INTIF -p icmp -j ACCEPT

# Deny invalid request to FW

$IPT -A INPUT -m state --state INVALID -m limit --limit 1/s -j LOG --log-prefix "INVALID_INPUT: "
$IPT -A INPUT -m state --state INVALID -j DROP

#################################VPN PPTP #################################

$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTIP -p tcp  --sport $HI_PORTS --dport 1723 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $EXTNET -p tcp --sport 1723 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTNET -p tcp --sport $HI_PORTS --dport 1723 -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $VPNPPIF -o $EXTIF -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $VPNPPIF -j ACCEPT

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -j ACCEPT

$IPT -A INPUT -i $EXTIF -p gre -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -p gre -j ACCEPT

# Allow vpn user ping to Company's network
#$IPT -A FORWARD -i $VPNPPIF -o $INTIF  -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -i $INTIF -o $VPNPPIF  -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT

#$IPT -A FORWARD -i $VPNPPIF -o $INTIF  -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -i $INTIF -o $VPNPPIF  -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user to ping to Company's Network

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p icmp --icmp-type 8 -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s $INTNET -d $VPNPPNET -p icmp --icmp-type 0 -j ACCEPT

# Allow VPN user to access to Sharing in Company's Network

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p tcp --syn --sport $HI_PORTS --dport 445 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s $INTNET -d $VPNPPNET -p tcp ! --syn  --sport 445 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p tcp ! --syn --sport $HI_PORTS --dport 445 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user ssh to Company's Network

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p tcp --syn  --sport $HI_PORTS --dport 22 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s $INTNET -d $VPNPPNET -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user remote desktop to Company's Network

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p tcp --sport $HI_PORTS --dport 3389 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s $INTNET -d $VPNPPNET -p tcp --sport 3389 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d $INTNET -p tcp --sport $HI_PORTS --dport 3389 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user access to Company's Gerrit Server

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.2 -p tcp  --sport $HI_PORTS --dport 29418 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s 192.168.1.2 -d $VPNPPNET -p tcp  --sport 29418 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.2 -p tcp  --sport $HI_PORTS --dport 29418 -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.2 -p tcp  --sport $HI_PORTS --dport 9000 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s 192.168.1.2 -d $VPNPPNET -p tcp  --sport 9000 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.2 -p tcp  --sport $HI_PORTS --dport 9000 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user access to Company's Redmine Server
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.9 -p tcp  --syn  --sport $HI_PORTS --dport 3000 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s 192.168.1.9 -d $VPNPPNET -p tcp ! --syn  --sport 3000 --dport $HI_PORTS -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.9 -p tcp ! --syn  --sport $HI_PORTS --dport 3000 -m state --state ESTABLISHEd -j ACCEPT
		#for port 25
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.9 -p tcp --syn  --sport $HI_PORTS --dport 25 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s 192.168.1.9 -d $VPNPPNET -p tcp ! --syn --sport 25 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.9 -p tcp ! --syn --sport $HI_PORTS --dport 25 -m state --state ESTABLISHEd -j ACCEPT


# Allow VPN user access to Company's SVN

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.3 -p tcp --syn  --sport $HI_PORTS --dport 8001 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s 192.168.1.3 -d $VPNPPNET -p tcp ! --syn --sport 8001 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.3 -p tcp ! --syn  --sport $HI_PORTS --dport 8001 -m state --state ESTABLISHEd -j ACCEPT

$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.3 -p tcp --syn --sport $HI_PORTS --dport 443 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNPPIF -s 192.168.1.3 -d $VPNPPNET -p tcp ! --syn --sport 443 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNPPIF -o $INTIF -s $VPNPPNET -d 192.168.1.3 -p tcp ! --syn --sport $HI_PORTS --dport 443 -m state --state ESTABLISHEd -j ACCEPT

# Allow ssh from Internal,VPN to Firewall

$IPT -A INPUT -i $VPNPPIF -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state NEW -m limit --limit 1/s -j LOG --log-prefix "BAD_REQUEST: "
$IPT -A INPUT -i $VPNPPIF -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state NEW -j DROP
$IPT -A INPUT -i $VPNPPIF -s $VPNNET -d $VPNPPIP -p tcp --syn --sport $HI_PORTS --dport 22 -m limit --limit 3/s --limit-burst 3 -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT
$IPT -A OUTPUT -o $VPNPPIF -s $VPNPPIP -d $VPNPPNET -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $VPNPPIF -s $VPNPPNET -d $VPNPPIP -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

