Rapture’s Blog

pure io come Edno pubblico quello che abbiamo combinato… beh non c’è paragone con il suo…

Pubblicato in Filè da Rapture il Dicembre 7, 2006

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT

# passa tutto di default
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

################################
## NAT
################################

# source nat
iptables -t nat -A POSTROUTING -o eth0 -s 10.127.0.0/22 -d ! 10.127.0.0/22 -j SNAT –to-source 192.168.84.27

# destination nat
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.84.27 –dport 8080 -j DNAT –to 10.127.3.1
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.84.27 –dport 8007 -j DNAT –to 10.127.3.1
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.84.27 –dport 8888 -j DNAT –to 10.127.2.1
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.84.27 –dport 22 -j DNAT –to 10.127.2.1

################################
## DIVIETI
################################

# vietata la creazione di connessioni verso indirizzi proibiti
for indirizzo_proibito in `cat /export/alt/firewall/lista_indirizzi_proibiti`;
do iptables -A FORWARD -s 10.127.0.0/22 -d $indirizzo_proibito -j DROP;
done

# vietato l’uso della porta 22 agli hosts in punizione
for host_in_punizione in `cat /export/alt/firewall/lista_host_in_punizione`;
do iptables -A FORWARD -s $host_in_punizione -p tcp –dport 22 -j DROP;
done

# vietate le connessioni in entrata da ip sgraditi
for ospite_sgradito in `cat /export/alt/firewall/lista_ospiti_sgraditi`;
do iptables -A FORWARD -s $ospite_sgradito -p tcp -m state –state NEW -j DROP;
done

# vietato l’uso della porta 8080 agli hosts del gruppo 1
for host_del_gruppo_1 in `cat /export/alt/firewall/gruppo_1`;
do iptables -A FORWARD -s $host_del_gruppo_1 -p tcp –dport 8080 -j DROP;
done

################################
## PERMESSI
################################

# le risposte sono sempre accettate
iptables -A FORWARD -p tcp -m state –state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m state –state RELATED -j ACCEPT

# i servizi speciali interni permessi a tutti
iptables -A FORWARD -d 10.127.3.1 -p tcp –dport 8080 -j ACCEPT
iptables -A FORWARD -d 10.127.3.1 -p tcp –dport 8007 -j ACCEPT
iptables -A FORWARD -d 10.127.2.1 -p tcp –dport 8888 -j ACCEPT
iptables -A FORWARD -d 10.127.2.1 -p tcp –dport 22 -j ACCEPT

# i servizi esterni alla rete permessi agli host
iptables -A FORWARD -o eth0 -s 10.127.0.0/22 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.127.0.0/22 -p tcp –dport 22 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.127.0.0/22 -p tcp –dport 110 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.127.0.0/22 -p tcp –dport 25 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.112.0.0/22 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.112.0.0/22 -p tcp –dport 22 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.112.0.0/22 -p tcp –dport 110 -j ACCEPT
iptables -A FORWARD -o eth0 -s 10.112.0.0/22 -p tcp –dport 25 -j ACCEPT

# il servizio speciale permesso agli hosts del gruppo 2, ma solo tra loro
for host_del_gruppo_2 in `cat /export/alt/firewall/gruppo_2`;
do iptables -A FORWARD -s $host_del_gruppo_2 -d $host_del_gruppo_2 -p tcp –dport 8888 -j ACCEPT;
done

# i servizi permessi all’interno dalla rete (solo 22 e 8080)
iptables -A FORWARD -s 10.127.0.0/22 -d 10.127.0.0/22 -p tcp –dport 22 -j ACCEPT
iptables -A FORWARD -s 10.112.0.0/22 -d 10.112.0.0/22 -p tcp –dport 22 -j ACCEPT
iptables -A FORWARD -s 10.127.0.0/22 -d 10.112.0.0/22 -p tcp –dport 22 -j ACCEPT
iptables -A FORWARD -s 10.112.0.0/22 -d 10.127.0.0/22 -p tcp –dport 22 -j ACCEPT

iptables -A FORWARD -s 10.127.0.0/22 -d 10.127.0.0/22 -p tcp –dport 8080 -j ACCEPT
iptables -A FORWARD -s 10.112.0.0/22 -d 10.112.0.0/22 -p tcp –dport 8080 -j ACCEPT
iptables -A FORWARD -s 10.127.0.0/22 -d 10.112.0.0/22 -p tcp –dport 8080 -j ACCEPT
iptables -A FORWARD -s 10.112.0.0/22 -d 10.127.0.0/22 -p tcp –dport 8080 -j ACCEPT

iptables -A FORWARD -s 10.127.0.0/22 -d 10.127.0.0/22 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -s 10.112.0.0/22 -d 10.112.0.0/22 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -s 10.127.0.0/22 -d 10.112.0.0/22 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -s 10.112.0.0/22 -d 10.127.0.0/22 -p tcp –dport 80 -j ACCEPT

################################
## OPEN VPN
################################

iptables -A FORWARD -d 192.168.84.27 -p udp –dport 1194 -j ACCEPT

#iptables -A FORWARD -j LOG –log-level 7 –log-prefix “Ruth’s firewall:

1 commento

Eccomi…

Pubblicato in Uncategorized da Rapture il Dicembre 4, 2006

Arrivo da lande lontane,
su consiglio del mio amico Edno son qui a cercar rane,
non so se ce la farò…
al massimo me ne andrò!

1 commento