SHARE
TWEET

IPTABLES settings on linux slackware server

tolikpunkoff Oct 20th, 2019 79 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. # Удаление всех правил
  2. echo "Delete firewall rules..."
  3. iptables -F
  4. iptables -F  -t nat
  5. iptables -F  -t mangle
  6. iptables -X
  7. iptables -t nat -X
  8. iptables -t mangle -X
  9.  
  10. # Запрет всего трафика
  11. echo "Set main policy..."
  12. iptables -P INPUT DROP
  13. iptables -P OUTPUT DROP
  14. iptables -P FORWARD DROP
  15.  
  16. # Включение логов (когда-то было для отладки)
  17. #iptables -A INPUT -j LOG --log-prefix '[FW INPUT]:'
  18. #iptables -A OUTPUT -j LOG --log-prefix '[FW OUTPUT]:'
  19. #iptables -A FORWARD -j LOG --log-prefix '[FW FORWARD]:'
  20.  
  21. #Открываем порты VPN и протокол GRE для PPTP-VPN
  22. #Есть как на сервере для виндовых клиентов,
  23. #так и серверу может понадобиться  соединяться с VPN
  24. echo "Open VPN ports and GRE..."
  25. #to computer (входящие)
  26. iptables -A INPUT  -p tcp --dport 1723 -j ACCEPT
  27. iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
  28. #from computer (исходящие)
  29. iptables -A INPUT  -p tcp --sport 1723 -j ACCEPT
  30. iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
  31.  
  32. iptables -A INPUT -p gre -j ACCEPT
  33. iptables -A OUTPUT -p gre -j ACCEPT
  34.  
  35. #разрешить весь трафик на lo интерфейсе
  36. echo "Accept all lo interface traffic..."
  37. iptables -A INPUT -i lo -j ACCEPT
  38. iptables -A OUTPUT -o lo -j ACCEPT
  39.  
  40. #открыть порты для VPN-клиентов (входящие)
  41. # ssh (22 port)
  42. echo "Open 22 port (ssh) for VPN clients..."
  43. iptables -A INPUT  -s 172.16.1.0/24  -p tcp --dport 22 -j ACCEPT
  44. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp --sport 22 -j ACCEPT
  45. # XDMCP
  46. echo "Open 177 port UDP (XDMCP) for VPN clients..."
  47. iptables -A INPUT  -s 172.16.1.0/24  -p udp --dport 177 -j ACCEPT
  48. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 177 -j ACCEPT
  49.  
  50. echo "Open 6000:6005 ports (Windows XDMCP) in both directions for VPN clients..."
  51. iptables -A INPUT  -s 172.16.1.0/24  -p tcp -m multiport --dports 6000:6005 -j ACCEPT
  52. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp -m multiport --sports 6000:6005 -j ACCEPT
  53.  
  54. iptables -A INPUT  -s 172.16.1.0/24  -p tcp -m multiport --sports 6000:6005 -j ACCEPT
  55. iptables -A OUTPUT -s 172.16.1.0/24  -p tcp -m multiport --dports 6000:6005 -j ACCEPT
  56.  
  57. echo "Open DNS for VPN clients..."
  58. iptables -A INPUT  -s 172.16.1.0/24  -p udp --dport 53 -j ACCEPT
  59. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 53 -j ACCEPT
  60.  
  61. iptables -A INPUT  -s 172.16.1.0/24  -p tcp --dport 53 -j ACCEPT
  62. iptables -A OUTPUT -s 172.16.1.0/24  -p udp --sport 53 -j ACCEPT
  63.  
  64.  
  65. #  Разрешить ICMP
  66. echo "Allow ICMP and ports for TRACEROUTE..."
  67. iptables -A INPUT  -p icmp -j ACCEPT
  68. iptables -A OUTPUT -p icmp -j ACCEPT
  69. #открыть порты для traceroute
  70. iptables -A INPUT -p udp -m multiport --sports 33434:33534 -j ACCEPT
  71. iptables -A OUTPUT -p udp -m multiport --dports 33434:33534 -j ACCEPT
  72.  
  73.  
  74. #Открыть стандартные порты (входящие)
  75. echo "Open standart ports (DNS,WWW, email) from server"
  76. # 53-DNS,80 8080/tcp - WWW, 443/tcp - https, 110,443,25,587 - e-mail 873/tcp - rsync (for sbopkg)
  77. iptables -A INPUT -p udp -m multiport --sports 53,443 -j ACCEPT
  78. iptables -A INPUT -p tcp -m multiport --sports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
  79. iptables -A OUTPUT -p udp -m multiport --dports 53,443 -j ACCEPT
  80. iptables -A OUTPUT -p tcp -m multiport --dports 53,80,8080,443,110,443,25,587,873 -j ACCEPT
  81.  
  82. #FTP (21,20,49152-65534 tcp) пока не нужен
  83. #echo "Setup FTP access from server..."
  84. # 21 & 49... from computer
  85. #iptables -A INPUT -p tcp -m multiport --sports 21,49155:65534 -j ACCEPT
  86. #iptables -A OUTPUT -p tcp -m multiport --dports 21,49155:65534 -j ACCEPT
  87. # 20 - to computer
  88. #iptables -A INPUT  -p tcp --dport 20 -j ACCEPT
  89. #iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top