Freesco, NND, CDN, EOS

Ello
Prosze o pomoc .. w dopisaniu/poprawieniu regulki odpowiedzialnej za to by
jeden IP sie mogl tylko laczyc z GG ... a jeden IP mogl miec caly net ....

==============
#!/bin/bash

case $1 in


start)
echo "Maskarada dla sieci lokalnej i FIREWALL"
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#ladujemy moduly dla ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#usuniecie wszystkich bałwan jestem filtra i czyszczenie tablic
iptables -F
iptables -F -t nat

#domyslnie nie przepuszczamy nic
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#dodaj wpuszczanie/wypuszczanie wszystkiego na interfejs lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#wpuszczamy/wypuszczamy wszystko na siec lokalna
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

#jawne odruzcenie portow 113,1080 (IDENT,SOCKET)
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with
icmp-port-unreachable
iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with
icmp-port-unreachable

#dopuszczamy PING
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

#zezwalamy na wszystko co odbywa sie w ramach juz dozwolonyc polaczen
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED

#filtrowanie nieautoryzwaonego ruchu
iptables -A FORWARD -s 10.1.1.0/24 -i ppp0 -j DROP
iptables -A FORWARD -s ! 10.1.1.0/24 -o eth0 -j DROP

#wpuszczamy polaczenia na SMTP (25)
#iptables -A INPUT -p tcp -d 0/0 --dport 25 -j ACCEPT
#wpuszczamy polaczenia na WWW (80)
#iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT
#wpuszczamy polaczenia na SSH (22) tylko dla danego kompa
#iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx/32 -d 0/0 --dport 22 -j
ACCEPT

#uslugi ktore wypuszczamy z naszej sieci
#TCP 80,8080(WWW), 22(SSH), 21(FTP), 25(SMTP), 119(NEWS), 53(DNS),
110(POP3)
#UDP 123(NTP), 53(DNS)

TCP_OUT_ALLOW=80,8080,22,21,25,119,53,6667,443,110,1550,8074
UDP_OUT_ALLOW=123,53

iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m
multiport --destination-port $TCP_OUT_ALLOW
iptables -A OUTPUT -o ppp0 -p udp -j ACCEPT -m state --state NEW -m
multiport --destination-port $UDP_OUT_ALLOW
iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m
multiport --destination-port $TCP_OUT_ALLOW
iptables -A FORWARD -o ppp0 -p udp -j ACCEPT -m state --state NEW -m
multiport --destination-port $UDP_OUT_ALLOW

#dodatkowo przepuszczamy formularze ze stron
iptables -A FORWARD -o ppp0 -p tcp --sport 80 -m state --state NEW -j
ACCEPT

#blokujemy wszystkie polaczenia z kompa yyy.yyyy.yyy.yyy
#iptables -A INPUT -i ppp0 -s yyy.yyy.yyy.yyy DROP
#iptables -A FORWARD -o ppp0 -d yyy.yyy.yyy.yyy DROP


#maskowanie
iptables -t nat -A POSTROUTING -p all -s 10.1.1.0/24 -d 0/0 -j MASQUERADE

#odmowa dla wszystkich
iptables -I FORWARD -s 10.1.1.0/24 -d 0/0 -j DROP

#GG
iptables -I FORWARD -s 10.1.1.80/24 -d 217.17.41.0/24 -j ACCEPT

#tlen
# iptables -I FORWARD -s 10.1.1.80/24 -d 212.126.20.0/24 -j ACCEPT

#pelny
iptables -I FORWARD -s 10.1.1.81/24 -d 0/0 -j ACCEPT

#loguje pakiety, ktore nie zostaly wpuszczone
iptables -A INPUT -j LOG -m limit --limit 10/hour
iptables -A OUTPUT -j LOG -m limit --limit 10/hour
iptables -A FORWARD -j LOG -m limit --limit 10/hour

echo "chyba OK"
;;

stop)

echo "Maskarada dla sieci lokalnej i FIREWALL"
echo '0' > /proc/sys/net/ipv4/ip_forward
echo '0' > /proc/sys/net/ipv4/conf/all/rp_filter


#usuniecie wszystkich bałwan jestem filtra i czyszczenie tablic
iptables -F
iptables -F -t nat

#domyslnie przepuszczamy wszystko
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
;;

*)
echo "Uzycie: $0 {start,stop}"
;;

esac
exit 0
====================
to sie pojawia pewien problem .. bo nie dziala GG na tym jednym kompie .. albo
jak dziala to caly net ..

Prosze o pomoc .. w dopisaniu/poprawieniu regulki odpowiedzialnej za to by
jeden IP sie mogl tylko laczyc z GG ... a jeden IP mogl miec caly net ....

Niezbyt to odpowiednie forum na to pytanie, no chyba, że udało ci się te iptables na Freesco zaimplementować.

_________________
Belfer.one.PL
Audio Cafe

nie nie udalo mi sie na freesco a pytam tutaj bo mysle ze ktos mi pomoze na inne forum tez poslalem czekam na odpowiedz na moj problem

Ja bym to zrobił tak:
Zablokował ruch, puścił gg na kompie i patrzył na co się chce łączyć (jest chyba kilka serwerów gg i kilka portów). Potem kolejno blokował serwery i porty a przepuszczał tylko kompa co ma mieć i z głowy.

A mi sie nie udało wogule odpalić iptables!!! JAk ktoś wie jak to bede wdzieczny

Heh... Man nadzieję, ze nie chcesz tego odpalić we Freesco
To jest skrypt dla innych ociężałych linuxów .
Jakbyś chciał to we freesco to ktoś musi Ci to "przekompilować" na ipfwadm