Выполнить веб-сервер внутри локальной сети является простой скрипт для запуска WWW-сервер внутри локальной сети. Запуск веб-сервер внутри локальной сети сценария себя все IPTables особенности скомпилированные статически в ядре или все модули загружаются.
В противном случае вы можете столкнуться с некоторыми сюрпризы пытается использовать больше возможностей, и творческие commandlines, что я пришел с.
Образец:
#external и внутренние интерфейсы
EXT = eth0
INT = eth1
# Все ясно, и создать мои каскадные цепи
Iptables -F
Iptables-N е0
Iptables -N tcpin
Iptables -N udpin
# E0 это имя нашей сети для eth0
Iptables -Я ВХОД -i $ EXT -j е0
# Сеть ВЫХОД
Iptables -A OUTPUT -o $ EXT -j DROP -p ICMP --icmp типа! эхо-запрос
# Удаленные запросы Gnutella действительно писает меня один день
# Iptables -A OUTPUT -o $ EXT -j DROP -p TCP! --syn --dport 6346
# Iptables -A OUTPUT -o $ EXT -j DROP -p TCP! --syn --sport 6346
# $ EXT Сеть
# Одно правило, чтобы принять SYN пакетов для нескольких портов (до 15)
Iptables -A tcpin -j ACCEPT -p TCP -m --syn мультипортовых --destination портов 873,993,995,143,80,113,21,22,23,25,53
# Слежения состоянием соединения замечательный материал
# Установленных соединений TCP пропускаются
# Если мы посылаем SYN вне, АСК рассматривается как СВЯЗАННЫЕ
# То дальнейшее общение будет принято в установленном правило
Iptables -A е0 -j ACCEPT -m состояние --state СОЗДАН
Iptables -A е0 -j ACCEPT -m состояние --state СВЯЗАННЫЕ
# Определенные порты я просто DROP
Iptables -A tcpin -j DROP -p TCP -m --syn мультипортовых --destination портов 6346,139
Правила # UDP ...
Iptables -A udpin -j DROP -p UDP -m мультипортовых --destination порты 137,27960
# Я бегу сервер DNS, таким образом, мы должны принимать пакеты UDP на порт 53
Iptables -A udpin -j ACCEPT -p UDP -m государственной --state НОВЫЙ --destination-порт 53
# Давайте войти НОВЫЕ пакеты UDP портов 1024: 65535, то пусть их через
Iptables -A -j LOG udpin -p UDP -m состояние --state НОВЫЙ --destination-портов 1024: 65535 --log уровня отладки --log-приставка UDPNEW --log-IP-параметры
Iptables -A udpin -j ACCEPT -p UDP -m государственной --state НОВЫЙ --destination-порт 1024: 65535
# Давайте войти НОВЫЕ TCP пакеты на порты 1024: 65535, то пусть их через
Iptables -A -j LOG tcpin -p TCP --syn --destination-порт 1024: 65535 --log-уровень отладки --log-префикса TCPNEW --log-TCP-опций --log-IP-опций
Iptables -A tcpin -j ACCEPT -p TCP --syn --destination-портов 1024: 65535
# Давайте войти Неверный или новые TCP-пакетов на порты priveleged, то падение
# (Помните, у меня есть определенные принимаю правила выше по цепочке)
Iptables -A -j LOG tcpin -p TCP -m государственной --state недействительным, НОВЫЙ --destination-порт 1: 1023 --log уровня предупредить --log-приставка TCPPRIV --log-TCP-опций --log- IP-параметры
Iptables -A tcpin -j DROP -p TCP -m государственной --state недействительным, НОВЫЙ --destination-порт 1: 1023
Iptables -A е0 -p TCP -j tcpin
Iptables -A е0 -p UDP -j udpin
Iptables -A -j LOG е0 --log-уровень отладки --log-префикс NETFILTER --log-IP-параметр -m состояние --state недействительным, НОВЫЙ
Iptables -A е0 -j DROP
# NAT Правила
# Я бегу веб-сервер внутри ...
Iptables -t физ -А PREROUTING -p TCP -i eth0 -j --dport 80 DNAT --to-назначения 192.168.1.4:80~~HEAD=pobj
Комментарии не найдены