######################### ##########################################################

# Allow and block some ips access Dropbox

$IPT -A FORWARD -i $INTIF -s 192.168.1.76 -m string --algo bm --string "dropbox.com" -j ACCEPT
$IPT -A FORWARD -i $EXTIF -d 192.168.1.76 -m string --algo bm --string "dropbox.com" -j ACCEPT

$IPT -A FORWARD -i $INTIF -s 192.168.1.23 -m string --algo bm --string "dropbox.com" -j ACCEPT
$IPT -A FORWARD -i $EXTIF -d 192.168.1.23 -m string --algo bm --string "dropbox.com" -j ACCEPT

$IPT -A FORWARD -i $INTIF -s 192.168.1.77 -m string --algo bm --string "dropbox.com" -j ACCEPT
$IPT -A FORWARD -i $EXTIF -d 192.168.1.77 -m string --algo bm --string "dropbox.com" -j ACCEPT

#$IPT -A FORWARD -i $INTIF -m string --algo bm --string "dropbox.com" -j DROP
#$IPT -A FORWARD -i $EXTIF -d $INTNET -m string --algo bm --string "dropbox.com" -j DROP

# Allow and block some ips access Mediafire

$IPT -A FORWARD -i $INTIF -s 192.168.1.76 -m string --algo bm --string "mediafire.com" -j ACCEPT
$IPT -A FORWARD -i $EXTIF -d 192.168.1.76 -m string --algo bm --string "mediafire.com" -j ACCEPT


$IPT -A FORWARD -i $INTIF -m string --algo bm --string "mediafire.com" -j DROP
$IPT -A FORWARD -i $EXTIF -d $INTNET -m string --algo bm --string "mediafire.com" -j DROP

#---------------Allow S3.amazon.com----------

$IPT -A FORWARD -i $INTIF -o $EXTIF  -d 72.21.192.0/19 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 72.21.192.0/19  -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 72.21.192.0/19 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF  -d 207.171.160.0/19 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 207.171.160.0/19  -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 207.171.160.0/19 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -d 178.236.0.0/21 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 178.236.0.0/21  -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 178.236.0.0/21 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

#----------- Access mp3.zing.vn  -----------------------

$IPT -A FORWARD -i $INTIF -o $EXTIF  -s 0/0 -d 120.138.69.80 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 120.138.69.80 -d 0/0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 0/0 -d 120.138.69.80 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF  -s 0/0 -d 118.69.205.143 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.69.205.143 -d 0/0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 0/0 -d 118.69.205.143 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF  -s 0/0 -d 27.0.14.21 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 27.0.14.21 -d 0/0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 0/0 -d 27.0.14.21 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF  -s 0/0 -d 118.69.205.143 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.69.205.143 -d 0/0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 0/0 -d 118.69.205.143 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT


# Allow ssh from Internal,VPN to Firewall

$IPT -A INPUT -i $INTIF -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state NEW -m limit --limit 1/s -j LOG --log-prefix "BAD_REQUEST: "
$IPT -A INPUT -i $INTIF -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state NEW -j DROP
$IPT -A INPUT -i $INTIF -s $INTNET -d $INTIP -p tcp --syn --sport $HI_PORTS --dport 22 -m limit --limit 3/s --limit-burst 3 -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT
$IPT -A OUTPUT -o $INTIF -s $INTIP -d $INTNET -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $INTIF -s $INTNET -d $INTIP -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

$IPT -A INPUT -i $VPNIF -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state NEW -m limit --limit 1/s -j LOG --log-prefix "BAD_REQUEST: "
$IPT -A INPUT -i $VPNIF -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state NEW -j DROP
$IPT -A INPUT -i $VPNIF -s $VPNNET -d $VPNIP -p tcp --syn --sport $HI_PORTS --dport 22 -m limit --limit 3/s --limit-burst 3 -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT
$IPT -A OUTPUT -o $VPNIF -s $VPNIP -d $VPNNET -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $VPNIF -s $VPNNET -d $VPNIP -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

