# iptables -t filter -F
# iptables -t filter -X
программа> колонка правил> действие (в данном примере очистка правил в колонке "Фильтр")
Далее примеры:
# iptables -t filter -A INPUT -i eth0 -p tcp --dport 111:65535 -j DROP
# iptables -t filter -A INPUT -d 127.0.0.1 -i lo -j ACCEPT
Утилита iptables-save & iptables-restore первая выводит правила на консоль, вторая восстанавливает данные из файла.
sudo gedit /etc/iptables.rules
# iptables -t filter -X
программа> колонка правил> действие (в данном примере очистка правил в колонке "Фильтр")
Далее примеры:
# iptables -t filter -A INPUT -i eth0 -p tcp --dport 111:65535 -j DROP
# iptables -t filter -A INPUT -d 127.0.0.1 -i lo -j ACCEPT
Утилита iptables-save & iptables-restore первая выводит правила на консоль, вторая восстанавливает данные из файла.
# iptables-save > fw.rules
# cat fw.rules
sudo gedit /etc/iptables.rules
eth0 -интернет
wlan0 - локалка
#################
# Generated by iptables-save v1.3.6 on Tue May 6 21:15:27 2008
*nat
:PREROUTING ACCEPT [1521:139658]
:POSTROUTING ACCEPT [10:1372]
:OUTPUT ACCEPT [66:5753]
-A PREROUTING -d ! 192.168.1.0/255.255.255.0 -i wlan0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [28890:12820098]
:FORWARD ACCEPT [22:3088]
:OUTPUT ACCEPT [30305:14410374]
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -i eth0 !wlan0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0 !wlan0 -p tcp -j DROP
COMMIT
########################
# Generated by iptables-save v1.3.6 on Tue May 6 21:15:27 2008
*filter
:INPUT ACCEPT [782:109309]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1035:267913]
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1:20 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 81:5221 -j DROP
-A INPUT -i wlan0 -p tcp -m tcp --dport 1:65535 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [1521:139658]
:POSTROUTING ACCEPT [10:1372]
:OUTPUT ACCEPT [66:5753]
-A PREROUTING -d ! 192.168.1.0/255.255.255.0 -i wlan0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
########################
# Generated by iptables-save v1.3.6 on Tue May 6 21:15:27 2008
*filter
:INPUT ACCEPT [782:109309]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1035:267913]
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1:20 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 81:5221 -j DROP
-A INPUT -i wlan0 -p tcp -m tcp --dport 1:65535 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [1521:139658]
:POSTROUTING ACCEPT [10:1372]
:OUTPUT ACCEPT [66:5753]
-A PREROUTING -d ! 192.168.1.0/255.255.255.0 -i wlan0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
########################
Теперь для внешнего мира открыты порты 21, 80, 5222, 5060, а для локалки работает полноценно NAT
Комментариев нет:
Отправить комментарий