https://www.opennet.ru/openforum/vsluhforumID8/7622.html Надеюсь меня никуда не оттправят, составил сам как смог iptable правила, ситуация примерно такая:<br><br>1. Есть сервер щлюз c nginx<br>2. За ним несколько серверов (не все web сервера т.е., там еще та же mysql репликация отдельно для бэкапов на довольно дохлом железе)<br>Хочу настроить iptables, с учетом того что удаленный доступ по ftp/ssh мне не нужен, почты тоже нет, хочется все лишнее запретить и нужно оставить, вот так примерно я сделал... Но не знаю, покритикуйте пожайлуста, посоветуйте что не так? Интернет всем нужен для обновлений и т.п., поэтому и NAT тоже есть, делал по примерам)) правда под себя переделал кое что. Система Debian, eth0 - интернет, eth2 - локалка<br><br># Для очистки таблицы правил<br>iptables -F<br>iptables -X<br><br># Добавляем правила по умолчанию<br>iptables -P INPUT DROP<br>iptables -P OUTPUT DROP<br>iptables -P FORWARD DROP<br><br># Разрешаем доступ по localhost<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A OUTPUT -o lo -j ACCEPT<br><br># Эти правила служат для того, чтобы для каждого разрешающего правила не https://www.opennet.ru/openforum/vsluhforumID8/7622.html#7 Sun, 28 Oct 2012 16:11:04 GMT &gt;&gt; Цепочка FORWARD вцелом как-то не очень...<br>&gt; Т.е. "как-то" не очень это как? Я не все что нужно указал? <br>&gt; Или в том что есть ошибка?<br><br>Возможно не совсем понял что Вам необходимо от шлюза, но если что... :-)<br>Используйте модуль conntrack для отслеживания соединений, в т.ч. для FORWARD. <br>Разрешайте инициализацию NEW соединений на внутреннем интерфейсе.<br>Выглядит примерно так:<br><br>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br><br>iptables -A FORWARD -m state --state NEW -i eth2 -p tcp --dport 80 -j ACCEPT<br>iptables -A FORWARD -m state --state NEW -i eth2 -p tcp,udp --dport 53 -j ACCEPT<br><br>iptables -A INPUT -m state --state NEW -i eth2 -p tcp -s 192.168.2.0/24 --dport 22 -j ACCEPT<br><br>Тогда предыдущие правила для FORWARD уже будут не нужны.<br>Про OUTPUT Вам уже говорили, ставьте в ACCEPT.<br><br><br>&gt;&gt; iptables -A INPUT -p tcp -m tcp -s 192.168.2.0/24 --dport 22 -j https://www.opennet.ru/openforum/vsluhforumID8/7622.html#6 Fri, 26 Oct 2012 22:30:03 GMT &gt; Цепочка FORWARD вцелом как-то не очень...<br><br>Т.е. "как-то" не очень это как? Я не все что нужно указал? Или в том что есть ошибка?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/7622.html#5 Fri, 26 Oct 2012 22:25:33 GMT &gt;&gt; Хочу настроить iptables, с учетом того что удаленный доступ по ftp/ssh мне <br>&gt;&gt; не нужен, почты тоже нет, хочется все лишнее запретить и нужно <br>&gt;&gt; # Разрешаем доступ к серверу из локальной сети по протоколу ssh <br>&gt;&gt; iptables -A INPUT -p tcp -m tcp -s 192.168.2.0/24 --dport 22 -j <br>&gt;&gt; ACCEPT <br>&gt; Без указания привязки ко внутреннему интерфейсу, зайти можно и снаружи, видимо пропустили. <br>&gt; Цепочка FORWARD вцелом как-то не очень...<br><br>Понял, поправил, а что с FORWARD не так чем она плохая?<br> https://www.opennet.ru/openforum/vsluhforumID8/7622.html#4 Fri, 26 Oct 2012 22:24:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt; # Даём доступ к серверу по http из интернета <br>&gt;&gt; iptables -A INPUT -p tcp -m tcp -i eth0 --dport 80 -j <br>&gt;&gt; ACCEPT <br>&gt;&gt; # Разрешаем хождение транзитных пакетов <br>&gt;&gt; iptables -A FORWARD -i eth0 -s 192.168.2.0/24 -o eth0 -j ACCEPT <br>&gt;&gt; iptables -A FORWARD -i eth2 -i eth0 -d 192.168.2.0/24 -j ACCEPT <br>&gt;&gt; # NAT <br>&gt;&gt; iptables -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source &lt;мой-внешний-ip&gt; <br>&gt; А, просто OUTPUT в ACCEPT нельзя, или ваш сервер кишит руткитами и <br>&gt; Вы ему не доверяете?<br><br>Да я думал чем больше закрыть тем спокойнее будет, разве нет?<br> https://www.opennet.ru/openforum/vsluhforumID8/7622.html#3 Fri, 26 Oct 2012 12:17:46 GMT &gt; Хочу настроить iptables, с учетом того что удаленный доступ по ftp/ssh мне <br>&gt; не нужен, почты тоже нет, хочется все лишнее запретить и нужно <br>&gt; # Разрешаем доступ к серверу из локальной сети по протоколу ssh <br>&gt; iptables -A INPUT -p tcp -m tcp -s 192.168.2.0/24 --dport 22 -j <br>&gt; ACCEPT <br><br>Без указания привязки ко внутреннему интерфейсу, зайти можно и снаружи, видимо пропустили.<br>Цепочка FORWARD вцелом как-то не очень...<br> https://www.opennet.ru/openforum/vsluhforumID8/7622.html#2 Fri, 26 Oct 2012 11:17:27 GMT &gt;[оверквотинг удален]<br>&gt; iptables -A OUTPUT -p tcp -m tcp -o eth0 --dport 80 -j <br>&gt; ACCEPT <br>&gt; # Даём доступ к серверу по http из интернета <br>&gt; iptables -A INPUT -p tcp -m tcp -i eth0 --dport 80 -j <br>&gt; ACCEPT <br>&gt; # Разрешаем хождение транзитных пакетов <br>&gt; iptables -A FORWARD -i eth0 -s 192.168.2.0/24 -o eth0 -j ACCEPT <br>&gt; iptables -A FORWARD -i eth2 -i eth0 -d 192.168.2.0/24 -j ACCEPT <br>&gt; # NAT <br>&gt; iptables -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source &lt;мой-внешний-ip&gt; <br><br>А, просто OUTPUT в ACCEPT нельзя, или ваш сервер кишит руткитами и Вы ему не доверяете?<br> https://www.opennet.ru/openforum/vsluhforumID8/7622.html#1 Fri, 26 Oct 2012 10:34:44 GMT поправил еще<br># Разрешаем хождение транзитных пакетов<br>iptables -A FORWARD -i eth0 -d 192.168.2.0/24 -j ACCEPT<br>iptables -A FORWARD -o eth0 -s 192.168.2.0/24 -j ACCEPT<br>