Рубрика: iptables \ Fail2ban

ipset \ Centos 7 \ systemd

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/12/28

Ссылки:

https://bozza.ru/art-297.html
https://github.com/BroHui/systemd-ipset-service
https://wiki.fysik.dtu.dk/it/Linux_firewall_configuration

https://bozza.ru/art-297.html

https://github.com/BroHui/systemd-ipset-service

https://wiki.fysik.dtu.dk/it/Linux_firewall_configuration

Создаем файл vim /usr/lib/systemd/system/ipset.service

[Unit]
Description=IP sets for iptables
Before=iptables.service
Before=ip6tables.service

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/libexec/ipset/ipset.start-stop start
ExecStop=/usr/libexec/ipset/ipset.start-stop stop
ExecReload=/usr/libexec/ipset/ipset.start-stop reload
# Save current ipset entries on stop/restart.
#   Value: yes|no,  default: no
# Saves all ipsets to /etc/sysconfig/ipset if ipset gets stopped
Environment=IPSET_SAVE_ON_STOP=no IPSET_SAVE_ON_RESTART=no

[Install]
WantedBy=basic.target

[Unit]

Description=IP sets for iptables

Before=iptables.service

Before=ip6tables.service

[Service]

Type=oneshot

RemainAfterExit=yes

ExecStart=/usr/libexec/ipset/ipset.start-stop start

ExecStop=/usr/libexec/ipset/ipset.start-stop stop

ExecReload=/usr/libexec/ipset/ipset.start-stop reload

# Save current ipset entries on stop/restart.

# Value: yes|no, default: no

# Saves all ipsets to /etc/sysconfig/ipset if ipset gets stopped

Environment=IPSET_SAVE_ON_STOP=no IPSET_SAVE_ON_RESTART=no

[Install]

WantedBy=basic.target

Создаем каталоги для ipset

mkdir /usr/libexec/ipset /etc/ipset

1	mkdir /usr/libexec/ipset /etc/ipset

Создаем файл vim /usr/libexec/ipset/ipset.start-stop

#!/bin/bash
#
# ipset      Start and stop ipset firewall sets
#
# config: /etc/ipset/ipset
#

IPSET=ipset
IPSET_BIN=/usr/sbin/${IPSET}
IPSET_DATA=/etc/${IPSET}/${IPSET}

IPTABLES_CONFIG=/etc/sysconfig/iptables-config
IP6TABLES_CONFIG=${IPTABLES_CONFIG/iptables/ip6tables}

TMP_FIFO=/tmp/${IPSET}.$$

if [[ ! -x ${IPSET_BIN} ]]; then
	echo "${IPSET_BIN} does not exist."
	exit 5
fi

CLEAN_FILES=TMP_FIFO
trap "rm -f \$CLEAN_FILES" EXIT

# Default ipset configuration:
[[ -z $IPSET_SAVE_ON_STOP ]] && IPSET_SAVE_ON_STOP=no		# Overridden by ip(6)tables IP(6)TABLES_SAVE_ON_STOP
[[ -z $IPSET_SAVE_ON_RESTART ]] && IPSET_SAVE_ON_RESTART=no	# Overridden by ip(6)tables IP(6)TABLES_SAVE_ON_RESTART

# Load iptables configuration(s)
[[ -f "$IPTABLES_CONFIG" ]] && . "$IPTABLES_CONFIG"
[[ -f "$IP6TABLES_CONFIG" ]] && . "$IP6TABLES_CONFIG"

# It doesn't make sense to save iptables config and not our config
[[ ${IPTABLES_SAVE_ON_STOP} = yes || ${IP6TABLES_SAVE_ON_STOP} = yes ]] && IPSET_SAVE_ON_STOP=yes
[[ ${IPTABLES_SAVE_ON_RESTART} = yes || ${IP6TABLES_SAVE_ON_RESTART} = yes ]] && IPSET_SAVE_ON_RESTART=yes

check_can_unload() {
    # If the xt_set module is loaded and can't be unloaded, then iptables is
    # using ipsets, so refuse to stop the service.
    if [[ -n $(lsmod | grep "^xt_set ") ]]; then
	rmmod xt_set 2>/dev/null
	[[ $? -ne 0 ]] && echo Current iptables configuration requires ipsets && return 1
    fi

    return 0
}

flush_n_delete() {
    local ret=0 set

    # Flush sets
    ${IPSET_BIN} flush
    let ret+=$?

    # Delete ipset sets. If we don't do them individually, then none
    # will be deleted unless they all can be.
    for set in $(${IPSET_BIN} list -name); do
	    ${IPSET_BIN} destroy 2>/dev/null
	    [[ $? -ne 0 ]] && ret=1
    done

    return $ret
}

start_clean()
{
    mkfifo -m go= "${TMP_FIFO}"
    [[ $? -ne 0 ]] && return 1

    # Get the lists of sets in current(old) config and new config
    old_sets="$(${IPSET_BIN} list -name | sort -u)"
    new_sets="$(grep ^create "${IPSET_DATA}" | cut -d " " -f 2 | sort -u)"

    # List of sets no longer wanted
    drop_sets="$( printf "%s\n" "${old_sets}" > "${TMP_FIFO}"  &
		  printf "%s\n" "${new_sets}" | comm -23 "${TMP_FIFO}" -
		)"

    # Get rid of sets no longer needed
    # Unfortunately -! doesn't work for destroy, so we have to do it a command at a time
    for dset in $drop_sets; do
	ipset destroy $dset 2>/dev/null
	# If it won't go - ? in use by iptables, just clear it
	[[ $? -ne 0 ]] && ipset flush $dset
    done

    # Now delete the set members no longer required
    ${IPSET_BIN} save | grep "^add " | sort >${TMP_FIFO} &
      grep "^add " ${IPSET_DATA} | sort | comm -23 ${TMP_FIFO} - | sed -e "s/^add /del /" \
      | ${IPSET_BIN} restore -!

    # At last we can add the set members we haven't got
    ipset restore -! <${IPSET_DATA}

    rm ${TMP_FIFO}

    return 0
}

start() {
    # Do not start if there is no config file.
    [[ ! -f "$IPSET_DATA" ]] && echo "Loaded with no configuration" && return 0

    # We can skip the first bit and do a simple load if
    # there is no current ipset configuration
    res=1
    if [[ -n $(${IPSET_BIN} list -name) ]]; then
	# The following may fail for some bizarre reason
	start_clean
	res=$?

	[[ $res -ne 0 ]] && echo "Some old configuration may remain"
    fi

    # res -ne 0 => either start_clean failed, or we didn't need to run it
    if [[ $res -ne 0 ]]; then
	# This is the easy way to start but would leave any old
	# entries still configured. Still, better than nothing -
	# but fine if we had no config
	${IPSET_BIN} restore -! <${IPSET_DATA}
	res=$?
    fi

    if [[ $res -ne 0 ]]; then
	return 1
    fi

    return 0
}

stop() {
    # Nothing to stop if ip_set module is not loaded.
    lsmod | grep -q "^ip_set "
    [[ $? -ne 0 ]] && return 6

    flush_n_delete
    [[ $? -ne 0 ]] && echo Warning: Not all sets were flushed/deleted

    return 0
}

save() {
    # Do not save if ip_set module is not loaded.
    lsmod | grep -q "^ip_set "
    [[ $? -ne 0 ]] && return 6