# Allow Internal ping to FW

$IPT -A INPUT -i $INTIF -s $INTNET -d $INTIP -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -m limit --limit 1/s --limit-burst 4 -j ACCEPT
$IPT -A OUTPUT -o $INTIF -s $INTIP -d $INTNET -p icmp --icmp-type 0 -m state --state ESTABLISHED -m limit --limit 1/s --limit-burst 4 -j ACCEPT

$IPT -A INPUT -i $INTIF -s $INTIP -d $INTNET -p icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -o $INTIF -s $INTNET -d $INTIP -p icmp --icmp-type 0 -j ACCEPT

# Allow FW query to outsite DNS server

for dns in $DNS; do

$IPT -A INPUT -i $EXTIF -s $dns -d $EXTIP -p udp --sport 53 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $dns -p udp --sport $HI_PORTS --dport 53 -m state --state NEW -j ACCEPT

$IPT -A INPUT -i $EXTIF -s $dns -d $EXTIP -p tcp --sport 3389 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $dns -p tcp --sport $HI_PORTS --dport 3389 -m state --state NEW -j ACCEPT

done

# Allow FW ping to outsite

$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTIP -p icmp --icmp-type 0 -m state --state ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $EXTNET -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT

# Allow FW connect to outsite web server

$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTIP -p tcp ! --syn --sport 80 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $EXTNET -p tcp --syn --sport $HI_PORTS --dport 80 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $EXTNET -p tcp ! --syn --sport $HI_PORTS --dport 80 -m state --state ESTABLISHED -j ACCEPT


# Allow outsite vpn to Internal Network

$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTIP -p tcp --syn --sport $HI_PORTS --dport 1194 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $EXTNET -p tcp ! --syn --sport 1194 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTNET -p tcp ! --syn --sport $HI_PORTS --dport 1194 -m state --state ESTABLISHED -j ACCEPT

$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTIP -p tcp --syn --sport $HI_PORTS --dport 1723 -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -s $EXTIP -d $EXTNET -p tcp ! --syn --sport 1723 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $EXTIF -s $EXTNET -d $EXTNET -p tcp ! --syn --sport $HI_PORTS --dport 1723 -m state --state ESTABLISHED -j ACCEPT

# Allow FW to ping to Squid

#$IPT -A INPUT -i $DMZIF -s $SQUID -d $DMZIP -p icmp --icmp-type 0 -m state --state ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT
#$IPT -A OUTPUT -o $DMZIF -s $DMZIP -d $SQUID -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT

#$IPT -A INPUT -i $DMZIP -s $DMZIP -d $SQUID -p icmp -j ACCEPT
#$IPT -A OUTPUT -o DMZIP -s $SQUID -d $DMZIP -p icmp -j ACCEPT

# Allow access to Loopback Interface

$IPT -A INPUT -i $LOIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $LOIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Allow ssh to Squid

#$IPT -A INPUT -i $DMZIF -s $SQUID -d $DMZIP -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
#$IPT -A OUTPUT -o $DMZIF -s $DMZIP -d $SQUID -p tcp --syn --sport $HI_PORTS --dport 22 -m state --state NEW -j ACCEPT
#$IPT -A OUTPUT -o $DMZIF -s $DMZIP -d $SQUID -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

# Allow to Internal access bounceme.anlab.info


# Allow VPN user to ping to Company's Network

$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p icmp --icmp-type 8 -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNIF -s $INTNET -d $VPNNET -p icmp --icmp-type 0 -j ACCEPT

# Allow VPN user to access to Sharing in Company's Network

$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p tcp --syn --sport $HI_PORTS --dport 445 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNIF -s $INTNET -d $VPNNET -p tcp ! --syn --sport 445 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p tcp ! --syn --sport $HI_PORTS --dport 445 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user ssh to Company's Network

$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p tcp --syn --sport $HI_PORTS --dport 22 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNIF -s $INTNET -d $VPNNET -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user remote desktop to Company's Network

$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p tcp --syn --sport $HI_PORTS --dport 3389 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNIF -s $INTNET -d $VPNNET -p tcp ! --syn --sport 3389 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d $INTNET -p tcp ! --syn --sport $HI_PORTS --dport 3389 -m state --state ESTABLISHED -j ACCEPT

