API tools faq
paste
Advertisement
kisslo

Iptables - example

kisslo
Sep 24th, 2015
116
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
Bash 6.19 KB | None | 0 0
raw download clone embed print report
  1. ### BEGIN INIT INFO
  2. # Provides: firewall
  3. # Required-Start: $remote_fs $syslog
  4. # Required-Stop: $remote_fs $syslog
  5. # Default-Start: 2 3 4 5
  6. # Default-Stop: 0 1 6
  7. # Short-Description: Start daemon at boot time
  8. # Description: Enable service provided by daemon.
  9. ### END INIT INFO
  10.  
  11. #!/bin/sh
  12. # On remet le FIREWALL a zéro
  13. iptables -F
  14. iptables -X
  15.  
  16. # On bloque tout par defaut en mettant la politique par défaut à  DROP
  17. # Revient au même que d'écrire une régle DROP à  la fin de toutes les régles
  18. iptables -P INPUT DROP
  19. iptables -P OUTPUT DROP
  20. iptables -P FORWARD DROP
  21.  
  22. # On accepte tout le traffic sur l'interface locale
  23. iptables -A INPUT -i lo -j ACCEPT
  24. iptables -A OUTPUT -o lo -j ACCEPT
  25.  
  26. # On accepte tout le traffic qui est déja établi
  27. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  28. iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  29.  
  30. #anti-scan de ports
  31. iptables -A FORWARD -p tcp -i eth0 --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
  32.  
  33. #Autoriser tous les ports en sortie pour utliser transmission-daemon
  34. iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
  35.  
  36. # On autorise les prémiers paquets des connexions, marche pas avec transmission-daemon
  37. #iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp --dport 8080 --syn -j ACCEPT
  38. #iptables -A OUTPUT -m state --state NEW -o eth0 -p udp --dport 53 -j ACCEPT
  39.  
  40. # Autoriser le WEB , le DNS, TORRENT, SSH, TRANSMISSION, MAIL, VPN vers le serveur
  41. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 80 --syn -j ACCEPT
  42. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 22 --syn -j ACCEPT
  43. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 9987 --syn -j ACCEPT
  44. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 9987 -j ACCEPT
  45. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 9988 -j ACCEPT
  46. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 9988 --syn -j ACCEPT
  47. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 9989 -j ACCEPT
  48. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 9989 --syn -j ACCEPT
  49. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 27115 --syn -j ACCEPT
  50. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 27115 -j ACCEPT
  51. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 110 --syn -j ACCEPT
  52. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 81 --syn -j ACCEPT
  53. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 143 --syn -j ACCEPT
  54. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 162 -j ACCEPT
  55. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 79 --syn -j ACCEPT
  56. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 111 --syn -j ACCEPT
  57. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 1 --syn -j ACCEPT
  58. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 1 -j ACCEPT
  59. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 69 -j ACCEPT
  60. iptables -A INPUT -m state --state NEW -i eth0 -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "IPTables : " --log-level 7
  61. iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 27115 -j LOG  --log-prefix "IPTables : " --log-level 7
  62. # DMA Monitoring Dedibox
  63. #iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p tcp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
  64. #iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p udp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
  65. #iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p tcp --sport 161 -m state --state ESTABLISHED -j ACCEPT
  66. #iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p udp --sport 161 -m state --state ESTABLISHED -j ACCEPT
  67.  
  68. #Création d'une nouvelle chaine
  69. iptables -N PING
  70.  
  71. #Creation de la chaine qui drop les paquets,2 regles une pour loger l'autre pour droper
  72. #iptables -N log_n_drop
  73. #iptables -A log_n_drop -j LOG --log-prefix '[paquet rejete]:'
  74. #iptables -A log_n_drop -j DROP
  75.  
  76. #Creer une chaine qui interdit l'usage des adresses RFC 1919 et qui log
  77. #iptables -N RFC
  78. #iptables -A RFC -s 10.0.0.0/8 -j log_n_drop
  79. #iptables -A RFC -s 192.168.0.0/16 -j log_n_drop
  80. #iptables -A RFC -s 172.16.0.0/12 -j log_n_drop
  81.  
  82. #Une regle qui redirige dans la chaine RFC si le paquet vient de l'interface externe
  83. #iptables -A INPUT -i eth0 -j RFC
  84.  
  85. #Une regle qui nat toutes les requetes venant de l'interne
  86. #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  87.  
  88. #Ajout de règles dans la chaîne PING pour autoriser l'echo resquest et l'echo reply (ping)
  89. iptables -A PING -m state --state NEW -p icmp --icmp-type 0 -j ACCEPT
  90. iptables -A PING -m state --state NEW -p icmp --icmp-type 8 -j ACCEPT
  91.  
  92. # Appel de la chaîne PING depuis les chaines INPUT et OUTPUT
  93. iptables -A INPUT -p icmp -j PING
  94. iptables -A OUTPUT -p icmp -j PING
  95.  
  96. # Ouverture du torrent
  97. #iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp --dport 6881 --syn -j ACCEPT
  98.  
  99. # Ajout d'une réle de NAT
  100. #iptables -t nat -A POSTROUTING -o eth1 -j MASQUERAD
  101.  
  102. #Bloquer le ping depuis le net
  103. #iptables -A INPUT -p icmp -i eth0 --icmp-type echo-reply -j DROP
  104. #iptables -A INPUT -p icmp -i eth0 --icmp-type echo-request -j DROP
  105. #iptables -A INPUT -p icmp -i eth0 --icmp-type source-quench -j DROP
  106. #iptables -A INPUT -p icmp -i eth0 --icmp-type destination-unreachable -j DROP
  107. #iptables -A INPUT -p icmp -i eth0 --icmp-type time-exceeded -j DROP
  108. #iptables -A INPUT -p icmp -i eth0 --icmp-type parameter-problem -j DROP
  109.  
  110. #Blocage de certaines port lors d'un scan
  111. #iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
  112. #iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
  113. #iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  114. #iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
  115. iptables -I INPUT -d 5.196.242.78 -p tcp --dport 80 -m string --to 70  --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
  116. # bittorrent trackers Drop
  117. # # tracker.prq.to
  118. #iptables -A INPUT -d 85.17.80.0/24 -j DROP
  119. # # tracker.openbittorrent.com
  120. #iptables -A INPUT -d 188.126.64.0/24 -j DROP
  121. # # free.btr.kz
  122. #iptables -A INPUT -d 195.210.47.0/24 -j DROP
  123. # # tracker.mightynova.com
  124. #iptables -A INPUT -d 209.50.48.0/24 -j DROP
  125. # # tracker.torrentbay.to
  126. #iptables -A INPUT -d 94.228.210.0/24 -j DROP
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!