    [[ -z $(${IPSET_BIN} list -name) ]] && return 0

    ret=0
    TMP_FILE=$(/bin/mktemp -q /tmp/$IPSET.XXXXXX) \
	&& CLEAN_FILES+=" $TMP_FILE" \
	&& chmod 600 "$TMP_FILE" \
	&& ${IPSET_BIN} save > $TMP_FILE 2>/dev/null \
	&& [[ -s $TMP_FILE ]] \
	|| ret=1

    if [[ $ret -eq 0 ]]; then
	# No need to do anything if the files are the same
	if [[ ! -f $IPSET_DATA ]]; then
	    mv $TMP_FILE $IPSET_DATA && chmod 600 $IPSET_DATA || ret=1
	else
	    diff -q $TMP_FILE $IPSET_DATA >/dev/null
	
	    if [[ $? -ne 0 ]]; then
		if [[ -f $IPSET_DATA ]]; then
		    cp -f --preserve=timestamps $IPSET_DATA $IPSET_DATA.save \
			&& chmod 600 $IPSET_DATA.save \
			|| ret=1
		fi
		if [[ $ret -eq 0 ]]; then
		    cp -f --preserve=timestamps $TMP_FILE $IPSET_DATA \
			&& chmod 600 $IPSET_DATA \
			|| ret=1
		fi
	    fi
	fi
    fi

    rm -f $TMP_FILE
    return $ret
}


case "$1" in
    start)
	start
	RETVAL=$?
	;;
    stop)
	check_can_unload || exit 1
	[[ $IPSET_SAVE_ON_STOP = yes ]] && save
	stop
	RETVAL=$?
	[[ $RETVAL -eq 6 ]] && echo "${IPSET}: not running" && exit 0
	;;
    reload)
	[[ $IPSET_SAVE_ON_RESTART = yes ]] && save
	stop
	RETVAL=$?
	[[ $RETVAL -eq 6 ]] && echo "${IPSET}: not running" && exit 0
	start
	RETVAL=$?
	;;
    *)
	echo "Usage: $IPSET {start|stop|reload}" >&2
	exit 1
esac

exit $RETVAL

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

#!/bin/bash

# ipset Start and stop ipset firewall sets

# config: /etc/ipset/ipset

IPSET=ipset

IPSET_BIN=/usr/sbin/${IPSET}

IPSET_DATA=/etc/${IPSET}/${IPSET}

IPTABLES_CONFIG=/etc/sysconfig/iptables-config

IP6TABLES_CONFIG=${IPTABLES_CONFIG/iptables/ip6tables}

TMP_FIFO=/tmp/${IPSET}.$$

if [[ ! -x ${IPSET_BIN} ]]; then

echo "${IPSET_BIN} does not exist."

exit 5

CLEAN_FILES=TMP_FIFO

trap "rm -f \$CLEAN_FILES" EXIT

# Default ipset configuration:

[[ -z $IPSET_SAVE_ON_STOP ]] && IPSET_SAVE_ON_STOP=no # Overridden by ip(6)tables IP(6)TABLES_SAVE_ON_STOP

[[ -z $IPSET_SAVE_ON_RESTART ]] && IPSET_SAVE_ON_RESTART=no # Overridden by ip(6)tables IP(6)TABLES_SAVE_ON_RESTART

# Load iptables configuration(s)

[[ -f "$IPTABLES_CONFIG" ]] && . "$IPTABLES_CONFIG"

[[ -f "$IP6TABLES_CONFIG" ]] && . "$IP6TABLES_CONFIG"

# It doesn't make sense to save iptables config and not our config

[[ ${IPTABLES_SAVE_ON_STOP} = yes || ${IP6TABLES_SAVE_ON_STOP} = yes ]] && IPSET_SAVE_ON_STOP=yes

[[ ${IPTABLES_SAVE_ON_RESTART} = yes || ${IP6TABLES_SAVE_ON_RESTART} = yes ]] && IPSET_SAVE_ON_RESTART=yes

check_can_unload() {

# If the xt_set module is loaded and can't be unloaded, then iptables is

# using ipsets, so refuse to stop the service.

if [[ -n $(lsmod | grep "^xt_set ") ]]; then

rmmod xt_set 2>/dev/null

[[ $? -ne 0 ]] && echo Current iptables configuration requires ipsets && return 1

return 0

}

flush_n_delete() {

local ret=0 set

# Flush sets

${IPSET_BIN} flush

let ret+=$?

# Delete ipset sets. If we don't do them individually, then none

# will be deleted unless they all can be.

for set in $(${IPSET_BIN} list -name); do

${IPSET_BIN} destroy 2>/dev/null

[[ $? -ne 0 ]] && ret=1

done

return $ret

}

start_clean()

{

mkfifo -m go= "${TMP_FIFO}"

[[ $? -ne 0 ]] && return 1

# Get the lists of sets in current(old) config and new config

old_sets="$(${IPSET_BIN} list -name | sort -u)"

new_sets="$(grep ^create "${IPSET_DATA}" | cut -d " " -f 2 | sort -u)"

# List of sets no longer wanted

drop_sets="$( printf "%s\n" "${old_sets}" > "${TMP_FIFO}" &

printf "%s\n" "${new_sets}" | comm -23 "${TMP_FIFO}" -

# Get rid of sets no longer needed

# Unfortunately -! doesn't work for destroy, so we have to do it a command at a time

for dset in $drop_sets; do

ipset destroy $dset 2>/dev/null

# If it won't go - ? in use by iptables, just clear it

[[ $? -ne 0 ]] && ipset flush $dset

done

# Now delete the set members no longer required

${IPSET_BIN} save | grep "^add " | sort >${TMP_FIFO} &

grep "^add " ${IPSET_DATA} | sort | comm -23 ${TMP_FIFO} - | sed -e "s/^add /del /" \

| ${IPSET_BIN} restore -!

# At last we can add the set members we haven't got

ipset restore -! <${IPSET_DATA}

rm ${TMP_FIFO}

return 0

}

start() {

# Do not start if there is no config file.

[[ ! -f "$IPSET_DATA" ]] && echo "Loaded with no configuration" && return 0

# We can skip the first bit and do a simple load if

# there is no current ipset configuration

res=1

if [[ -n $(${IPSET_BIN} list -name) ]]; then

# The following may fail for some bizarre reason

start_clean

res=$?

[[ $res -ne 0 ]] && echo "Some old configuration may remain"

# res -ne 0 => either start_clean failed, or we didn't need to run it

if [[ $res -ne 0 ]]; then

# This is the easy way to start but would leave any old

# entries still configured. Still, better than nothing -

# but fine if we had no config

${IPSET_BIN} restore -! <${IPSET_DATA}

res=$?

if [[ $res -ne 0 ]]; then

return 1

return 0

}

stop() {

# Nothing to stop if ip_set module is not loaded.

lsmod | grep -q "^ip_set "

[[ $? -ne 0 ]] && return 6

flush_n_delete

[[ $? -ne 0 ]] && echo Warning: Not all sets were flushed/deleted

return 0

}

save() {

# Do not save if ip_set module is not loaded.

lsmod | grep -q "^ip_set "

[[ $? -ne 0 ]] && return 6

[[ -z $(${IPSET_BIN} list -name) ]] && return 0

ret=0

TMP_FILE=$(/bin/mktemp -q /tmp/$IPSET.XXXXXX) \

&& CLEAN_FILES+=" $TMP_FILE" \

&& chmod 600 "$TMP_FILE" \

&& ${IPSET_BIN} save > $TMP_FILE 2>/dev/null \

&& [[ -s $TMP_FILE ]] \

|| ret=1

if [[ $ret -eq 0 ]]; then

# No need to do anything if the files are the same

if [[ ! -f $IPSET_DATA ]]; then

mv $TMP_FILE $IPSET_DATA && chmod 600 $IPSET_DATA || ret=1

else

diff -q $TMP_FILE $IPSET_DATA >/dev/null

if [[ $? -ne 0 ]]; then

if [[ -f $IPSET_DATA ]]; then

cp -f --preserve=timestamps $IPSET_DATA $IPSET_DATA.save \

&& chmod 600 $IPSET_DATA.save \

|| ret=1

if [[ $ret -eq 0 ]]; then

cp -f --preserve=timestamps $TMP_FILE $IPSET_DATA \

&& chmod 600 $IPSET_DATA \

|| ret=1

rm -f $TMP_FILE

return $ret

}

case "$1" in

start)

start

RETVAL=$?