# Allow VPN user access to Company's Gerrit Server

$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d 192.168.1.2 -p tcp --syn --sport $HI_PORTS --dport 29418 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNIF -s 192.168.1.2 -d $VPNNET -p tcp ! --syn --sport 29418 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d 192.168.1.2 -p tcp ! --syn --sport $HI_PORTS --dport 29418 -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d 192.168.1.2 -p tcp --syn --sport $HI_PORTS --dport 9000 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $VPNIF -s 192.168.1.2 -d $VPNNET -p tcp ! --syn --sport 9000 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $INTIF -s $VPNNET -d 192.168.1.2 -p tcp ! --syn --sport $HI_PORTS --dport 9000 -m state --state ESTABLISHEd -j ACCEPT

# Allow External to access to Internal Servers: SVN, Trac, Gerrit, Redmine

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.4 --sport $HI_PORTS --dport 443 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.4 -d $EXTNET --sport 443 --dport $HI_PORTS -j ACCEPT
#$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.3 --sport $HI_PORTS --dport 8001 -j ACCEPT
#$IPT -A FORWARD -p tcp -s 192.168.1.3 -d $EXTNET --sport 8001 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.2 --dport 29418 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.2 -d $EXTNET --sport 29418 -j ACCEPT

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.2 --sport $HI_PORTS --dport 9000 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.2 -d $EXTNET --sport 9000 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.2 --sport $HI_PORTS --dport 3000 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.2 -d $EXTNET --sport 3000 --dport $HI_PORTS -j ACCEPT

#$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.2 --dport 29418 -j ACCEPT
#$IPT -A FORWARD -p tcp -s 192.168.1.2 -d $EXTNET --sport 29418 -j ACCEPT
#$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.2 --sport $HI_PORTS --dport 9000 -j ACCEPT
#$IPT -A FORWARD -p tcp -s 192.168.1.2 -d $EXTNET --sport 9000 --dport $HI_PORTS -j ACCEPT


$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.11 --sport $HI_PORTS --dport 8003 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.11 -d $EXTNET --sport 8003 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -p tcp -s 192.168.1.4 -d $EXTNET --dport 25 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.31 -d $EXTNET --dport 25 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.2 -d $EXTNET --dport 25 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.24 -d $EXTNET --dport 25 -j ACCEPT

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.3 --sport $HI_PORTS --dport 80 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.3 -d $EXTNET --sport 80 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.4 --sport $HI_PORTS --dport 6666 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.4 -d $EXTNET --sport 6666 --dport $HI_PORTS -j ACCEPT
#-------------- Port DT--------------
$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.200 --sport $HI_PORTS --dport 10000:20000 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.200 -d $EXTNET --sport 10000:20000 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.200 --sport $HI_PORTS --dport 5060:5082 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.200 -d $EXTNET --sport 5060:5082 --dport $HI_PORTS -j ACCEPT


#########################################

$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.18 --sport $HI_PORTS --dport 8086 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.18 -d $EXTNET --sport 8086 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -p tcp -s $EXTNET -d 192.168.1.18 --sport $HI_PORTS --dport 8086 -j ACCEPT
$IPT -A FORWARD -p tcp -s 192.168.1.18 -d $EXTNET --sport 8086 --dport $HI_PORTS -j ACCEPT


$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 2222 -j DNAT --to 192.168.1.2:2222
$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 2022 -j DNAT --to 192.168.1.2:2022
$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 80 -j DNAT --to 192.168.1.3:80
$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 443 -j DNAT --to 192.168.1.4:443

#$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 9000 -j DNAT --to 192.168.1.2:9000

$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 10000:20000 -j DNAT --to 192.168.1.200:10000-20000
$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 5060:5082 -j DNAT --to 192.168.1.200:5060-5082

#$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 443 -j DNAT --to 192.168.1.31:443
#$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 8001 -j DNAT --to 192.168.1.31:8001

$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 3000 -j DNAT --to 192.168.1.2:3000
$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 9000 -j DNAT --to 192.168.1.2:9000
$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 29418 -j DNAT --to 192.168.1.2:29418

#$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 9000 -j DNAT --to 192.168.1.2:9000
#$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 82 -j DNAT --to 192.168.1.2:29418


$IPT -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --sport $HI_PORTS --dport 6666 -j DNAT --to 192.168.1.4:6666

