QSZb5CS9

· 7 years ago · Feb 20, 2018, 07:24 AM
1#!/bin/sh
2
3# ÐŸÑ€Ð¸ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ð½Ð¸Ð¸ Ð¿Ñ€Ð¾Ð³Ñ€Ð°Ð¼Ð¼Ñ‹ iptables Ð² Ñ€Ð°Ð±Ð¾Ñ‚Ðµ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·ÑƒÑŽÑ‚ÑÑ ÑÐ»ÐµÐ´ÑƒÑ‰Ð¸Ðµ Ð¿Ð°Ñ€Ð°Ð¼ÐµÑ‚Ñ€Ñ‹:
4# â€“ ÑÐµÑ‚ÑŒ Ð¾Ñ‚Ð¿Ñ€Ð°Ð²Ð¸Ñ‚ÐµÐ»Ñ: -s (Ð¸Ð»Ð¸ â€“source);
5# â€“ ÑÐµÑ‚ÑŒ Ð¿Ð¾Ð»ÑƒÑ‡Ð°Ñ‚ÐµÐ»Ñ: -d (Ð¸Ð»Ð¸ â€“destination);
6# â€“ Ð¿Ð¾Ñ€Ñ‚ Ð¾Ñ‚Ð¿Ñ€Ð°Ð²Ð¸Ñ‚ÐµÐ»Ñ: â€“sport, Ð¿Ð¾Ñ€Ñ‚ Ð¿Ð¾Ð»ÑƒÑ‡Ð°Ñ‚ÐµÐ»Ñ: â€“dport;
7# â€“ Ð²Ñ…Ð¾Ð´ÑÑ‰Ð¸Ð¹ Ð¸Ð½Ñ‚ÐµÑ€Ñ„ÐµÐ¹Ñ -i, Ð¸ÑÑ…Ð¾Ð´ÑÑ‰Ð¸Ð¹ Ð¸Ð½Ñ‚ÐµÑ€Ñ„ÐµÐ¹Ñ -o;
8# â€“ Ð¿Ñ€Ð¾Ñ‚Ð¾ÐºÐ¾Ð»: -p Ð¸Ð»Ð¸ â€“protocol;
9# â€“ Ð¾Ñ‚Ð±Ñ€Ð°ÑÑ‹Ð²Ð°Ð½Ð¸Ðµ Ð¿Ð°ÐºÐµÑ‚Ð°: -j DROP;
10# â€“ Ð¿Ñ€Ð¾Ñ…Ð¾Ð¶Ð´ÐµÐ½Ð¸Ðµ Ð¿Ð°ÐºÐµÑ‚Ð°: -j ACCEPT;
11# â€“ ÑƒÐºÐ°Ð·Ð°Ð½Ð¸Ðµ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·ÑƒÐµÐ¼Ð¾Ð¹ Ñ‚Ð°Ð±Ð»Ð¸Ñ†Ñ‹ Ð¿Ñ€Ð°Ð²Ð¸Ð» (-t) Ð¸ Ñ†ÐµÐ¿Ð¾Ñ‡ÐºÐ¸ Ð´Ð»Ñ Ð´Ð¾Ð±Ð°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¿Ñ€Ð°Ð²Ð¸Ð»Ð° (-A).
12#
13# Ð”Ð»Ñ Ð¿Ñ€Ð¾ÑÐ¼Ð¾Ñ‚Ñ€Ð° Ñ†ÐµÐ¿Ð¾Ñ‡ÐµÐº Ð¿Ð¾Ð»ÐµÐ·Ð½Ñ‹ ÑÐ»ÐµÐ´ÑƒÑŽÑ‰Ð¸Ðµ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ‹. ÐŸÐµÑ€Ð²Ð°Ñ Ð¸Ð· Ð½Ð¸Ñ… Ð¿Ð¾ÐºÐ°Ð·Ñ‹Ð²Ð°ÐµÑ‚ Ð¿Ñ€Ð°-
14# Ð²Ð¸Ð»Ð° Ð¸Ð· Ñ‚Ð°Ð±Ð»Ð¸Ñ†Ñ‹ filter, Ð²Ñ‚Ð¾Ñ€Ð°Ñ â€” Ð¸Ð· Ñ‚Ð°Ð±Ð»Ð¸Ñ†Ñ‹ nat.
