Jump to content

avaddon66

Members
  • Content Count

    3
  • Joined

  • Last visited

    Never
  1. не, в первом листинге я путаюсь очень, я хочу добавить это ко второму листингу
  2. Так начал расшифровывать, но все равно это для меня тяжело мир не без добрых людей, и у меня кое-что получилось #!/bin/bash# IPTables LocationIPT="/usr/sbin/iptables"IPTS="/usr/sbin/iptables-save"IPTR="/usr/sbin/iptables-restore"# Save and Restore arguments handled hereif [ "$1" = "save" ]then echo -n "Saving firewall to /etc/rc.d/init.d/iptables ... " $IPTS > /etc/rc.d/init.d/iptables echo "done" exit 0elif [ "$1" = "restore" ]then echo -n "Restoring firewall from /etc/rc.d/init.d/iptables ... " $IPTR < /etc/rc.d/init.d/iptables echo "done" exit 0fi#flush policy$IPT -F$IPT -X#default policy$IPT -P FORWARD ACCEPT$IPT -P OUTPUT ACCEPT$IPT -P INPUT DROP#create custom chain$IPT -N POLICY# INPUT policy$IPT -A INPUT -i lo -j ACCEPT$IPT -A OUTPUT -o lo -j ACCEPT$IPT -A INPUT -s 127.0.0.1 -j ACCEPT$IPT -A INPUT -d 127.0.0.1 -j ACCEPT$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT$IPT -A INPUT -p icmp -j ACCEPT#jump to chain$IPT -A INPUT -j POLICY#chain policy##$IPT -A POLICY -p tcp -m tcp --dport 53 -j ACCEPT##$IPT -A POLICY -p udp -m udp --dport 53 -j ACCEPT##$IPT -A POLICY -p tcp -m tcp --dport 22 -j ACCEPT##$IPT -A POLICY -p tcp -m tcp --dport 80 -j ACCEPT##$IPT -A POLICY -p tcp -m tcp --dport 443 -j ACCEPT#dobavit kogo nuzhno, kakie seti ili ip ne ukazani sdes dostupa ne imeut#deaggregated 192.168.115.0 - 192.168.221.255$IPT -A POLICY -s 10.116.15.192/30 -j ACCEPT$IPT -A POLICY -s 10.116.15.196/31 -j ACCEPT$IPT -A POLICY -s 10.60.15.155/32 -j ACCEPTNET_OK="192.168.115.0/24 192.168.116.0/22 192.168.120.0/21 192.168.128.0/18 192.168.192.0/20 192.168.208.0/21 192.168.216.0/22 192.168.220.0/23 192.168.221.0/32"for N in $NET_OK ; do $IPT -A POLICY -p ALL -s $N -j ACCEPT done подскажите как добавить правило защиты SYN flood и логи о всех соединениях фаерволла?
  3. Господа! Попытаюсь описать более детально ситуацию: Имеется некий сервер на основе Slackware (достался в наследство), который работает только в локальной сети с интерфейсом eth0:10.60.15.175 и соответственно lo:127.0.0.1, доступ в интернет отсутствует. К серверу должны иметь полный доступ (входящий и исходящий трафик) некоторые локальные сети: 192.168.115.0-192.168.221.0, 10.60.15.0 и 1 внешний IP к примеру 88.88.88.88 который периодически подключается к eth0:10.60.15.175. Нужно чтобы сети не входящие в диапазон 192.168.115.0-192.168.221.0, 10.60.15.0-255 были закрыты, а доступ с внешнего IP 88.88.88.88 можно было открывать/закрывать по мере необходимости. На http://connie.slackware.com/~alien/efg/index.php сгенерировал скрипт и вот что вышло см.вложение Вот что там лишнее и чего не хватает я знаю. В этом деле я полный 0, поэтому прошу объяснять как для идиота, статьи читал, примеры смотрел, но иероглифы моему сознанию не поддаются.
×
×
  • Create New...