;;

stop)

check_can_unload || exit 1

[[ $IPSET_SAVE_ON_STOP = yes ]] && save

stop

RETVAL=$?

[[ $RETVAL -eq 6 ]] && echo "${IPSET}: not running" && exit 0

;;

reload)

[[ $IPSET_SAVE_ON_RESTART = yes ]] && save

stop

RETVAL=$?

[[ $RETVAL -eq 6 ]] && echo "${IPSET}: not running" && exit 0

start

RETVAL=$?

;;

echo "Usage: $IPSET {start|stop|reload}" >&2

exit 1

esac

exit $RETVAL

Готовим каталоги и выдаем права на файлы:

chmod 755 /usr/lib/systemd/system/ipset.service /usr/libexec/ipset/ipset.start-stop

1	chmod 755 /usr/lib/systemd/system/ipset.service /usr/libexec/ipset/ipset.start-stop

Первое использование:

Добавляем в автозапуск:
systemctl enable ipset

Сохраняем текущие состояние ipset:
ipset save > /etc/ipset/ipset

Очищаем:
ipset flush

Запускаем демон ipset:
systemctl start ipset

Проверяем что получилось:
ipset list

Добавляем в автозапуск:

systemctl enable ipset

Сохраняем текущие состояние ipset:

ipset save > /etc/ipset/ipset

Очищаем:

ipset flush

Запускаем демон ipset:

systemctl start ipset

Проверяем что получилось:

ipset list

iptables \ Fail2ban

iptables: конспект / iptables / conntrack / NAT / sysctl

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/11/03

Ссылки:

https://ru.wikibooks.org/wiki/Iptables

https://old.calculate-linux.org/main/ru/iptables

https://wiki.dieg.info/iptables
https://wiki.dieg.info/nat

http://dragonflybsd.blogspot.com/2016/04/conntrack.html
http://conntrack-tools.netfilter.org/manual.html

http://sysadminblog.ru/linux/2012/05/22/primery-ispolzovaniya-iptables.html

https://habr.com/ru/company/ruvds/blog/580648/

https://rtfm.co.ua/linux-iptables-rukovodstvo-chast-4-celi-dlya-pravil/

https://ru.wikibooks.org/wiki/Iptables

https://old.calculate-linux.org/main/ru/iptables

https://wiki.dieg.info/iptables

https://wiki.dieg.info/nat

http://dragonflybsd.blogspot.com/2016/04/conntrack.html

http://conntrack-tools.netfilter.org/manual.html

http://sysadminblog.ru/linux/2012/05/22/primery-ispolzovaniya-iptables.html

https://habr.com/ru/company/ruvds/blog/580648/

https://rtfm.co.ua/linux-iptables-rukovodstvo-chast-4-celi-dlya-pravil/

Таблицы и цепочки:

По умолчанию мы имеем три таблицы: FILTER, NAT, MANGLE
По умолчанию мы имеем пять цепочек: PREROUTING, FORWARD, POSTROUTING, INPUT, OUTPUT 
 
filter: (DROP, LOG, ACCEPT, REJECT)
-FORWARD - цепочка используется для фильтрацию пакетов, идущих транзитом через брандмауэр.
-INPUT - через эту цепочку проходят пакеты, которые предназначены локальным приложениям(брандмауэр).
-OUTPUT - используются для фильтрации исходящих пакетов, сгенерированных приложениями на самом брандмауэре.
 
nat: (DNAT,SNAT)
-PREROUTING - используется для внесения изменений на ходе брандмауэра. (dnat)
-OUTPUT - предназначена для преобразования пакетов, созданных приложениями внутри брандмауэра, перед принятием решения о маршрутизации.
-POSTROUTING - применяется для преобразования пакетов перед выдачей их во вне. (snat)
 
mangle: (MARK,TOS,TTL)
-PREROUTING - используется для внесения изменений в  пакеты на входе брандмауэра.
-POSTROUTING - применяется для изменения в пакеты перед выдачей их во вне.
-INPUT - через эту цепочку проходят пакеты, которые предназначены локальным приложениям(брандмауэру).
-FORWARD - используется для модификации заголовков пакетов, идущих транзитом через брандмауэр.
-OUTPUT - для внесения изменений в заголовок пакетов, поступающих от приложений внутри брандмауэра.

Порядок прохождения транзитных пакетов:
mangle PREROUTING
nat PREEOUTING
mangle FORWARD
filter FORWARD
mangle POSTROUTING
nat POSTROUTING
 
Порядок прохождения пакетов предназначенных для приложения компьютера:
mangle PREPOUTING
nat PREROUTING
mangle INPUT
filter INPUT
 
Порядок прохождения пакетов  отправленные приложениями компьютера:
mangle OUTPUT
nat OUTPUT
filter OUTPUT
mangle POSTROUTING
nat POSTROUTING

NAT - NETWORK ADDRESS TRANSLATION
RFC-1918 - документ по не маршрутизированным адресам
SNAT - замена IP-адреса или порта источника (Например настройка доступа к интернету для ПК из локальной сети через маршрутизатор)
DNAT - замена IP-адреса или порта назначения (Например доступ из интернета на ПК в локальной сети)
MASQUERADE - разбирается сам что куда подменять (используется когда у вас нет постоянного внешнего IP, или получаете его по DHCP)
REDIRECT - выполняет перенаправление пакетов и потоков на другой порт той же самой машины

По умолчанию мы имеем три таблицы: FILTER, NAT, MANGLE

По умолчанию мы имеем пять цепочек: PREROUTING, FORWARD, POSTROUTING, INPUT, OUTPUT

filter: (DROP, LOG, ACCEPT, REJECT)

-FORWARD - цепочка используется для фильтрацию пакетов, идущих транзитом через брандмауэр.

-INPUT - через эту цепочку проходят пакеты, которые предназначены локальным приложениям(брандмауэр).

-OUTPUT - используются для фильтрации исходящих пакетов, сгенерированных приложениями на самом брандмауэре.

nat: (DNAT,SNAT)

-PREROUTING - используется для внесения изменений на ходе брандмауэра. (dnat)

-OUTPUT - предназначена для преобразования пакетов, созданных приложениями внутри брандмауэра, перед принятием решения о маршрутизации.

-POSTROUTING - применяется для преобразования пакетов перед выдачей их во вне. (snat)

mangle: (MARK,TOS,TTL)

-PREROUTING - используется для внесения изменений в пакеты на входе брандмауэра.

-POSTROUTING - применяется для изменения в пакеты перед выдачей их во вне.

-INPUT - через эту цепочку проходят пакеты, которые предназначены локальным приложениям(брандмауэру).

-FORWARD - используется для модификации заголовков пакетов, идущих транзитом через брандмауэр.

-OUTPUT - для внесения изменений в заголовок пакетов, поступающих от приложений внутри брандмауэра.

