Sziasztok!
Van egy szerverem, ami 1 tartományban van, de kintről is szeretném, ha különböző szolgáltatásai is elérhetőek lennének különböző címekről. A gépnek van publikus címe. Amire szükség van:
helyi hálózatból minden engedélyezett
Internet felől:
ssh elérés néhány ip címről,
80-as, 8080-as portok elérése (egyelőre) néhány ip címről,
1194-es udp (OpenVPN) port elérése néhány ip címről.
ftp szerver elérése néhány címről
11111-es port továbbítása a helyi háló adott gépe felé mindenhonnan (de jobb lenne, csak Magyarországra szűrni)
1099, 1100, 1199, 1200 portok engedélyezése néhány ip címről
Kérlek benneteket, segítsétek a munkámat annyival, hogy átnézitek az elkészített scriptemet, és ha valami hiányzik\nem jó, szóljatok!
A script:
#!/bin/sh
echo -n 'Configuring firewall '
# 1. firewall script by csonkasanyi
#
#Allandok
intface='192.168.10.252'
extface='1.2.3.4'
dns1='x.x.x.x'
dns2='y.y.y.y'
#A policy-t minden esetben DROPra állítjuk
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
iptables -t mangle -P INPUT DROP
iptables -t mangle -P FORWARD DROP
iptables -t mangle -P OUTPUT DROP
iptables -t mangle -P PREROUTING DROP
iptables -t mangle -P POSTROUTING DROP
#Töröljük a korábbi bejegyzéseket
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT
iptables -t mangle -F INPUT
iptables -t mangle -F FORWARD
iptables -t mangle -F OUTPUT
iptables -t mangle -F PREROUTING
iptables -t mangle -F POSTROUTING
#Kezdjünk el engedélyezni... :-)
#A localhostról, és a helyi hálózatról engedélyezzük a hozzáférést
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.10.0/24 -j ACCEPT
#DNS jó, ha van...
iptables -A INPUT -s $dns1 -j ACCEPT
iptables -A INPUT -s $dns2 -j ACCEPT
#Az általunk kezdeményezett kapcsolatokra szeretnénk választ kapni!
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#22-es, 80-as, illetve a 8080-as portok engedélyezése
iptables -A INPUT -s a.a.a.a -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s b.b.b.b -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s c.c.c.c -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s d.d.d.d -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
#a 21, 22-es portok engedélyezése
iptables -A INPUT -s e.e.e.e -p tcp -m multiport --dport 21,22 -j ACCEPT
iptables -A INPUT -s e.e.e.e -p tcp -m multiport --dport 21,22 -j ACCEPT
#Telephelyről 22-es, 80-as, 8080-as tcp, 1194-es udp portok engedélyezése
iptables -A INPUT -s f.f.f.f -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s g.g.g.g -p udp --dport 1194 -j ACCEPT
#1099-es, 1100-as, 1199-es 1200-as tcp portok engedélyezése
iptables -A INPUT -s h.h.h.h -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s i.i.i.i -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s j.j.j.j -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s k.k.k.k -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s l.l.l.l -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
#A 11111-es portra érkező kéréseket továbbítjuk a belső gépünk felé
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $extface --dport 11111 -j DNAT --to 192.168.10.246:11111
Köszi, Sanyi