15# $ iptables -L -v
16# $ iptables -L -v -t nat
17#
18# Ð¦ÐµÐ¿Ð¾Ñ‡ÐºÐ° Ð¿Ñ€Ð°Ð²Ð¸Ð» Ð¿Ñ€Ð¾ÑÐ¼Ð°Ñ‚Ñ€Ð¸Ð²Ð°ÐµÑ‚ÑÑ ÑÐ²ÐµÑ€Ñ…Ñƒ Ð²Ð½Ð¸Ð· Ð¿Ð¾ÑÐ»ÐµÐ´Ð¾Ð²Ð°Ñ‚ÐµÐ»ÑŒÐ½Ð¾, Ð¿Ð¾ÐºÐ° Ð½Ðµ Ð±ÑƒÐ´ÐµÑ‚ Ð½Ð°Ð¹Ð´ÐµÐ½Ð¾ Ð¿Ñ€Ð°Ð²Ð¸-
19# Ð»Ð¾, Ð²ÑÐµ ÑƒÑÐ»Ð¾Ð²Ð¸Ñ ÐºÐ¾Ñ‚Ð¾Ñ€Ð¾Ð³Ð¾ ÑƒÐ´Ð¾Ð²Ð»ÐµÑ‚Ð²Ð¾Ñ€ÑÑŽÑ‚ÑÑ. ÐŸÐ¾-ÑƒÐ¼Ð¾Ð»Ñ‡Ð°Ð½Ð¸ÑŽ Ð²ÑÐµ Ð¸ÑÑ…Ð¾Ð´ÑÑ‰Ð¸Ðµ (Ñ†ÐµÐ¿Ð¾Ñ‡ÐºÐ° OUTPUT),
20# Ð²Ñ…Ð¾Ð´ÑÑ‰Ð¸Ðµ (Ñ†ÐµÐ¿Ð¾Ñ‡ÐºÐ° INPUT) Ð¸ Ñ‚Ñ€Ð°Ð½Ð·Ð¸Ñ‚Ð½Ñ‹Ðµ (Ñ†ÐµÐ¿Ð¾Ñ‡ÐºÐ° FORWARD) Ð¿Ð°ÐºÐµÑ‚Ñ‹ Ð¿Ñ€Ð¾Ñ…Ð¾Ð´ÑÑ‚ Ñ‡ÐµÑ€ÐµÐ· Ð¼ÐµÐ¶ÑÐµÑ‚ÐµÐ²Ð¾Ð¹
21# ÑÐºÑ€Ð°Ð½.
22
23echo "Configuring firewall..."
24
25LAN=eth0
26INET=eth1
27VPN=tun0
28
29# Ð£Ð´Ð°Ð»ÐµÐ½Ð¸Ðµ Ð²ÑÐµÑ… Ð¿Ñ€Ð°Ð²Ð¸Ð» Ð² Ñ‚Ð°Ð±Ð»Ð¸Ñ†Ðµ "filter" (Ð¿Ð¾-ÑƒÐ¼Ð¾Ð»Ñ‡Ð°Ð½Ð¸ÑŽ) Ð¸ "nat" (ÑƒÐºÐ°Ð·Ð°Ñ‚ÑŒ ÑÐ²Ð½Ð¾)
30iptables -F
31iptables -F -t nat
32
33# Ð£Ð´Ð°Ð»ÐµÐ½Ð¸Ðµ Ð²ÑÐµÑ… Ñ†ÐµÐ¿Ð¾Ñ‡ÐµÐº
34iptables -X
35iptables -X -t nat
36
37# ÐŸÐ¾-ÑƒÐ¼Ð¾Ð»Ñ‡Ð°Ð½Ð¸ÑŽ Ð²ÑÐµ Ð¼Ð°Ñ€ÑˆÑ€ÑƒÑ‚Ð¸Ð·Ð¸Ñ€ÑƒÐµÐ¼Ñ‹Ðµ Ð¿Ð°ÐºÐµÑ‚Ñ‹ Ð²Ñ‹Ð±Ñ€Ð°ÑÑ‹Ð²Ð°ÑŽÑ‚ÑÑ.
