LINUX.ORG.RU

Помогите с iptables, а...


0

0

Обычный рутер на 2.6.14. eth0 смотрит в инет, eth1 - внутрь сетки.
Внешний IP получаю через dhcp от провайдера, внутренний - 192.168.0.1.
Внутренняя сетка получат IP от этого рутера. Вот скрипт настройки
iptables:

#!/bin/bash

OUT_IFACE=eth0
IN_IFACE=eth1
IN_NET=192.168.0.0/24

echo "1">/proc/sys/net/ipv4/ip_forward

# clear all chains
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F POSTROUTING

# default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -s ! ${IN_NET} -p tcp  --destination-port 135 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p udp  --destination-port 135 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p tcp  --destination-port 139 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p udp  --destination-port 139 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -p tcp  --destination-port 25 -j ACCEPT
iptables -A INPUT -s ! ${IN_NET} -p tcp  --destination-port 25 -j DROP
iptables -A INPUT -s ${IN_NET} -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -p tcp  --destination-port 135 -j DROP
iptables -A FORWARD -p udp  --destination-port 135 -j DROP
iptables -A FORWARD -p tcp  --destination-port 445 -j DROP
iptables -A FORWARD -p udp  --destination-port 445 -j DROP
iptables -A FORWARD -s ${IN_NET} -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j DROP

# enable masquerading
iptables -t nat -A POSTROUTING -s ${IN_NET} -j MASQUERADE
----------------------------------------------------------

Вроде всё OK, "прозванивал" снаружи nmap'ом. Глухо. (потом разрешу ssh, но это потом). Что удивляет - так это строки в логах:

Nov  1 20:44:53 router smbd[993]:   Denied connection from (84.162.244.133)
Nov  1 20:45:38 router smbd[997]: [2005/11/01 20:45:38, 0] lib/access.c:check_access(328)

IP всегда разные. Сообщения появляются непереиодически, в среднем раз в 5 минут. Логи, соответственно, засираются. Как оно пролезает через iptables и как бороться с этой нечистью? Я в iptables полный дуб, только начал разбираться...
anonymous

iptables -A INPUT -s ! ${IN_NET} -p udp --destination-port 137 -j DROP iptables -A INPUT -s ! ${IN_NET} -p udp --destination-port 138 -j DROP

Ты бы лучше фильтрацию по сетевым интерфейсам делал бы на входящие, исходящие, форвард и так далее, открывая при этом то, что тебе надо и запрещая всё остальное...

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

iptables -A INPUT -s ! ${IN_NET} -p udp  --destination-port 137 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p udp  --destination-port 138 -j DROP

Ты бы лучше фильтрацию по сетевым интерфейсам делал бы на входящие, исходящие, форвард и так далее, открывая при этом то, что тебе надо и запрещая всё остальное...

MiracleMan ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.