/etc/network/iptables.up.rules

1. cat /etc/network/iptables.up.rules
2. *nat
3. :PREROUTING ACCEPT
4. :INPUT ACCEPT
5. :OUTPUT ACCEPT
6. :POSTROUTING ACCEPT
7.  
8. #-A POSTROUTING -o eth0 -j MASQUERADE
9.  
10. COMMIT
11.  
12.  
13. *filter
14. :INPUT DROP
15. :FORWARD DROP
16. :OUTPUT ACCEPT
17.  
18. :IMSCP_INPUT -
19. :IMSCP_OUTPUT -
20. :internet_input -
21. :internet_forward -
22. :portsentry -
23.  
24.  
25. :monitorix_IN_0 -
26. :monitorix_IN_1 -
27. :monitorix_IN_2 -
28. :monitorix_IN_3 -
29. :monitorix_IN_4 -
30. :monitorix_IN_5 -
31. :monitorix_IN_6 -
32. :monitorix_IN_7 -
33. :monitorix_IN_8 -
34. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 143 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_8
35. -A INPUT -p udp -m udp --sport 1024:65535 --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_7
36. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 3306 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_6
37. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 139 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_5
38. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 110 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_4
39. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_3
40. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 80 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_2
41. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 21 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_1
42. -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 25 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j monitorix_IN_0
43.  
44.  
45. ###
46. ### INPUT
47. ###
48.  
49.  
50.  
51.  
52. -A INPUT -i lo -j ACCEPT
53. -A INPUT -m conntrack --ctstate INVALID -j DROP
54. -A INPUT -i eth0 -p icmp --icmp-type echo-request -m recent --name internet_ping --set --rsource
55. -A INPUT -i eth0 -p icmp --icmp-type echo-request -m recent --name internet_ping --update --hitcount 5 --seconds 60 --rsource -j DROP
56. -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
57. -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
58. -A INPUT -j portsentry
59. -A INPUT -i eth0 -p tcp -m tcp --dport 1234 -m conntrack --ctstate NEW -j ACCEPT
60. -A FORWARD -m conntrack --ctstate INVALID -j DROP
61. -A FORWARD -m conntrack --ctstate ESTABLISHED -j ACCEPT
62.  
63. -A INPUT -i eth0 -j internet_input
64.  
65. -A OUTPUT ! -o lo -j IMSCP_OUTPUT
66.  
67. -A IMSCP_INPUT -j RETURN
68. -A OUTPUT -p tcp -m tcp --sport 143 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_8
69. -A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_7
70. -A OUTPUT -p tcp -m tcp --sport 3306 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_6
71. -A OUTPUT -p tcp -m tcp --sport 139 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_5
72. -A OUTPUT -p tcp -m tcp --sport 110 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_4
73. -A OUTPUT -p tcp -m tcp --sport 22 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_3
74. -A OUTPUT -p tcp -m tcp --sport 80 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_2
75. -A OUTPUT -p tcp -m tcp --sport 21 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_1
76. -A OUTPUT -p tcp -m tcp --sport 25 --dport 1024:65535 -m conntrack --ctstate RELATED,ESTABLISHED -j monitorix_IN_0
77.  
78.  
79.  
80. -A INPUT -p tcp --dport 587 -j ACCEPT
81. -A INPUT -p udp --dport 465 -j ACCEPT
82. -A INPUT -p tcp --dport 25 -j ACCEPT
83. -A INPUT -p tcp --dport 21 -j ACCEPT
84. -A INPUT -p tcp --dport 20 -j ACCEPT
85. -A INPUT -p tcp --dport 993 -j ACCEPT
86. -A INPUT -p tcp --dport 995 -j ACCEPT
87. -A INPUT -p tcp --dport 587 -j ACCEPT
88. -A INPUT -p tcp --dport 465 -j ACCEPT
89. -A INPUT -p tcp --dport 25 -j ACCEPT
90. -A INPUT -p tcp --dport 143 -j ACCEPT
91. -A INPUT -p tcp --dport 110 -j ACCEPT
92. -A INPUT -p tcp --dport 443 -j ACCEPT
93. -A INPUT -p tcp --dport 80 -j ACCEPT
94. -A INPUT -p tcp --dport 4443 -j ACCEPT
95. -A INPUT -p tcp --dport 8080 -j ACCEPT
96. -A INPUT -p tcp --dport 1234 -j ACCEPT
97.  
98.  
99.  
100.  
101.  
102. ###
103. ### ALL INPUT
104. ###
105. #-A INPUT -j LOG
106.  
107. ###
108. ### FORWARD
109. ###
110. -A FORWARD -j LOG
111. -A FORWARD -j portsentry
112. -A FORWARD -m state --state INVALID -j DROP
113.  
114.  
115. -A internet_input -p tcp -m tcp --dport ssh -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level warning --log-prefix "SSH Attack: "
116.  
117. -A IMSCP_OUTPUT -p tcp -m tcp --dport 587
118. -A IMSCP_OUTPUT -p tcp -m tcp --dport 465
119. -A IMSCP_OUTPUT -p tcp -m tcp --dport 25
120. -A IMSCP_OUTPUT -p tcp -m tcp --sport 21
121. -A IMSCP_OUTPUT -p tcp -m tcp --sport 20
122. -A IMSCP_OUTPUT -p tcp -m tcp --sport 993
123. -A IMSCP_OUTPUT -p tcp -m tcp --sport 995
124. -A IMSCP_OUTPUT -p tcp -m tcp --sport 587
125. -A IMSCP_OUTPUT -p tcp -m tcp --sport 465
126. -A IMSCP_OUTPUT -p tcp -m tcp --sport 25
127. -A IMSCP_OUTPUT -p tcp -m tcp --sport 143
128. -A IMSCP_OUTPUT -p tcp -m tcp --sport 110
129. -A IMSCP_OUTPUT -p tcp -m tcp --sport 443
130. -A IMSCP_OUTPUT -p tcp -m tcp --sport 80
131. -A IMSCP_OUTPUT -p tcp -m tcp --sport 4443
132. -A IMSCP_OUTPUT -p tcp -m tcp --sport 8080
133. -A IMSCP_OUTPUT -j RETURN
134.  
135.  
136. -A internet_forward -j ACCEPT
137.  
138.  
139. COMMIT