38iptables --policy FORWARD DROP
39
40# Ð Ð°Ð·Ñ€ÐµÑˆÐ°ÐµÐ¼ Ð»ÑŽÐ±ÑƒÑŽ Ð¼Ð°Ñ€ÑˆÑ€ÑƒÑ‚Ð¸Ð·Ð°Ñ†Ð¸ÑŽ Ð´Ð»Ñ Ð¸Ð½Ñ‚ÐµÑ€Ñ„ÐµÐ¹ÑÐ° VPN
41iptables -A FORWARD -i $VPN -j ACCEPT
42iptables -A FORWARD -o $VPN -j ACCEPT
43
44# Ð’ÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ðµ SNAT Ð´Ð»Ñ Ð¼Ð°Ñ€ÑˆÑ€ÑƒÑ‚Ð¸Ð·Ð¸Ñ€ÑƒÐµÐ¼Ñ‹Ñ… Ð¿Ð°ÐºÐµÑ‚Ð¾Ð², Ð²Ñ‹Ñ…Ð¾Ð´ÑÑ‰Ð¸Ñ…
45# Ñ‡ÐµÑ€ÐµÐ· eth1. ÐÑ‚Ð¾ Ð¿Ñ€Ð°Ð²Ð¸Ð»Ð¾ Ð²Ñ‹Ð¿Ð¾Ð»Ð½ÑÐµÑ‚ÑÑ Ð¿Ð¾ÑÐ»Ðµ ÑÐ°Ð¼Ð¾Ð¹ Ð¼Ð°Ñ€ÑˆÑ€ÑƒÑ‚Ð¸Ð·Ð°Ñ†Ð¸Ð¸
46# (POSTROUTING) Ð¸ Ð¿Ð¾Ð¼ÐµÑ‰Ð°ÐµÑ‚ÑÑ Ð² Ñ‚Ð°Ð±Ð»Ð¸Ñ†Ñƒ Ð¿Ñ€Ð°Ð²Ð¸Ð» "nat".
47iptables -t nat -A POSTROUTING -o $INET -j MASQUERADE
48
49# Ð Ð°Ð·Ñ€ÐµÑˆÐ°ÐµÐ¼ Ð¾Ñ‚Ð¿Ñ€Ð°Ð²ÐºÑƒ/Ð¿ÐµÑ€ÐµÐ´Ð°Ñ‡Ñƒ Ð¿Ð°ÐºÐµÑ‚Ð¾Ð² Ñ/Ð½Ð° Ð¿Ð¾Ñ€Ñ‚Ñ‹ 80, 8080, 25 ÑÐµÑ€Ð²ÐµÑ€Ð¾Ð²
50iptables -A FORWARD -i $INET -d 10.101.4.0/24 -p tcp --dport 80 -j ACCEPT
51iptables -A FORWARD -o $INET -s 10.101.4.0/24 -p tcp --dport 80 -j ACCEPT
52iptables -A FORWARD -i $INET -d 10.101.4.0/24 -p tcp --dport 8080 -j ACCEPT
53iptables -A FORWARD -o $INET -s 10.101.4.0/24 -p tcp --dport 8080 -j ACCEPT
54iptables -A FORWARD -i $INET -d 10.101.4.0/24 -p tcp --dport 25 -j ACCEPT
55iptables -A FORWARD -o $INET -s 10.101.4.0/24 -p tcp --dport 25 -j ACCEPT
56
57# s11: Ð¿Ñ€Ð¾Ð±Ñ€Ð°ÑÑ‹Ð²Ð°ÐµÐ¼ Ð¿Ð¾Ñ€Ñ‚ 80
58iptables -t nat -A PREROUTING -p tcp --dport 80 -i $INET -j DNAT --to 10.101.4.10:80
59
60# s12: Ð¿Ñ€Ð¾Ð±Ñ€Ð°ÑÑ‹Ð²Ð°ÐµÐ¼ Ð¿Ð¾Ñ€Ñ‚Ñ‹ 8080 Ð¸ 25
61iptables -t nat -A PREROUTING -p tcp --dport 8080 -i $INET -j DNAT --to 10.101.4.20:80
62iptables -t nat -A PREROUTING -p tcp --dport 25 -i $INET -j DNAT --to 10.101.4.20:25
63
64# Ð Ð°Ð·Ñ€ÐµÑˆÐ°ÐµÐ¼ 53 Ð¿Ð¾Ñ€Ñ‚ (DNS)
65iptables -A FORWARD -p tcp --dport 53 -o $INET -j ACCEPT
66iptables -A FORWARD -p udp --dport 53 -o $INET -j ACCEPT
67
68# pc13
69# Ð—Ð°Ð¿Ñ€ÐµÑ‰Ð°ÐµÐ¼ Ð´Ð¾ÑÑ‚ÑƒÐ¿ Ðº lenta.ru:80