Порядок прохождения транзитных пакетов:

mangle PREROUTING

nat PREEOUTING

mangle FORWARD

filter FORWARD

mangle POSTROUTING

nat POSTROUTING

Порядок прохождения пакетов предназначенных для приложения компьютера:

mangle PREPOUTING

nat PREROUTING

mangle INPUT

filter INPUT

Порядок прохождения пакетов отправленные приложениями компьютера:

mangle OUTPUT

nat OUTPUT

filter OUTPUT

mangle POSTROUTING

nat POSTROUTING

NAT - NETWORK ADDRESS TRANSLATION

RFC-1918 - документ по не маршрутизированным адресам

SNAT - замена IP-адреса или порта источника (Например настройка доступа к интернету для ПК из локальной сети через маршрутизатор)

DNAT - замена IP-адреса или порта назначения (Например доступ из интернета на ПК в локальной сети)

MASQUERADE - разбирается сам что куда подменять (используется когда у вас нет постоянного внешнего IP, или получаете его по DHCP)

REDIRECT - выполняет перенаправление пакетов и потоков на другой порт той же самой машины

Настройка политики

!!! По умолчанию политика ACCEPT
Отбрасываем все входящие подключения:
!!! Рекомендуется для построения firewall, запрещено все кроме разрешённого
iptables -P INPUT DROP

Отбрасываем идущий трафик через нас:
iptables -P FORWARD DROP

Отбрасываем исходящий трафик:
!!! обычно не используется
iptables -P OUTPUT DROP

!!! По умолчанию политика ACCEPT

Отбрасываем все входящие подключения:

!!! Рекомендуется для построения firewall, запрещено все кроме разрешённого

iptables -P INPUT DROP

Отбрасываем идущий трафик через нас:

iptables -P FORWARD DROP

Отбрасываем исходящий трафик:

!!! обычно не используется

iptables -P OUTPUT DROP

IPTABLES основное:

!!! если не указывать таблицу по умолчанию таблица FILTER.
!!! L: Вывести список правил.
!!! v: Отображение подробной информации. Этот ключ будет выводить имя интерфейса, параметры правил и маски TOS. 
!!! n: Не резолвить IP адреса, показывать в цифровом виде. Ускоряет вывод.
!!! --line-numbers: показать номер правила в цепочке
!!! Счетчики пакетов и байтов, также будут показаны в списке, с 'K' суффиксом, 'М' или 'G' в зависимости от необходимого множителя.

Отображение состояния брандмауэра / Показать текущие правила (по умолчанию таблица FILTER):
iptables -L -n -v 

Показать текущие правила  с номером строки (по умолчанию таблица FILTER):
iptables -n -L -v --line-numbers

Показать таблицу Filter:
iptables -L -n -v -t filter

Показать таблицу NAT:
iptables -n -t nat -L

Показать таблицу MANGLE:
iptables -n -t mangle -L

Показать из таблицы FILTER цепочку INPUT 
iptables -L INPUT -n -v 

Показать из таблицы FILTER цепочку OUTPUT
iptables -L OUTPUT -n -v --line-numbers

!!! если не указывать таблицу по умолчанию таблица FILTER.

!!! L: Вывести список правил.

!!! v: Отображение подробной информации. Этот ключ будет выводить имя интерфейса, параметры правил и маски TOS.

!!! n: Не резолвить IP адреса, показывать в цифровом виде. Ускоряет вывод.

!!! --line-numbers: показать номер правила в цепочке

!!! Счетчики пакетов и байтов, также будут показаны в списке, с 'K' суффиксом, 'М' или 'G' в зависимости от необходимого множителя.

Отображение состояния брандмауэра / Показать текущие правила (по умолчанию таблица FILTER):

iptables -L -n -v

Показать текущие правила с номером строки (по умолчанию таблица FILTER):

iptables -n -L -v --line-numbers

Показать таблицу Filter:

iptables -L -n -v -t filter

Показать таблицу NAT:

iptables -n -t nat -L

Показать таблицу MANGLE:

iptables -n -t mangle -L

Показать из таблицы FILTER цепочку INPUT

iptables -L INPUT -n -v

Показать из таблицы FILTER цепочку OUTPUT

iptables -L OUTPUT -n -v --line-numbers

Построение правил в iptables

iptables [-t table] command [match] [target/jump]
command:
-A - добавить правило в конец цепочки (APPEND)
-D - удалить правило из цепочки (DELETE)
-R - заменить одно правило другим (REPLACE)
-I - вставить правило в указанное место в цепочке (INSERT) (по умолчанию вставляет в начало)
-L - показать список правил (LIST)
-F - очистить цепочку или таблицу (FLUSH)
-Z - обнулить счетчики (ZERO)
-N - создать цепочку пользователя (NEW)
-X - удалить цепочку пользователя 
-P - установить политику по умолчанию (DROP, ACCEPT)

Общие критерии match
-p - протокол (-p tcp)
-s - определяет IP-адрес источника (-s 10.0.0.1)
-d - определяет  IP-адрес назначения
-i - определяет входящий интерфейс
-o - определяет исходящий интерфейс (o eth0)
-f - определяет фрагментыm фрагментированного пакета (!-f) 
 
!!! Символ "!" инвертирует значение параметра.

iptables [-t table] command [match] [target/jump]

command:

-A - добавить правило в конец цепочки (APPEND)

-D - удалить правило из цепочки (DELETE)

-R - заменить одно правило другим (REPLACE)

-I - вставить правило в указанное место в цепочке (INSERT) (по умолчанию вставляет в начало)

-L - показать список правил (LIST)

-F - очистить цепочку или таблицу (FLUSH)

-Z - обнулить счетчики (ZERO)

-N - создать цепочку пользователя (NEW)

-X - удалить цепочку пользователя

-P - установить политику по умолчанию (DROP, ACCEPT)

Общие критерии match

-p - протокол (-p tcp)

-s - определяет IP-адрес источника (-s 10.0.0.1)

-d - определяет IP-адрес назначения

-i - определяет входящий интерфейс

-o - определяет исходящий интерфейс (o eth0)

-f - определяет фрагментыm фрагментированного пакета (!-f)

!!! Символ "!" инвертирует значение параметра.

Критерии:

TCP критерии:
    --sport - порт источника
    --dport - порт назначения (--dport 1024:65535)
    --tcp-flags - определение TCP-флагов
    --syn - запрос на соединение

UDP критерии:
    --sport - порт источника
    --dport - порт назначения

ICMP критерии:
    --icmp-type - определяет тип ICMP пакета (--icmp-type echo-request)

TCP критерии:

--sport - порт источника

--dport - порт назначения (--dport 1024:65535)

--tcp-flags - определение TCP-флагов

--syn - запрос на соединение

UDP критерии:

--sport - порт источника

--dport - порт назначения

ICMP критерии:

--icmp-type - определяет тип ICMP пакета (--icmp-type echo-request)

Действия(-j):

ACCEPT - принять пакеты
DROP - сбросить пакет
REJECT - сбросить пакет с сообщение об ошибке
RETURN - возвращает из цепочки
LOG - помещает информацию в системный журна

ACCEPT - принять пакеты

DROP - сбросить пакет

REJECT - сбросить пакет с сообщение об ошибке

RETURN - возвращает из цепочки

LOG - помещает информацию в системный журна

Терминальные и нетерминальные действия:

Терминальными называются действия, которые прерывают прохождение пакета через текущую базовую цепочку. 
То есть если к пакету в рамках некоторого правила было применено терминальное действие,
 он уже не проверяется на соответствие всем следующим правилам в этой цепочке (и в тех цепочках, 
из которых она была вызвана, если это пользовательская цепочка). 
Терминальными являются все действия, специфичные для таблиц filter и nat. 
Из приведенных выше в этом разделе — ACCEPT, DROP, REJECT, NFQUEUE, QUEUE.

Например:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "IN HTTP: "
Второе из приведенных правил (логирование) никогда не будет срабатывать, так как все пакеты,
 удовлетворяющие этому критерию (входящие TCP-пакеты на порт 80), 
будут пропущены по первому из этих правил, и до второго просто не дойдут.


Нетерминальными, соответственно, являются действия, не прерывающие процесс прохождения пакета через цепочки. 
Нетерминальными являются действия, специфичные для таблицы mangle, а из перечисленных выше — LOG, ULOG и NFLOG.

Например:
iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "IN HTTP: "
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Теперь все входящие на TCP-порт 80 пакеты будут сначала заноситься в лог, и только потом пропускаться.

Действие RETURN с точки зрения такой классификации занимает промежуточное положение — оно может прервать прохождение пакета 
через отдельную цепочку (или несколько цепочек, если для перехода в них использовалась опция -g, а не -j), 
но совсем не обязательно, чтобы это приводило к завершению обработки пакета в рамках текущей базовой цепочки.

Терминальными называются действия, которые прерывают прохождение пакета через текущую базовую цепочку.

То есть если к пакету в рамках некоторого правила было применено терминальное действие,

он уже не проверяется на соответствие всем следующим правилам в этой цепочке (и в тех цепочках,

из которых она была вызвана, если это пользовательская цепочка).

