Прошу помощи в создании iptables

[avaddon66]

Господа!

Попытаюсь описать более детально ситуацию:

Имеется некий сервер на основе Slackware (достался в наследство), который работает только в локальной сети с интерфейсом eth0:10.60.15.175 и соответственно lo:127.0.0.1, доступ в интернет отсутствует.

К серверу должны иметь полный доступ (входящий и исходящий трафик) некоторые локальные сети: 192.168.115.0-192.168.221.0, 10.60.15.0 и 1 внешний IP к примеру 88.88.88.88 который периодически подключается к eth0:10.60.15.175.

Нужно чтобы сети не входящие в диапазон 192.168.115.0-192.168.221.0, 10.60.15.0-255 были закрыты, а доступ с внешнего IP 88.88.88.88 можно было открывать/закрывать по мере необходимости.

На http://connie.slackware.com/~alien/efg/index.php сгенерировал скрипт и вот что вышло см.вложение

Вот что там лишнее и чего не хватает я знаю.

В этом деле я полный 0, поэтому прошу объяснять как для идиота, статьи читал, примеры смотрел, но иероглифы моему сознанию не поддаются.

[gogi]

Что-то наподобе

iptables -A INPUT -p ALL -s 88.88.88.88 -j ACCEPT

iptables -A INPUT -p ALL -m iprange --src-range 192.168.115.1-192.168.221.254 -j ACCEPT

iptables -A INPUT -p ALL -j DROP

Похоже, у Вас большая сеть. Может, имеет смысл заняться расшифровкой иероглифоф?

Существуют и графические конфигураторы iptables. Только по функциональности они не далеко ушли от продвинутых фареволов венды.

[avaddon66]

Так начал расшифровывать, но все равно это для меня тяжело

мир не без добрых людей, и у меня кое-что получилось

#!/bin/bash# IPTables LocationIPT="/usr/sbin/iptables"IPTS="/usr/sbin/iptables-save"IPTR="/usr/sbin/iptables-restore"# Save and Restore arguments handled hereif [ "$1" = "save" ]then    echo -n "Saving firewall to /etc/rc.d/init.d/iptables ... "    $IPTS > /etc/rc.d/init.d/iptables    echo "done"    exit 0elif [ "$1" = "restore" ]then    echo -n "Restoring firewall from /etc/rc.d/init.d/iptables ... "    $IPTR < /etc/rc.d/init.d/iptables    echo "done"    exit 0fi#flush policy$IPT  -F$IPT  -X#default policy$IPT  -P  FORWARD ACCEPT$IPT  -P  OUTPUT ACCEPT$IPT  -P  INPUT DROP#create custom chain$IPT  -N  POLICY# INPUT policy$IPT  -A INPUT -i lo -j ACCEPT$IPT  -A OUTPUT -o lo -j ACCEPT$IPT  -A  INPUT -s  127.0.0.1 -j  ACCEPT$IPT  -A  INPUT -d  127.0.0.1 -j  ACCEPT$IPT  -A  INPUT -m  state --state  RELATED,ESTABLISHED -j  ACCEPT$IPT  -A  INPUT -p  icmp -j  ACCEPT#jump to chain$IPT  -A  INPUT -j  POLICY#chain policy##$IPT  -A  POLICY -p  tcp -m  tcp --dport  53  -j  ACCEPT##$IPT  -A  POLICY -p  udp -m  udp --dport  53  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  22  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  80  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  443 -j  ACCEPT#dobavit kogo nuzhno, kakie seti ili ip ne ukazani sdes dostupa ne imeut#deaggregated 192.168.115.0 - 192.168.221.255$IPT  -A  POLICY  -s 10.116.15.192/30 -j  ACCEPT$IPT  -A  POLICY  -s 10.116.15.196/31 -j  ACCEPT$IPT  -A  POLICY  -s 10.60.15.155/32 -j  ACCEPTNET_OK="192.168.115.0/24 192.168.116.0/22 192.168.120.0/21 192.168.128.0/18 192.168.192.0/20 192.168.208.0/21 192.168.216.0/22 192.168.220.0/23 192.168.221.0/32"for N in $NET_OK ; do  $IPT -A POLICY -p ALL -s $N -j ACCEPT  done

подскажите как добавить правило защиты SYN flood и логи о всех соединениях фаерволла?

[gogi]

В Вашем первом листинге в цепочке bad_tcp_packets логинятся и дропятся подобные пакеты.

[avaddon66]

не, в первом листинге я путаюсь очень, я хочу добавить это ко второму листингу