# Allow to some ip access DropBox

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 199.47.216.0/22 -p tcp --syn -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 199.47.216.0/22 -d 192.168.1.23 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 199.47.216.0/22 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

while read ip
do

	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 199.47.216.0/22 -p tcp --syn -m state --state NEW -j ACCEPT
	$IPT -A FORWARD -i $EXTIF -o $INTIF -s 199.47.216.0/22 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 199.47.216.0/22 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 199.47.217.0/24 -p tcp --syn -m state --state NEW -j ACCEPT
        $IPT -A FORWARD -i $EXTIF -o $INTIF -s 199.47.217.0/22 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 199.47.217.0/22 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

done < $HOME/ipdboxlist.txt


# Allow access to Mediafire

while read ip
do

        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 205.196.120.12 -p tcp --syn -m state --state NEW -j ACCEPT
	$IPT -A FORWARD -i $EXTIF -o $INTIF -s 205.196.120.12 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 205.196.120.12 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 205.196.120.13 -p tcp --syn -m state --state NEW -j ACCEPT
	$IPT -A FORWARD -i $EXTIF -o $INTIF -s 205.196.120.13 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 205.196.120.13 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 205.196.120.0/22 -p tcp --syn -m state --state NEW -j ACCEPT
	$IPT -A FORWARD -i $EXTIF -o $INTIF -s 205.196.120.0/22 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 205.196.120.0/22 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

done < $HOME/ipmediaflist.txt


# Allow access to Box.net

while read ip
do
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 74.112.184.0/22 -p tcp --syn -m state --state NEW -j ACCEPT
        $IPT -A FORWARD -i $EXTIF -o $INTIF -s 74.112.184.0/22 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 74.112.184.0/22 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 74.112.184.69 -p tcp --syn -m state --state NEW -j ACCEPT
        $IPT -A FORWARD -i $EXTIF -o $INTIF -s 74.112.184.69 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 74.112.184.69  -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 74.112.184.197 -p tcp --syn -m state --state NEW -j ACCEPT
        $IPT -A FORWARD -i $EXTIF -o $INTIF -s 74.112.184.197 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 74.112.184.197 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

done < $HOME/ipboxlist.txt


# Allow access into HAIVL

while read ip
do
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 210.211.124.236 -p tcp --syn -m state --state NEW -j ACCEPT
        $IPT -A FORWARD -i $EXTIF -o $INTIF -s 210.211.124.236 -d $ip -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $ip -d 210.211.124.236 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
done < $HOME/ipmediaflist.txt


# Allow Lan, Squid to query DNS server on Internet

for dns in $DNS; do

	$IPT -A FORWARD -p udp --sport $HI_PORTS --dport 53 -i $INTIF -o $EXTIF -s $INTNET -d $dns -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
	$IPT -A FORWARD -p udp --sport 53 -i $EXTIF -o $INTIF -s $dns -d $INTNET -m state --state ESTABLISHED,RELATED  -j ACCEPT

	#$IPT -A FORWARD -p udp --dport 53 -i $DMZIF -o $EXTIF -s $SQUID -d $dns -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
	#$IPT -A FORWARD -p udp --sport 53 -i $EXTIF -o $DMZIF -s $dns -d $SQUID -m state --state ESTABLISHED,RELATED  -j ACCEPT

done


# Block to some IP

while read ips
do
        $IPT -A FORWARD -p tcp -i $INTIF -o $EXTIF -s $INTNET -d $ips -m state --state NEW,ESTABLISHED,RELATED -j DROP
done < $HOME/iplist.txt

# Block to hosts PROXIES

while read ips
do
        $IPT -A FORWARD -p tcp -i $INTIF -o $EXTIF -s $INTNET -d $ips -m state --state NEW,ESTABLISHED,RELATED -j DROP
done < $HOME/blockipproxies.txt


# Allow LAN ping to SQUID, Internet

$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d $EXTNET -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d $INTNET -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT

#$IPT -A FORWARD -i $INTIF -o $DMZIF -s $INTNET -d $SQUID -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -i $DMZIF -o $INTIF -s $SQUID -d $INTNET -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT

# Allow LongNM, TinhNT, SonNT ftp to IBM server

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.75 -d $EXTNET -p tcp --sport $HI_PORTS --dport 1723 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.75 -p tcp --sport 1723 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.75 -d $EXTNET -p 47 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.75 -p 47 -j ACCEPT


$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d $EXTNET -p tcp --sport $HI_PORTS --dport 9898 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.23 -p tcp --sport 9898 --dport $HI_PORTS -j ACCEPT


$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.71 -d $EXTNET -p tcp --sport $HI_PORTS --dport 1723 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.71 -p tcp --sport 1723 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.71 -d $EXTNET -p 47 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.71 -p 47 -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.83 -d $EXTNET -p tcp --sport $HI_PORTS --dport 1723 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.83 -p tcp --sport 1723 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.83 -d $EXTNET -p 47 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.83 -p 47 -j ACCEPT


$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.84 -d $EXTNET -p tcp --sport $HI_PORTS --dport 1723 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.84 -p tcp --sport 1723 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.84 -d $EXTNET -p 47 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.84 -p 47 -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.159 -d $EXTNET -p tcp --sport $HI_PORTS --dport 1723 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.159 -p tcp --sport 1723 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.159 -d $EXTNET -p 47 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.159 -p 47 -j ACCEPT

# Allow  ftp to ftp.division-engineering.com

#while read ips
#do

#$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ips -d 211.5.103.26 -p tcp --syn --sport $HI_PORTS --dport 10022 -m state --state NEW -j ACCEPT
#$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d $ips -p tcp ! --syn --sport 10022 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ips -d 211.5.103.26 -p tcp ! --syn --sport $HI_PORTS --dport 10022 -m state --state ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -i $INTIF -o $EXTIF -s $ips -d 211.5.103.26 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d $ips -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

#done < $HOME/ipftp-ibmlist.txt

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.85 -d 211.5.103.26 -p tcp --syn --sport $HI_PORTS --dport 21 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d 192.168.1.85 -p tcp ! --syn --sport 21 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.85 -d 211.5.103.26 -p tcp ! --syn --sport $HI_PORTS --dport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.85 -d 211.5.103.26 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d 192.168.1.85 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT


#---------------------

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 211.5.103.26 -p tcp --syn --sport $HI_PORTS --dport 10022 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d 192.168.1.23 -p tcp ! --syn --sport 10022 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 211.5.103.26 -p tcp ! --syn --sport $HI_PORTS --dport 10022 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 211.5.103.26 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d 192.168.1.23 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.86 -d 211.5.103.26 -p tcp --syn --sport $HI_PORTS --dport 21 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d 192.168.1.86 -p tcp ! --syn --sport 21 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.86 -d 211.5.103.26 -p tcp ! --syn --sport $HI_PORTS --dport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.86 -d 211.5.103.26 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.5.103.26 -d 192.168.1.86 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

#--------------------Access  Ftp local ---------------------

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.45 -d 118.70.184.228 -p tcp --syn --sport $HI_PORTS --dport 21 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.70.184.228 -d 192.168.1.45 -p tcp ! --syn --sport 21 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.45 -d 118.70.184.228 -p tcp ! --syn --sport $HI_PORTS --dport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.45 -d 118.70.184.228 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.70.184.228 -d 192.168.1.45 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT


# Allow member Anlab access to ftp.jbm.jp

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 219.106.225.20 -p tcp --syn --sport $HI_PORTS --dport 21 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 219.106.225.20 -d 192.168.1.23 -p tcp ! --syn --sport 21 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 219.106.225.20 -p tcp ! --syn --sport $HI_PORTS --dport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 219.106.225.20 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 219.106.225.20 -d 192.168.1.23 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.24 -d 219.106.225.20 -p tcp --syn --sport $HI_PORTS --dport 21 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 219.106.225.20 -d 192.168.1.24 -p tcp ! --syn --sport 21 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.24 -d 219.106.225.20 -p tcp ! --syn --sport $HI_PORTS --dport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.24 -d 219.106.225.20 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 219.106.225.20 -d 192.168.1.24 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow DungQV access to ftp.anlab.jp and ftp localhost