Терминальными являются все действия, специфичные для таблиц filter и nat.

Из приведенных выше в этом разделе — ACCEPT, DROP, REJECT, NFQUEUE, QUEUE.

Например:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "IN HTTP: "

Второе из приведенных правил (логирование) никогда не будет срабатывать, так как все пакеты,

удовлетворяющие этому критерию (входящие TCP-пакеты на порт 80),

будут пропущены по первому из этих правил, и до второго просто не дойдут.

Нетерминальными, соответственно, являются действия, не прерывающие процесс прохождения пакета через цепочки.

Нетерминальными являются действия, специфичные для таблицы mangle, а из перечисленных выше — LOG, ULOG и NFLOG.

Например:

iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "IN HTTP: "

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Теперь все входящие на TCP-порт 80 пакеты будут сначала заноситься в лог, и только потом пропускаться.

Действие RETURN с точки зрения такой классификации занимает промежуточное положение — оно может прервать прохождение пакета

через отдельную цепочку (или несколько цепочек, если для перехода в них использовалась опция -g, а не -j),

но совсем не обязательно, чтобы это приводило к завершению обработки пакета в рамках текущей базовой цепочки.

Удаление правил брандмауэра

!!! D: удалить одно или несколько правил из указанной цепочки
Для отображения номера строки наряду с другой информацией по существующим правилам, введите:
# iptables -L INPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | less
# iptables -L OUTPUT -n --line-numbers | grep 8.8.8.8
Вы получите список IP. Посмотрите на число слева, а вводите число, чтобы удалить его. 

Например, удаление линии номер 4, введите:
# iptables -D INPUT 4

Или найти источник IP 202.54.1.1 и удалить из правила:
# iptables -D INPUT -s 202.54.1.1 -j DROP

!!! D: удалить одно или несколько правил из указанной цепочки

Для отображения номера строки наряду с другой информацией по существующим правилам, введите:

# iptables -L INPUT -n --line-numbers

# iptables -L OUTPUT -n --line-numbers

# iptables -L OUTPUT -n --line-numbers | less

# iptables -L OUTPUT -n --line-numbers | grep 8.8.8.8

Вы получите список IP. Посмотрите на число слева, а вводите число, чтобы удалить его.

Например, удаление линии номер 4, введите:

# iptables -D INPUT 4

Или найти источник IP 202.54.1.1 и удалить из правила:

# iptables -D INPUT -s 202.54.1.1 -j DROP

Добавление правил брандмауэра

Чтобы вставить одно или несколько правил в указанной цепочке, как правило используется следующий синтаксис. 

Сначала узнать номер строки:
# iptables -L INPUT -n --line-numbers

Вывод например:
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  202.54.1.1           0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED

Чтобы вставить правило между 1 и 2, введите:
# iptables -I INPUT 2 -s 8.8.8.8 -j DROP

Для просмотра обновленных правил, введите:
# iptables -L INPUT -n --line-numbers

Вывод например:
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  202.54.1.1           0.0.0.0/0
2    DROP       all  --  8.8.8.8              0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED

Чтобы вставить одно или несколько правил в указанной цепочке, как правило используется следующий синтаксис.

Сначала узнать номер строки:

# iptables -L INPUT -n --line-numbers

Вывод например:

Chain INPUT (policy DROP)

num target prot opt source destination

1 DROP all -- 202.54.1.1 0.0.0.0/0

2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED

Чтобы вставить правило между 1 и 2, введите:

# iptables -I INPUT 2 -s 8.8.8.8 -j DROP

Для просмотра обновленных правил, введите:

# iptables -L INPUT -n --line-numbers

Вывод например:

Chain INPUT (policy DROP)

num target prot opt source destination

1 DROP all -- 202.54.1.1 0.0.0.0/0

2 DROP all -- 8.8.8.8 0.0.0.0/0

3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED

Блокировать весь трафик:

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n

# iptables -P INPUT DROP

# iptables -P OUTPUT DROP

# iptables -P FORWARD DROP

# iptables -L -v -n

Блокировать только входящий трафик:

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT

# iptables -P INPUT DROP

# iptables -P FORWARD DROP

# iptables -P OUTPUT ACCEPT

Блокировка сетевых адресов локальной сети на внешнем интерфейсе

IP-спуфинг — атака заключающаяся в использовании в IP-пакетах, отправляемых жертве,
в качестве обратного адреса IP-адрес хоста, которому она доверяет. 
Пакеты с немаршрутизируемыми адресами источника должны быть отвергнуты, 
используя следующий синтаксис:
# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

IP-спуфинг — атака заключающаяся в использовании в IP-пакетах, отправляемых жертве,

в качестве обратного адреса IP-адрес хоста, которому она доверяет.

Пакеты с немаршрутизируемыми адресами источника должны быть отвергнуты,

используя следующий синтаксис:

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Диапазон адресов IPv4 для частных сетей (убедитесь, что они заблокированы на внешнем интерфейсе)

    10.0.0.0/8 -j (A)
    172.16.0.0/12 (B)
    192.168.0.0/16 ©
    224.0.0.0/4 (MULTICAST D)
    240.0.0.0/5 (E)
    127.0.0.0/8 (LOOPBACK)

10.0.0.0/8 -j (A)

172.16.0.0/12 (B)

192.168.0.0/16 ©

224.0.0.0/4 (MULTICAST D)

240.0.0.0/5 (E)

127.0.0.0/8 (LOOPBACK)

Блокировка IP-адресов

Чтобы заблокировать IP адрес 1.2.3.4, введите:
# iptables -A INPUT -s 1.2.3.4 -j DROP

1 2	Чтобы заблокировать IP адрес 1.2.3.4, введите: # iptables -A INPUT -s 1.2.3.4 -j DROP

Блокировка входящие запросов на порт

Чтобы заблокировать все запросы на порт 80, введите:
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

Чтобы заблокировать порт 80 только для IP-адреса 1.2.3.4, введите:
# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

Чтобы заблокировать все запросы на порт 80, введите:

# iptables -A INPUT -p tcp --dport 80 -j DROP

# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

Чтобы заблокировать порт 80 только для IP-адреса 1.2.3.4, введите:

# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP

# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

Блокировка исходящего IP-адреса

Чтобы заблокировать исходящий трафик определенного хоста или домена, такого как sysadminblog.ru, введите:
host -t a sysadminblog.ru

Ответ будет:
sysadminblog.ru has address 95.211.41.31

Запишите свой IP-адрес и введите следующую команду, чтобы блокировать весь исходящий трафик с 95.211.41.31:
# iptables -A OUTPUT -d 95.211.41.31 -j DROP

Можно использовать маски:
# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

Вы также можете использовать доменное имя, введите:
# iptables -A OUTPUT -p tcp -d www.sysadminblog.ru -j DROP
# iptables -A OUTPUT -p tcp -d sysadminblog.ru -j DROP
Хотя в документации пишут, что использование доменного имени вместо IP не рекомендуется.

Чтобы заблокировать исходящий трафик определенного хоста или домена, такого как sysadminblog.ru, введите:

host -t a sysadminblog.ru

Ответ будет:

sysadminblog.ru has address 95.211.41.31

Запишите свой IP-адрес и введите следующую команду, чтобы блокировать весь исходящий трафик с 95.211.41.31:

# iptables -A OUTPUT -d 95.211.41.31 -j DROP

Можно использовать маски:

# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP

# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

Вы также можете использовать доменное имя, введите:

# iptables -A OUTPUT -p tcp -d www.sysadminblog.ru -j DROP

# iptables -A OUTPUT -p tcp -d sysadminblog.ru -j DROP

Хотя в документации пишут, что использование доменного имени вместо IP не рекомендуется.

Логирование и блокирование пакетов

Введите следующую команду, чтобы логировать и блокировать IP-спуфинг на открытый интерфейс с именем eth1:
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

По умолчанию все логируется в файл /var/log/messages.

