Itt az enyém, egy klaszikus LAMP szervert fog védeni.
A szerver egy VPS eddig nem volt rajta semmi publikus.
Ezután egy .hu domain lesz rajta.
Kis magyarázat.
A black_list láncot egy cron szkript frissiti egy fájlból.
A wan_net_ssh és wan_net_private láncokat port kopogtató démon intézi.
Nyilván még messze nincs kész.
Arra lennék kiváncsi hogy az alap felépités logikailag helyes e.
Köszönöm.
#!/bin/bash
wan_interface=eth0
#lan_interface=eth1
wan_address=192.168.3.173
#lan_address=192.168.3.173
#ip_cim=192.168.3.173
iptables -F
iptables -X
iptables -Z
iptables -P FORWARD DROP
iptables -P INPUT DROP
#A fekete lista szabalyai
#A fekete lista vegen minden el nem dobott csomag visszater az wan_net lancba
iptables -N black_list
iptables -A black_list -j RETURN
#Letrehozzut a wan_net lancot
iptables -N wan_net
#Letrehozzut a wan_net_icmp lancot
iptables -N wan_net_icmp
iptables -A wan_net_icmp -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A wan_net_icmp -p icmp --icmp-type echo-request -j LOG --log-prefix "FW: PingofDeath attack (?) "
iptables -A wan_net_icmp -p icmp --icmp-type echo-request -j REJECT
#Letrehozzut a wan_net_ssh lancot
iptables -N wan_net_ssh
iptables -A wan_net_ssh -s 192.168.3.57 -j ACCEPT
iptables -A wan_net_ssh -j REJECT --reject-with icmp-host-unreachable
#Letrehozzut a wan_net_private lancot
iptables -N wan_net_private
iptables -A wan_net_private -j REJECT --reject-with icmp-host-unreachable
#�tengedj�k a lo interfacet
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Atadjuk a wan_net tartalmat elemzesre a black_list lancnak
iptables -A wan_net -j black_list
#Megvizsgaljuk hogy tortent e cim hamisitast
iptables -A wan_net -s 127.0.0.1 -j DROP
#iptables -A wan_net -s $lan_address -j DROP
#Az icmp forgalmat levalasztjuk wan_net lancrol
iptables -A wan_net -p icmp -j wan_net_icmp
iptables -A wan_net -p tcp --syn -m limit --limit 8/s -j ACCEPT
iptables -A wan_net -p tcp --syn -j DROP
## DoS elleni vedelem bekapcsolva ...
iptables -A wan_net -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#ssh forgalmat atiranyitjuk a wan_net_ssh lancba
iptables -A wan_net -p tcp --dport 22 -j wan_net_ssh
#Adadjuk a maganhasznalati forgalmat a wan_net_private lancnak
iptables -A wan_net -p tcp --dport 24340 -j wan_net_private
iptables -A wan_net -p tcp --dport 232431 -j wan_net_private
iptables -A wan_net -p tcp --dport 14310 -j wan_net_private
iptables -A wan_net -p tcp --dport 14345 -j wan_net_private
iptables -A wan_net -p tcp --dport 13213 -j wan_net_private
iptables -A wan_net -p tcp --dport 80 -j ACCEPT
iptables -A wan_net -p tcp --dport 25 -j ACCEPT
iptables -A wan_net -j DROP
# felol jon es nem a mi ipcimunk a celja
iptables -A INPUT -i $wan_interface -d ! $wan_address -j DROP
#A wan interface forgamat a wan_net lancba kuldjuk
iptables -A INPUT -i $wan_interface -j wan_net