https://www.opennet.ru/openforum/vsluhforumID1/90004.html Написал цепочку правил по мануалам в iptables<br><br>Есть сервер. на OUTPUT все разрешенно.<br>А вот на INPUT на до ограничить определенное количество портов, cделать проброс.<br>а так же защитить от возможных аттак и подбора пароля на ssh.<br>venet0 - внешний<br><br>Написал такую цепочку проверьте пожалуйста.<br><br><br># Разрешаем прохождение любого трафика по интерфейсу обратной петли.<br>iptables -A INPUT -i lo -j ACCEPT<br><br>Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру.<br>iptables -A INPUT -m state ! -i lo --state NEW -j DROP<br><br> # Если интерфейс не lo, то запрещаем входить в список его адресов.<br>iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP<br><br> # Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.<br>iptables -A INPUT -m state --state INVALID -j DROP<br>iptables -A FORWARD -m state --state INVALID -j DROP<br><br># Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.<br># Состояние https://www.opennet.ru/openforum/vsluhforumID1/90004.html#13 Wed, 13 Oct 2010 08:27:50 GMT fwbuilder, советую<br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#12 Tue, 12 Oct 2010 17:53:39 GMT &gt;&gt; iptables -A INPUT -i lo -j ACCEPT<br>&gt;&gt; iptables -A INPUT -m state ! -i lo --state NEW -j DROP<br>&gt; пакеты убъем, но будем надеется что они воскреснут<br><br>Более того, на второе правило пакетов с интерфейсом -i lo попасть уже не может, ибо они будут accept-нуты первыи правилом.<br><br><br>Рекомендую топикстартеру углублять внимательность и логику.<br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#11 Tue, 12 Oct 2010 17:33:40 GMT &gt; Сделал вот так.<br>&gt; iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br>&gt; iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>&gt; iptables -A INPUT -i lo -j ACCEPT<br>&gt; iptables -A INPUT -m state ! -i lo --state NEW -j DROP<br><br>пакеты убъем, но будем надеется что они воскреснут<br><br>&gt;[оверквотинг удален]<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 80 -j DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 21 -j DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 2020 -j DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 110 -j DNAT --to-destination 192.168.20.5<br>&gt; iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited<br>&gt; iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#10 Tue, 12 Oct 2010 13:56:15 GMT &gt;[оверквотинг удален]<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 80 -j DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 21 -j DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 2020 -j DNAT --to-destination 192.168.20.4<br>&gt; iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport<br>&gt; 110 -j DNAT --to-destination 192.168.20.5<br>&gt; iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited<br>&gt; iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited<br><br>Повторяю еще раз. <br>Группируй правила по таблицам и цепочкам. Смотреть на правила, где -A FORWARD -j REJECT опущен в конец скрипта через стопиццот правил - ну иво нафиг.<br><br>Даже смотреть из-за этого не хочется, хотя есть некоторые советы которые можно было бы дать.<br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#9 Tue, 12 Oct 2010 09:00:11 GMT Сделал вот так.<br>iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -m state ! -i lo --state NEW -j DROP<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT<br>iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT<br>iptables -A INPUT -i tap0 -s 192.168.138.2 -j ACCEPT<br>iptables -A FORWARD -i venet0 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT<br>iptables -A FORWARD -i venet0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT<br>iptables -A FORWARD -i venet0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT<br>iptables -A FORWARD -i venet0 -p tcp -m state --state NEW -m tcp --dport 2020 -j ACCEPT<br>iptables -A FORWARD -i venet0 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT<br>iptables -t nat -A PREROUTING -i venet0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.20.4<br>iptables -t nat -A PREROUTING -i v https://www.opennet.ru/openforum/vsluhforumID1/90004.html#8 Tue, 12 Oct 2010 06:30:59 GMT &gt; начал с простого... скажите правильно ли?<br><br>Списывайте у Мастеров:<br>http://google.ru/search?hl=ru&q=firehol+debug+sorter+site:opennet.ru<br><br>:) У скрипта то есть+++<br>http://www.opennet.ru/openforum/vsluhforumID1/81413.html#7<br>http://www.opennet.ru/openforum/vsluhforumID3/56932.html#16<br><br>PS: Хотя да, _понимание_ приходит оооочень не сразу. Не мы $) такие, iptables такой.<br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#7 Tue, 12 Oct 2010 06:06:14 GMT &gt; Павел про lo поправил так<br>&gt; iptables -A INPUT -i lo -j ACCEPT<br>&gt; iptables -A INPUT -m state ! -i lo --state NEW -j DROP<br>&gt; 20 порт затупил там его не должно быть.<br>&gt; А как тут указать направление пакета?<br>&gt; iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport2020<br>&gt; -j ACCEPT<br>&gt; iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j<br>&gt; DNAT --to-destination 192.168.20.4<br><br>iptables -A FORWARD -i eth0 -o eth1 ... (уточнения -o - по вкусу и потребностям).<br>iptables -t -nat -A PREROUTING -i eth0 ...<br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#6 Tue, 12 Oct 2010 05:43:39 GMT Павел про lo поправил так<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -m state ! -i lo --state NEW -j DROP<br>20 порт затупил там его не должно быть.<br>А как тут указать направление пакета?<br>iptables -A FORWARD -p tcp -m state --state NEW -m tcp --dport2020 -j ACCEPT<br>iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.20.4<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90004.html#5 Tue, 12 Oct 2010 05:15:37 GMT &gt; iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j<br>&gt; DNAT --to-destination 192.168.20.4<br><br>а, ну и и опять же, не учитывается направление движения пакета.<br>