Комментарий от akkerman:
Так лучше не делать, в особенности для явно левого трафика. 
LOG можно вставлять только строго с -m limit, 
иначе любая DoS-атака будет во много раз эффективнее: 
фактически косвенным образом злоумышленник получает прямой 
путь интенсивного воздействия непосредственно на файловую систему сервера.

Как делать правильнее, написано ниже
Логирование и блокирование пакетов с ограниченным количеством записей журнала
Параметр -m может ограничить количество записей в журнале созданных в единицу времени. 
Это используется для предотвращения флуда в файле журнала. 
Чтобы записывать не более 7 записей в 5 минут, введите:
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Логировать все из цепочки undef:
iptables -A undef_in -j LOG --log-level info --log-prefix "--- IN --- DROP "
iptables -A undef_in -j DROP
iptables -A undef_out -j LOG --log-level info --log-prefix " --- OUT --- DROP "
iptables -A undef_out -j DROP
iptables -A undef_fw -j LOG --log-level info --log-prefix "--- FW --- DROP "
iptables -A undef_fw -j DROP

Введите следующую команду, чтобы логировать и блокировать IP-спуфинг на открытый интерфейс с именем eth1:

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

По умолчанию все логируется в файл /var/log/messages.

Комментарий от akkerman:

Так лучше не делать, в особенности для явно левого трафика.

LOG можно вставлять только строго с -m limit,

иначе любая DoS-атака будет во много раз эффективнее:

фактически косвенным образом злоумышленник получает прямой

путь интенсивного воздействия непосредственно на файловую систему сервера.

Как делать правильнее, написано ниже

Логирование и блокирование пакетов с ограниченным количеством записей журнала

Параметр -m может ограничить количество записей в журнале созданных в единицу времени.

Это используется для предотвращения флуда в файле журнала.

Чтобы записывать не более 7 записей в 5 минут, введите:

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Логировать все из цепочки undef:

iptables -A undef_in -j LOG --log-level info --log-prefix "--- IN --- DROP "

iptables -A undef_in -j DROP

iptables -A undef_out -j LOG --log-level info --log-prefix " --- OUT --- DROP "

iptables -A undef_out -j DROP

iptables -A undef_fw -j LOG --log-level info --log-prefix "--- FW --- DROP "

iptables -A undef_fw -j DROP

Блокирование или разрешение трафика от Mac-адреса

Используйте следующий синтаксис:
# iptables -A INPUT -m mac --mac-source 00:19:99:3C:AB:23 -j DROP
## *only accept traffic for TCP port # 8080 from mac 00:19:99:3C:AB:22 * ##
# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:19:99:3C:AB:22 -j ACCEPT

Используйте следующий синтаксис:

# iptables -A INPUT -m mac --mac-source 00:19:99:3C:AB:23 -j DROP

## *only accept traffic for TCP port # 8080 from mac 00:19:99:3C:AB:22 * ##

# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:19:99:3C:AB:22 -j ACCEPT

Запретить или разрешить ICMP запросы для ping

Введите следующую команду, чтобы заблокировать ICMP запросы:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

Ping ответ также может быть ограничен определенными сетями или хостами:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

Следующий пример принимает только ограниченный тип ICMP запросов:
### ** assumed that default INPUT policy set to DROP ** #############
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ##
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Введите следующую команду, чтобы заблокировать ICMP запросы:

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

Ping ответ также может быть ограничен определенными сетями или хостами:

# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

Следующий пример принимает только ограниченный тип ICMP запросов:

### ** assumed that default INPUT policy set to DROP ** #############

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

## ** all our server to respond to pings ** ##

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Ограничить число одновременных подключений к серверу для каждого клиента по IP

Вы можете использовать модуль connlimit, чтобы поставить такие ограничения. 

Для ограничения не больше 3 SSH соединений на хост, введите:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

Установить HTTP запросов до 20:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Параметры в примере,
    --connlimit-above 3: Соответствует ли количество существующих соединений выше 3.
    --connlimit-mask 24: Группировать хосты по префиксу. Для IPv4, префиксы от 0 до 32.

Вы можете использовать модуль connlimit, чтобы поставить такие ограничения.

Для ограничения не больше 3 SSH соединений на хост, введите:

# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

Установить HTTP запросов до 20:

# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

Параметры в примере,

--connlimit-above 3: Соответствует ли количество существующих соединений выше 3.

--connlimit-mask 24: Группировать хосты по префиксу. Для IPv4, префиксы от 0 до 32.

INPUT разрешаем

Разрешаем работу локальных приложений использующих loop интерфейс
iptables -A INPUT -i lo -j ACCEPT

Разрешаем все с хоста
iptables -I INPUT -s 192.168.15.0/24 -j ACCEPT
iptables -I INPUT -s 10.0.0.0/24 -j ACCEPT
 
Разрешаем трафик для уже установленных соединений:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Разрешаем доступ к ssh для сети:
iptables -A INPUT -s 10.0.0.0/23 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Разрешаем порт 53 (DNS):
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

Разрешаем доступ к веб сервер http:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

Разрешаем доступ на 80 порт только определенного адреса и интерфейса ppp0:
iptables -A INPUT -p tcp -s 8.8.8.8 --dport 80 -i ppp0 -j ACCEPT 

Разрешаем NTP (сервер времени):
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

Разрешаем POP3 и IMAP:
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT

Разрешаем samba \ шары:
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

Разрешаем доступ к веб сервер https:
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

Разрешаем udp/tcp 514 rsyslog:
iptables -A INPUT -i eth0 -p udp --dport 514 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 514 -j ACCEPT

Разрешаем принт сервер cups / printing service udp/tcp port 631 for LAN users 
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT

Разрешаем соединение с PPTP-сервером для всех:
iptables -A INPUT -p tcp --dport 1723 -j ACCEP

Разрешаем прокси squid:
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
 
Разрешаем mysql / mariadb:
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

Разрешаем tcp 9102 на клиенте Bareos (обычно на клиенте с которого делает backup сервер bareos):
iptables -A INPUT -p tcp --dport 9102 -j ACCEPT

Разрешаем доступ к zabbix-agent с хоста:
iptables -A INPUT -s 192.168.1.200/32 -p tcp -m tcp --dport 10050 -j ACCEPT


Разрешаем доступ к ipa портам (ldap,https,ntp,bind):
iptables -A -p tcp -m multiport --dports 53,80,88,389,443,464,663 -j ACCEPT
iptables -A -p udp -m multiport --dports 53,88,123,464 -j ACCEPT

Разрешаем доступ к ipa портам (ldap,https,ntp,bind) с определённой сети и определенного интерфейса:
iptables -A -s 192.168.1.0/24 -p tcp -m multiport --dports 53,80,88,389,443,464,636  -i eth0 -j ACCEPT
iptables -A -s 192.168.1.0/24 -p udp -m multiport --dports 53,88,123,464 -i eth0  -j ACCEPT

Разрешаем протокол GRE для всех:
iptables -A INPUT -p gre -j ACCEPT

Включаем логирование для пакетов INVALID:
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "Strange:"

Пример включения логирования на разрешающие правило:
iptables -A INPUT -p tcp -m multiport --dports 22,53,8080,139,445 -j LOG --log-level INFO --log-prefix "New connection from ours: "
iptables -A INPUT -p tcp -m multiport --dports 22,53,8080,139,445 -j ACCEPT

Разрешаем работу локальных приложений использующих loop интерфейс

iptables -A INPUT -i lo -j ACCEPT

Разрешаем все с хоста

iptables -I INPUT -s 192.168.15.0/24 -j ACCEPT

iptables -I INPUT -s 10.0.0.0/24 -j ACCEPT

Разрешаем трафик для уже установленных соединений:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Разрешаем доступ к ssh для сети:

iptables -A INPUT -s 10.0.0.0/23 -p tcp -m tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

Разрешаем порт 53 (DNS):

iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

Разрешаем доступ к веб сервер http:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

