Обычный рутер на 2.6.14. eth0 смотрит в инет, eth1 - внутрь сетки.
Внешний IP получаю через dhcp от провайдера, внутренний - 192.168.0.1.
Внутренняя сетка получат IP от этого рутера. Вот скрипт настройки
iptables:
#!/bin/bash
OUT_IFACE=eth0
IN_IFACE=eth1
IN_NET=192.168.0.0/24
echo "1">/proc/sys/net/ipv4/ip_forward
# clear all chains
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F POSTROUTING
# default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s ! ${IN_NET} -p tcp --destination-port 135 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p udp --destination-port 135 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p tcp --destination-port 139 -j DROP
iptables -A INPUT -s ! ${IN_NET} -p udp --destination-port 139 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -p tcp --destination-port 25 -j ACCEPT
iptables -A INPUT -s ! ${IN_NET} -p tcp --destination-port 25 -j DROP
iptables -A INPUT -s ${IN_NET} -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -p tcp --destination-port 135 -j DROP
iptables -A FORWARD -p udp --destination-port 135 -j DROP
iptables -A FORWARD -p tcp --destination-port 445 -j DROP
iptables -A FORWARD -p udp --destination-port 445 -j DROP
iptables -A FORWARD -s ${IN_NET} -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j DROP
# enable masquerading
iptables -t nat -A POSTROUTING -s ${IN_NET} -j MASQUERADE
----------------------------------------------------------
Вроде всё OK, "прозванивал" снаружи nmap'ом. Глухо. (потом разрешу ssh, но это потом). Что удивляет - так это строки в логах:
Nov 1 20:44:53 router smbd[993]: Denied connection from (84.162.244.133)
Nov 1 20:45:38 router smbd[997]: [2005/11/01 20:45:38, 0] lib/access.c:check_access(328)
IP всегда разные. Сообщения появляются непереиодически, в среднем раз в 5 минут. Логи, соответственно, засираются. Как оно пролезает через iptables и как бороться с этой нечистью? Я в iptables полный дуб, только начал разбираться...
Ответ на:
комментарий
от MiracleMan
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.