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 211.13.204.12 -p tcp --syn --sport $HI_PORTS --dport 21 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.13.204.12 -d 192.168.1.23 -p tcp ! --syn --sport 21 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 211.13.204.12 -p tcp ! --syn --sport $HI_PORTS --dport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 211.13.204.12 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 211.13.204.12 -d 192.168.1.23 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d 118.70.184.228 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.70.184.228 -d 192.168.1.23 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT


$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.244 -d 118.70.184.228 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.70.184.228 -d 192.168.1.244 -p tcp --sport $HI_PORTS --dport $HI_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow anh DungDK, anh VietHa access to SVN port 8082

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.77 -d 118.69.220.91 -p tcp --syn --sport $HI_PORTS --dport 8082 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 118.69.220.91 -d 192.168.1.77 -p tcp ! --syn --sport 8082 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.77 -d 118.69.220.91 -p tcp ! --syn --sport $HI_PORTS --dport 8082 -m state --state ESTABLISHED -j ACCEPT

# Allow user access to bidv.vn port 81

$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 203.201.58.179 -p tcp --syn --sport $HI_PORTS --dport 81 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 203.201.58.179 -d $INTNET -p tcp ! --syn --sport 81 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 203.201.58.179 -p tcp ! --syn --sport $HI_PORTS --dport 81 -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 203.201.59.179 -p tcp --syn --sport $HI_PORTS --dport 81 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 203.201.59.179 -d $INTNET -p tcp ! --syn --sport 81 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 203.201.59.179 -p tcp ! --syn --sport $HI_PORTS --dport 81 -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 203.201.56.100 -p tcp --syn --sport $HI_PORTS --dport 81 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 203.201.56.100 -d $INTNET -p tcp ! --syn --sport 81 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 203.201.56.100 -p tcp ! --syn --sport $HI_PORTS --dport 81 -m state --state ESTABLISHED -j ACCEPT

# Allow user access to some new port

$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 54.235.64.71 -p tcp --syn --sport $HI_PORTS --dport 9000 -m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s 54.235.64.71 -d $INTNET -p tcp ! --syn --sport 9000 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d 54.235.64.71 -p tcp ! --syn --sport $HI_PORTS --dport 9000 -m state --state ESTABLISHED -j ACCEPT


# Allow ssh to Proxy Server

#$IPT -A FORWARD -i $INTIF -o $DMZIF -s $INTNET -d $SQUID -p tcp --syn --sport $HI_PORTS --dport 22 -m state --state NEW -j ACCEPT
#$IPT -A FORWARD -i $DMZIF -o $INTIF -s $SQUID -d $INTNET -p tcp ! --syn --sport 22 --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -i $INTIF -o $DMZIF -s $INTNET -d $SQUID -p tcp ! --syn --sport $HI_PORTS --dport 22 -m state --state ESTABLISHED -j ACCEPT

# Test Squid

#$IPT -A FORWARD -i $INTIF -o $DMZIF -s 192.168.1.23 -d $SQUID -p tcp --sport $HI_PORTS --dport 8080 -j ACCEPT
#$IPT -A FORWARD -i $DMZIF -o $INTIF -s $SQUID -d 192.168.1.23 -p tcp --sport 8080 --dport $HI_PORTS -j ACCEPT
#$IPT -t nat -A PREROUTING -i $INTIF -s 192.168.1.23 -p tcp --sport $HI_PORTS --dport 80 -j DNAT --to $SQUID:8080
#$IPT -t nat -A POSTROUTING -o $DMZIF -s 192.168.1.23 -d $SQUID -j SNAT --to $DMZIP

#$IPT -A FORWARD -i $INTIF -o $DMZIF -s 192.168.1.0/24 -d $SQUID -p tcp --sport $HI_PORTS --dport 8080 -j ACCEPT
#$IPT -A FORWARD -i $DMZIF -o $INTIF -s $SQUID -d 192.168.1.0/24 -p tcp --sport 8080 --dport $HI_PORTS -j ACCEPT
#$IPT -t nat -A PREROUTING -i $INTIF -s 192.168.1.0/24 -p tcp --sport $HI_PORTS --dport 80 -j DNAT --to $SQUID:8080
#$IPT -t nat -A PREROUTING -i $INTIF -s $ips -p tcp --sport $HI_PORTS --dport 443 -j DNAT --to $SQUID:8182
#$IPT -t nat -A POSTROUTING -o $DMZIF -s 192.168.1.0/24 -d $SQUID -j SNAT --to $DMZIP

