Архив форумов ЦИТФорума

[Boytronic]

Суть:
необходим файрволл на базе ipTables выполняюший следующую задачу:
Внутренняя сеть имеет ип 10.0.0.0/255.255.255.0
система ASPLinux 7.3
1. Пускаем всех клиентов в инет посредстом ИЕ (при помоши squid разберемся кого и куда пускать и кому что показывать) только через прокси.
2. На 2 адреса (пока) пускаем в обход Прокси.(необходимо по работе)
3. определенному ИП (может нескольким) разрешаем Почту с определенных адресов
4. всем разрешаем текстовые сообщения ICQ
5. разрешаем запросы на ДНС сервера провайдера
6. разрешаем запросы на локальный кешируюший ДНС сервер
7. "Нужным" клиентам разрешаем "полный" доступ
8. Разрешаем коннекцию на сервер с других дружественных серверов (распределенная территориально сеть, любые виды коннекции фтп, ssh, http)
9. Для управления машин пользователей разрешаем прокидывать пакеты с определенных ИП внутрь сети на определенные ип:порт (Использование р-админа для машин пользователей. Очень способствует для объяснения работы 1С бухгалтерии, отсутствут необходимость бегать по городу)
Пример правил: (за основу взят образец с "Фигвам Чингачкука")

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
IPTABLES=/sbin/iptabl es # место где лежит ИПтабля
LO_IFACE="lo" # Внутренний интерфейс
LO_IP="127.0.0.1/32" # и его адрес

EXTIF="eth0" # на что смонтирован внешний
# далее указываем адрес, который нам выделил провайдер
IPADDR="xxx.xxx.xxx.xxx"

INTIF1="eth1"
# адрес интерфейса "смотрящего" на сеть
INTIF1_IP="10.0.0.1/32" #10.0.0.1 MASK 255.255.255.0
# Broadcast
LAN1_BROADCAST="10.0.0.255/32"
# lan собственно
LAN1="10.0.0.0/32" #10.0.0.0-10.0.0.255 MASK 255.255.255.0
#Начальство собстно
LAN1BOSS_IP="10.0.0.10"
#Некий супер ИП адрес
superIP="10.0.0.2"
# главный сервер
mainIP=""
# Непривелигорованые порты
UPORTS="1024:65535"
echo "1" > /proc/sys/net/ipv4/ip_forward
# Ип куда ходим без прокси
IPTEL=""
IPMEGA=""
# Некие ип с которых бум управлять р-админом
MYip=""
# Сброс и политики по умолчанию
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LO_IFACE -j ACCEPT

# разрешаем запросы к ДНС-серверам провайдера dns.ip.prov.1и dns.ip.prov.2
$IPTABLES -A OUTPUT -p UDP -o $EXTIF -s $IPADDR --source-port $UPORTS -d dns.ip.prov.1/32 --destination-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -p UDP -o $EXTIF -s $IPADDR --source-port $UPORTS -d dns.ip.prov.2/32 --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $EXTIF -s dns.ip.prov.1/32 --source-port 53 -d $IPADDR --destination-port $UPORTS -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $EXTIF -s dns.ip.prov.2/32 --source-port 53 -d $IPADDR --destination-port $UPORTS -j ACCEPT
# разрешаем обращаться всем клиентам сети к кэширующему ДНС-серверу, запущенному на шлюзе
$IPTABLES -A INPUT-p UDP -i $INTIF1 -s $LAN1 --source-port $UPORTS -d $INTF1_IP --destination-port 53 -j ACCEPT
$IPTABLES -A OUTPUT-p UDP ...