(c) Павел Беляев

При использовании статей с сайта добавляйте в копирайт © Блог Павла Беляева http://pavelb.ru

пятница, 23 апреля 2010 г.

iptables - скрипт для раздачи инета, проброса портов и контроля портов на сервере и на локальной сети



#!/bin/sh
###################################
#БАЗОВАЯ КОНФИГУРАЦИЯ СКРИПТА
# Данный скрипт пробрасывает нужные порты на
# один компьютер из локальной сети
# открывает на сервере избранные порты и дает пользователям из локалки
# выходить в инет только по избранным портам
# скрипт создан Павлом Беляевым
###################################
EXTIF="eth1" #внешний интерфейс сервера
INTIF="eth0" #внутренний интерфейс сервера
EXTIP="999.999.999.9" #внешний IP сервера
TCPFORWARD="443,5060" #пробрасываемые TCP порты
UDPFORWARD="6000,30000:30015" #пробрасываемые UDP порты
FORWARDIP="192.168.3.101" #IP адрес компа, на который пробросим порты
SERVICES="22" #  Список портов, открытых на сервере для внешнего мира
OPENPORTS="80,443,22,5190,995,465,5222,5223" # порты, по которым пользователи могут вылазить в интернет
################################################
################################################
#      конец конфигурации скрипта              #
################################################
################################################
#$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
PATH=/usr/sbin:/bin:/sbin
FW="iptables"
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe nf_nat_ftp
#%%%%%%%%%% удалить все действующие правила %%%%%%%%%%%%%%%%%%%%%%%%
$FW -F #удаление всех правил из таблицы filter
$FW -t nat -F #удаление всех правил из таблицы nat
$FW -t mangle -F #удаление всех правил из таблицы mangle
$FW -X # удалить пользовательские цепочки
$FW -P FORWARD DROP # политика по умолчанию - форвард запрещен
$FW -P INPUT DROP # политика по умолчанию - входящие пакеты (для локального приложения) запрещены
###################################################################################################
#
#%%%%%%%%%%%%правила для сервера (фаервола)%%%%%%%%%%%%%%%%%%%%
$FW -A INPUT -p tcp -m tcp -m multiport -i $EXTIF --destination-ports $SERVICES -j ACCEPT # со внехи к серверу можно обратиться только по избранным портам
$FW -A INPUT -i $INTIF -j ACCEPT # из локальной сети к серверу можно обращаться по всем портам
$FW -A OUTPUT -j ACCEPT # сервер может вылазить в инет по всем портам
########################################################################

#Разрешить соединения, которые инициированы изнутри (local)
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$FW -A INPUT -m state --state NEW -i ! $EXTIF -j ACCEPT
$FW -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
#
#Фильтрация форварда
$FW -A FORWARD -s $FORWARDIP -i $INTIF -o $EXTIF -j ACCEPT
$FW -A FORWARD -d $FORWARDIP -i $EXTIF -o $INTIF -j ACCEPT
$FW -A FORWARD -p tcp -m tcp ! -s $FORWARDIP -m multiport -i $INTIF -o $EXTIF --destination-ports $OPENPORTS -j ACCEPT
$FW -A FORWARD -p tcp -m tcp ! -d $FORWARDIP -m multiport -i $EXTIF -o $INTIF --source-ports $OPENPORTS -j ACCEPT
#
# Masquerade.
$FW -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # исходящие пакеты с внешнего интерфейса отправляются c внешним IP отправителя

#forward udp and tcp
$FW -t nat -A PREROUTING -p tcp -d $EXTIP -m multiport --dport $TCPFORWARD -j DNAT --to-destination $FORWARDIP #forward tcp
$FW -t nat -A PREROUTING -p udp -d $EXTIP -m multiport --dport $UDPFORWARD -j DNAT --to-destination $FORWARDIP #forward udp
$FW -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 3128 # входящие пакеты с 80 портом с внутреннего интерфейса перенаправляются на прокси



Комментариев нет:

Отправить комментарий