Freesco, NND, CDN, EOS

#!/bin/sh
# rc.firewall 0.1 Zciech
#

i="iptables"
#i="echo iptables"

#Porty wpuszczane/zabronione
TCP_IN_ALLOW="80"
# mozna dopisac porty do 15 szt.
TCP_IN_DENY="135,136,137,138"

# Adresy
net0=80.82.14.8
mask0=255.255.255.252
net1=192.168.0.0
mask1=255.255.255.0

# Ladujemy modul stateful-inspection dla FTP i inne
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

if [ -e /proc/sys/net/ipv4/tcp_ecn ];then
    echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
echo 1> /proc/sys/net/ipv4/ip_forward
echo 1> /proc/sys/net/ipv4/conf/lo/rp_filter
echo 1> /proc/sys/net/ipv4/conf/eth0/rp_filter

$i -F
$i -F -t nat

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT ACCEPT

#komendy ratunkowe przy zdalnej pracy
#(sleep 230;\
#iptables -P INPUT ACCEPT ;\
#iptables -P OUTPUT ACCEPT ;\
#iptables -P FORWARD ACCEPT ;\
#iptables -F) &


$i -A INPUT -i lo -j ACCEPT
$i -A FORWARD -o lo -j ACCEPT

# Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
# na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
$i -A INPUT -p tcp --dst 0/0 --dport 113  -j REJECT --reject-with icmp-port-unreachable
$i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable

# Blaster wraz z logowaniem
#$i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 10/hour
$i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP
#$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j LOG -m limit --limit 10/hour
$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j DROP


# Takie adresy nie maja prawa tu byc
$i -A INPUT -i eth0 -s $net1/$mask1 -j DROP
$i -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$i -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$i -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP

# uslugi niedostepne
if [ "$TCP_IN_DENY" ];then
    $i -A INPUT -p tcp -i eth0 --dst 0/0 -m multiport --dport $TCP_IN_DENY -j DROP
fi   
# uslugi udostepnione
if [ "$TCP_IN_ALLOW" ];then
    $i -A INPUT -p tcp -i eth0 -m multiport --dst 0/0 --dport $TCP_IN_ALLOW -j ACCEPT
fi   

# pingi puszczamy
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# DHCPD bez tego nie przydziela IP
$i -A INPUT -i eth1 -s 0.0.0.0 -j ACCEPT

# Uzytkownicy
sed -n /^/P /etc/hosts |while read IP nazwa ;do
    $i -A INPUT -i eth1 -s $IP -j ACCEPT
    $i -A FORWARD -s $IP -j ACCEPT
done

# maskarada
sed -n /^/P /etc/hosts |while read IP nazwa ;do
    $i -t nat -A POSTROUTING  -s $IP -j MASQUERADE
done

# Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych
# polaczen
$i -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
$i -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
$i -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
$i -A INPUT -p icmp -j ACCEPT -m state --state RELATED
$i -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
$i -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
$i -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
$i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
$i -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED

# Logujemy pakiety ktore nie zostaly zaakceptowane przez
# zadna z powyzszych regulek. Zostana one wyblokowane dzieki
# polityce DROP we wszystkich tablicach, niestety cel-j LOG
# na razie nie dziala
#$i -A INPUT -j LOG -m limit --limit 10/hour
#$i -A FORWARD -j LOG -m limit --limit 10/hour

i="iptables"
#i="echo iptables"

ERROR: Traget[swap][_IN_] ' $$traget[14]{$mode} ' did not eval into defined data
ERROR: Traget[swap][_OUT_] ' $$traget[14]{$mode} ' did not eval into defined data

Warning: Could not get any data from external comand ' /etc/mrtg/swap '
Maybe the external comand did not even start. (IIIegal seek)
Warning Problem with External get ' /etc/mrtg/swap ':
Expected a Numer for ' out but nothing '

iptables: Chain already exist