Разрешаем доступ на 80 порт только определенного адреса и интерфейса ppp0:

iptables -A INPUT -p tcp -s 8.8.8.8 --dport 80 -i ppp0 -j ACCEPT

Разрешаем NTP (сервер времени):

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

Разрешаем POP3 и IMAP:

iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT

Разрешаем samba \ шары:

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

Разрешаем доступ к веб сервер https:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

Разрешаем udp/tcp 514 rsyslog:

iptables -A INPUT -i eth0 -p udp --dport 514 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 514 -j ACCEPT

Разрешаем принт сервер cups / printing service udp/tcp port 631 for LAN users

iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT

Разрешаем соединение с PPTP-сервером для всех:

iptables -A INPUT -p tcp --dport 1723 -j ACCEP

Разрешаем прокси squid:

iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT

Разрешаем mysql / mariadb:

iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

Разрешаем tcp 9102 на клиенте Bareos (обычно на клиенте с которого делает backup сервер bareos):

iptables -A INPUT -p tcp --dport 9102 -j ACCEPT

Разрешаем доступ к zabbix-agent с хоста:

iptables -A INPUT -s 192.168.1.200/32 -p tcp -m tcp --dport 10050 -j ACCEPT

Разрешаем доступ к ipa портам (ldap,https,ntp,bind):

iptables -A -p tcp -m multiport --dports 53,80,88,389,443,464,663 -j ACCEPT

iptables -A -p udp -m multiport --dports 53,88,123,464 -j ACCEPT

Разрешаем доступ к ipa портам (ldap,https,ntp,bind) с определённой сети и определенного интерфейса:

iptables -A -s 192.168.1.0/24 -p tcp -m multiport --dports 53,80,88,389,443,464,636 -i eth0 -j ACCEPT

iptables -A -s 192.168.1.0/24 -p udp -m multiport --dports 53,88,123,464 -i eth0 -j ACCEPT

Разрешаем протокол GRE для всех:

iptables -A INPUT -p gre -j ACCEPT

Включаем логирование для пакетов INVALID:

iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "Strange:"

Пример включения логирования на разрешающие правило:

iptables -A INPUT -p tcp -m multiport --dports 22,53,8080,139,445 -j LOG --log-level INFO --log-prefix "New connection from ours: "

iptables -A INPUT -p tcp -m multiport --dports 22,53,8080,139,445 -j ACCEPT

INPUT drop

Отбрасываем подключения IP-атакующего\порт-бедалага:
iptables -A INPUT -s IP-атакующего -p tcp --destination-port порт-бедалага -j DROP 

Ограничиваем максимальное число «полуоткрытых» соединений с одного IP к конкретному порту:
iptables -I INPUT -p tcp --syn --dport порт_бедалага -m iplimit --iplimit-above 10 -j DROP 

Отключаем ответы на запросы ICMP ECHO:
iptables -A INPUT -p icmp -j DROP --icmp-type 8

Отбрасываем подключения IP-атакующего\порт-бедалага:

iptables -A INPUT -s IP-атакующего -p tcp --destination-port порт-бедалага -j DROP

Ограничиваем максимальное число «полуоткрытых» соединений с одного IP к конкретному порту:

iptables -I INPUT -p tcp --syn --dport порт_бедалага -m iplimit --iplimit-above 10 -j DROP

Отключаем ответы на запросы ICMP ECHO:

iptables -A INPUT -p icmp -j DROP --icmp-type 8

NAT

!!! В организация NAT не должно быть в принципе.
!!! Доступ к интернету должен осуществляется через proxy сервер

iptables -t nat -A POSTROUTING -o isp -j MASQUERADE

iptables -t nat -A POSTROUTING -o isp -j SNAT --to-source 10.0.0.23
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-destination 192.168.1.25

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.10.15.50:3128 
iptables -t nat -A PREROUTING -p tcp -d 192.168.3.124 --dport 3389 -j DNAT --to 10.70.70.105:3389
iptables -t nat -A PREROUTING -p tcp -d 192.168.3.124 --dport 5090 -j DNAT --to 10.70.70.101:5090

!!! В организация NAT не должно быть в принципе.

!!! Доступ к интернету должен осуществляется через proxy сервер

iptables -t nat -A POSTROUTING -o isp -j MASQUERADE

iptables -t nat -A POSTROUTING -o isp -j SNAT --to-source 10.0.0.23

iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-destination 192.168.1.25

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.10.15.50:3128

iptables -t nat -A PREROUTING -p tcp -d 192.168.3.124 --dport 3389 -j DNAT --to 10.70.70.105:3389

iptables -t nat -A PREROUTING -p tcp -d 192.168.3.124 --dport 5090 -j DNAT --to 10.70.70.101:5090

IP FORWARD / MASQUERADE / Включение IP Forward

FORWARD:
!!! По умолчанию ip forward выключен
!!! Если forward выключен то не будет работать маршрутизация между интерфейсами

Проверяем текущие состояние:
cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

Включение forward:
!!! это будет работать до перезагрузки
echo 1 > /proc/sys/net/ipv4/ip_forward

!!! Для постоянного включения необходимо отредактировать файл  /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё
nano /etc/sysctl.conf
---------------------
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
---------------------
sysctl -p  - выполняем для применения изменений без перезагрузки 

NAT:
Примеры настройки MASQUERADE:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o isp -j MASQUERADE

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

FORWARD:

!!! По умолчанию ip forward выключен

!!! Если forward выключен то не будет работать маршрутизация между интерфейсами

Проверяем текущие состояние:

cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

Включение forward:

!!! это будет работать до перезагрузки

echo 1 > /proc/sys/net/ipv4/ip_forward

!!! Для постоянного включения необходимо отредактировать файл /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё

nano /etc/sysctl.conf

---------------------

# Uncomment the next line to enable packet forwarding for IPv4

net.ipv4.ip_forward=1

---------------------

sysctl -p - выполняем для применения изменений без перезагрузки

NAT:

Примеры настройки MASQUERADE:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o isp -j MASQUERADE

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Пример работы своей цепочки(из wiki):

!!!Например, предположим, что нам нужно обеспечить доступ к определенным портам нашего сервера для всех хостов из подсети 10.134.0.64/26, кроме 10.134.0.67 и 10.134.0.100.
iptables -F # Очищаем все цепочки таблицы filter
iptables -N our_subnet # Создаем специальную цепочку для проверки пакетов из нашей подсети
iptables -A our_subnet -s 10.134.0.67 -j RETURN # Запрещенный хост — выходим
iptables -A our_subnet -s 10.134.0.100 -j RETURN # Запрещенный хост — выходим

# Всем остальным разрешаем доступ к нужным портам
iptables -A our_subnet -p tcp -m multiport --dports 22,53,8080,139,445 -j ACCEPT
iptables -A our_subnet -p udp -m multiport --dports 53,123,137,138 -j ACCEPT
iptables -A our_subnet -p icmp --icmp-type 8 -j ACCEPT

# Разрешаем пакеты по уже установленным соединениям
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Все пакеты из нашей подсети отправляем на проверку
iptables -A INPUT -s 10.134.0.64/26 -j our_subnet
iptables -P INPUT DROP # Что не разрешено — то запрещено
iptables -P OUTPUT ACCEPT # На выход — можно все

!!!Например, предположим, что нам нужно обеспечить доступ к определенным портам нашего сервера для всех хостов из подсети 10.134.0.64/26, кроме 10.134.0.67 и 10.134.0.100.