# Allow Lan use some services via TCP ports

for ports in $TCP_PORT; do

        $IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d $EXTNET -p tcp --sport $HI_PORTS --dport $ports -j ACCEPT
	$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d $INTNET -p tcp --sport $ports --dport $HI_PORTS -j ACCEPT

done

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.14 -d $EXTNET -p tcp --sport $HI_PORTS --dport 5500 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.14 -p tcp --sport 5500 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.146 -d $EXTNET -p tcp --sport $HI_PORTS --dport 3922 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.146 -p tcp --sport 3922 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d $EXTNET -p tcp --sport $HI_PORTS --dport 500 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.23 -p tcp --sport 500 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.23 -d $EXTNET -p tcp --sport $HI_PORTS --dport 4500 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.23 -p tcp --sport 4500 --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.64 -d $EXTNET -p tcp --sport $HI_PORTS --dport 8888 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.64 -p tcp --sport 8888 --dport $HI_PORTS -j ACCEPT

# Allow Lan use some MAIL ports

for ports in $MAIL_PORT; do

	$IPT -A FORWARD -i $INTIF -o $EXTIF -s $INTNET -d $EXTNET -p tcp --sport $HI_PORTS --dport $ports -j ACCEPT
	$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d $INTNET -p tcp --sport $ports --dport $HI_PORTS -j ACCEPT
done

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.164 -d $EXTNET -p tcp --sport $HI_PORTS --dport $ports -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.164 -p tcp --sport $ports --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.97 -d $EXTNET -p tcp --sport $HI_PORTS --dport $ports -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.97 -p tcp --sport $ports --dport $HI_PORTS -j ACCEPT

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.143 -d $EXTNET -p tcp --sport $HI_PORTS --dport $ports -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.143 -p tcp --sport $ports --dport $HI_PORTS -j ACCEPT

# Allow VPN to BookPhoto Customer

$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.10 -d $EXTNET -p udp --sport $HI_PORTS --dport 4500 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -s $EXTNET -d 192.168.1.10 -p udp --sport 4500 --dport $HI_PORTS -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.10 -d $EXTNET -p esp -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -d 192.168.1.10 -s $EXTNET -p esp -j ACCEPT
$IPT -A FORWARD -i $INTIF -o $EXTIF -s 192.168.1.10 -d $EXTNET -p udp --sport 500 --dport 500 -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $INTIF -d 192.168.1.10 -s $EXTNET -p udp --sport 500 --dport 500 -j ACCEPT

# Allow Lan, Squid to access to Internet

$IPT -t nat -A POSTROUTING -o $EXTIF -s $VPNNET -d $EXTNET -j SNAT --to $EXTIP
$IPT -A FORWARD -i $VPNIF -o $EXTIF -s $VPNNET -d $EXTNET -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $VPNIF -s $EXTNET -d $VPNNET -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $EXTIF -s $VPNNET -d $EXTNET -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $VPNIF -s $EXTNET -d $VPNNET -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $VPNIF -o $EXTIF -s $VPNNET -d $EXTNET -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i $EXTIF -o $VPNIF -s $EXTNET -d $VPNNET -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT

$IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET -d $EXTNET -j SNAT --to $EXTIP

# Log & block another INPUT, FORWARD, OUTPUT

$IPT -A INPUT -i $INTIF -m limit --limit 1/s -j LOG --log-level 7 --log-prefix "BAD_IN: "
$IPT -A INPUT -i $INTIF -j DROP

$IPT -A FORWARD -i $EXTIF -o $INTIF -m limit --limit 1/s -j LOG --log-level 7 --log-prefix "BAD_FORWARD_IN: "
$IPT -A FORWARD -i $EXTIF -o $INTIF -j DROP
$IPT -A FORWARD -i $INTIF -o $EXTIF -m limit --limit 1/s -j LOG --log-level 7 --log-prefix "BAD_FORWARD_OUT: "
$IPT -A FORWARD -i $INTIF -o $EXTIF -j DROP

$IPT -A OUTPUT -o $EXTIF -m limit --limit 1/s -j LOG --log-level 7 --log-prefix "BAD_OUT: "
$IPT -A OUTPUT -o $EXTIF -j DROP