70iptables -A FORWARD -s 10.101.3.0/24 -d 81.19.85.0/24 -p tcp --dport 80 -j DROP
71
72# pc12
73# Ð—Ð°Ð¿Ñ€ÐµÑ‰Ð°ÐµÐ¼ Ð´Ð¾ÑÑ‚ÑƒÐ¿ Ðº facebook.com
74iptables -A FORWARD -s 10.101.2.0/24 -d 66.220.0.0/16 -j DROP
75iptables -A FORWARD -s 10.101.2.0/24 -d 69.171.0.0/16 -j DROP
76# Ð—Ð°Ð¿Ñ€ÐµÑ‰Ð°ÐµÐ¼ Ð´Ð¾ÑÑ‚ÑƒÐ¿ Ðº vkontakte.ru
77iptables -A FORWARD -s 10.101.2.0/24 -d 87.240.0.0/16 -j DROP
78iptables -A FORWARD -s 10.101.2.0/24 -d 93.186.0.0/16 -j DROP
79# ÐžÑÑ‚Ð°Ð²Ð»ÑÐµÐ¼ Ð´Ð¾ÑÑ‚ÑƒÐ¿ Ð½Ð° Ð¿Ð¾Ñ€Ñ‚Ñ‹ 80, 443, 110
80iptables -A FORWARD -s 10.101.2.0/24 -p tcp --dport 80 -j ACCEPT
81iptables -A FORWARD -s 10.101.2.0/24 -p tcp --dport 443 -j ACCEPT
82iptables -A FORWARD -s 10.101.2.0/24 -p tcp --dport 110 -j ACCEPT
83# ÐžÑÑ‚Ð°Ð»ÑŒÐ½Ð¾Ðµ, Ñ‡Ñ‚Ð¾ Ð²Ñ‹Ñ…Ð¾Ð´Ð¸Ñ‚ Ð² Ð˜Ð½Ñ‚ÐµÑ€Ð½ÐµÑ‚, Ð·Ð°Ð¿Ñ€ÐµÑ‰Ð°ÐµÐ¼
84iptables -A FORWARD -s 10.101.2.0/24 -o $INET -j DROP
85
86# pc11
87# Ð Ð°Ð·Ñ€ÐµÑˆÐ°ÐµÐ¼ Ð´Ð¾ÑÑ‚ÑƒÐ¿ Ð½Ð° yandex.ru
88iptables -A FORWARD -s 10.101.1.0/24 -d 87.250.0.0/16 -p tcp --dport 80 -j ACCEPT
89iptables -A FORWARD -s 10.101.1.0/24 -d 213.180.0.0/16 -p tcp --dport 80 -j ACCEPT
90iptables -A FORWARD -s 10.101.1.0/24 -d 93.158.0.0/16 -p tcp --dport 80 -j ACCEPT
91iptables -A FORWARD -s 10.101.1.0/24 -d 77.88.0.0/16 -p tcp --dport 80 -j ACCEPT
92# ÐžÑÑ‚Ð°Ð»ÑŒÐ½Ð¾Ðµ, Ñ‡Ñ‚Ð¾ Ð²Ñ‹Ñ…Ð¾Ð´Ð¸Ñ‚ Ð² Ð˜Ð½Ñ‚ÐµÑ€Ð½ÐµÑ‚, Ð·Ð°Ð¿Ñ€ÐµÑ‰Ð°ÐµÐ¼
93iptables -A FORWARD -s 10.101.1.0/24 -o $INET -j DROP
94
95# Ð”Ð»Ñ Ð¿Ñ€Ð¸Ñ…Ð¾Ð´ÑÑ‰Ð¸Ñ… Ð¸Ð· LAN Ð¿Ð°ÐºÐµÑ‚Ð¾Ð² Ð¼Ñ‹ Ñ€Ð°Ð·Ñ€ÐµÑˆÐ¸Ð¼ Ð¸Ñ… Ð¼Ð°Ñ€ÑˆÑ€ÑƒÑ‚Ð¸Ð·Ð°Ñ†Ð¸ÑŽ
96iptables -A FORWARD -m state --state NEW,ESTABLISHED -i $LAN -j ACCEPT
97# Ð’ÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ðµ Ð¿Ñ€Ð¸Ñ‘Ð¼Ð° Ð¾Ñ‚Ð²ÐµÑ‚Ð¾Ð² Ð´Ð»Ñ NAT
98iptables -A FORWARD -m state --state ESTABLISHED -i $INET -j ACCEPT