iptables -F # Очищаем все цепочки таблицы filter

iptables -N our_subnet # Создаем специальную цепочку для проверки пакетов из нашей подсети

iptables -A our_subnet -s 10.134.0.67 -j RETURN # Запрещенный хост — выходим

iptables -A our_subnet -s 10.134.0.100 -j RETURN # Запрещенный хост — выходим

# Всем остальным разрешаем доступ к нужным портам

iptables -A our_subnet -p tcp -m multiport --dports 22,53,8080,139,445 -j ACCEPT

iptables -A our_subnet -p udp -m multiport --dports 53,123,137,138 -j ACCEPT

iptables -A our_subnet -p icmp --icmp-type 8 -j ACCEPT

# Разрешаем пакеты по уже установленным соединениям

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Все пакеты из нашей подсети отправляем на проверку

iptables -A INPUT -s 10.134.0.64/26 -j our_subnet

iptables -P INPUT DROP # Что не разрешено — то запрещено

iptables -P OUTPUT ACCEPT # На выход — можно все

iptables ipset (списки)

Пример правил:
iptables -A INPUT -p tcp -m set --match-set whitelist src -m comment --comment WHITELIST -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set blacklist src -m comment --comment BLACKLIST -j DROP
iptables -A INPUT -p udp -m set --match-set asterisk-blacklist src -m multiport --dports 5060,5038,2000,4569,2727,4520,5000,8088,10000:20000 -m comment --comment "::01-asterisk-blacklist:: Blacklist" -j DROP
iptables -A INPUT -p tcp -m set --match-set asterisk-blacklist src -m multiport --dports 5060,5038,2000,4569,2727,4520,5000,8088,10000:20000 -m comment --comment "::01-asterisk-blacklist:: Blacklist" -j DROP
iptables -A INPUT -p udp -m set --match-set sip src -m multiport --dports 10000:20000 -m comment --comment "::08-sip:: RTP" -j ACCEPT
iptables -A INPUT -p udp -m set --match-set sip src -m multiport --dports 4000:4999 -m comment --comment "::08-sip:: T.38" -j ACCEPT
iptables -A INPUT -p udp -m set --match-set sip src -m udp --dport 5060 -m comment --comment "::08-sip:: SIP" -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set asterisk-mgmt src -m tcp --dport 5038 -m comment --comment "::08-sip:: AMI" -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set ssh src -m tcp --dport 22 -m comment --comment "::99-system:: SSH" -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set sshttl src -m tcp --dport 22 -m comment --comment "::99-system:: SSH" -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set zabbix src -m tcp --dport 10050 -m comment --comment "::99-system:: Zabbix" -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set bareos src -m tcp --dport 9102 -m comment --comment "::99-system:: Bareos" -j ACCEPT
iptables -A INPUT -p udp -m set --match-set tftp src -m udp --dport 69 -m comment --comment "::89-tftp:: TFTP" -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set web src -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp -m set --match-set web src -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT

Пример списка:
/etc/iptables/blacklist.ipset 
-! create blacklist hash:net family inet hashsize 131072 maxelem 262144 counters timeout 7200
-! add blacklist 10.100.2.50/32
-! add blacklist 192.168.100.0/24

Пример правил:

iptables -A INPUT -p tcp -m set --match-set whitelist src -m comment --comment WHITELIST -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set blacklist src -m comment --comment BLACKLIST -j DROP

iptables -A INPUT -p udp -m set --match-set asterisk-blacklist src -m multiport --dports 5060,5038,2000,4569,2727,4520,5000,8088,10000:20000 -m comment --comment "::01-asterisk-blacklist:: Blacklist" -j DROP

iptables -A INPUT -p tcp -m set --match-set asterisk-blacklist src -m multiport --dports 5060,5038,2000,4569,2727,4520,5000,8088,10000:20000 -m comment --comment "::01-asterisk-blacklist:: Blacklist" -j DROP

iptables -A INPUT -p udp -m set --match-set sip src -m multiport --dports 10000:20000 -m comment --comment "::08-sip:: RTP" -j ACCEPT

iptables -A INPUT -p udp -m set --match-set sip src -m multiport --dports 4000:4999 -m comment --comment "::08-sip:: T.38" -j ACCEPT

iptables -A INPUT -p udp -m set --match-set sip src -m udp --dport 5060 -m comment --comment "::08-sip:: SIP" -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set asterisk-mgmt src -m tcp --dport 5038 -m comment --comment "::08-sip:: AMI" -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set ssh src -m tcp --dport 22 -m comment --comment "::99-system:: SSH" -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set sshttl src -m tcp --dport 22 -m comment --comment "::99-system:: SSH" -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set zabbix src -m tcp --dport 10050 -m comment --comment "::99-system:: Zabbix" -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set bareos src -m tcp --dport 9102 -m comment --comment "::99-system:: Bareos" -j ACCEPT

iptables -A INPUT -p udp -m set --match-set tftp src -m udp --dport 69 -m comment --comment "::89-tftp:: TFTP" -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set web src -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT

iptables -A INPUT -p tcp -m set --match-set web src -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT

Пример списка:

/etc/iptables/blacklist.ipset

-! create blacklist hash:net family inet hashsize 131072 maxelem 262144 counters timeout 7200

-! add blacklist 10.100.2.50/32

-! add blacklist 192.168.100.0/24

Сохранение правил брандмауэра

Чтобы сохранить правила брандмауэра в CentOS / RHEL / Fedora Linux, введите:
# service iptables save

В других дистрибутивах
iptables-save > /root/my.active.firewall.rules
или
iptables-save

Чтобы сохранить правила брандмауэра в CentOS / RHEL / Fedora Linux, введите:

# service iptables save

В других дистрибутивах

iptables-save > /root/my.active.firewall.rules

или

iptables-save

Восстановление правил брандмауэра

Для восстановление правил брандмауэра из файла /root/my.active.firewall.rules, введите:
# iptables-restore  < /root/my.active.firewall.rules
# iptables-restore  /root/my.active.firewall.rules
Для восстановление правил брандмауэра в CentOS / RHEL / Fedora Linux, введите:
# service iptables restart

Для восстановление правил брандмауэра из файла /root/my.active.firewall.rules, введите:

# iptables-restore < /root/my.active.firewall.rules

# iptables-restore /root/my.active.firewall.rules

Для восстановление правил брандмауэра в CentOS / RHEL / Fedora Linux, введите:

# service iptables restart

Остановка, перезапуск, запуск брандмауэра Если у Вас CentOS / RHEL / Fedora Linux, вводите:

# service iptables stop
# service iptables start
# service iptables restart

# service iptables stop

# service iptables start

# service iptables restart

Чтобы отчистить правила iptables его собственными средствами введите:

!!! F: Удаление всех правил (flushing)
!!! X: Удаление цепочки
!!! t <таблица>: Выбрать таблицу и удалить правила
!!! P: Установить политику по умолчанию (например DROP, REJECT или ACCEPT)

# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT

!!! F: Удаление всех правил (flushing)

!!! X: Удаление цепочки

!!! t <таблица>: Выбрать таблицу и удалить правила

!!! P: Установить политику по умолчанию (например DROP, REJECT или ACCEPT)

# iptables -F

# iptables -X

# iptables -t nat -F

# iptables -t nat -X

# iptables -t mangle -F

# iptables -t mangle -X

# iptables -P INPUT ACCEPT

# iptables -P OUTPUT ACCEPT

# iptables -P FORWARD ACCEPT

Очистка таблицы filter:

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

Очистка таблицы nat:

iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING

1 2	iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING

Очистка таблицы mangle:

iptables -t mangle -F PREROUTING

1	iptables -t mangle -F PREROUTING

Чистим ветки логов:

iptables -F undef_in
iptables -F undef_out
iptables -F undef_fw
iptables -X undef_in
iptables -X undef_out
iptables -X undef_fw

iptables -F undef_in

iptables -F undef_out

iptables -F undef_fw

iptables -X undef_in

iptables -X undef_out

iptables -X undef_fw

Разрешаем принимать трафик на loopback-интерфейсе:

iptables -A INPUT eth2 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i lo -o eth1 -j ACCEPT$IPT -A FORWARD -i eth2 -o lo -j ACCEPT
iptables -A FORWARD -i lo -o eth2 -j ACCEPT$IPT -A FORWARD -i eth1 -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT eth2 -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A FORWARD -i lo -o eth1 -j ACCEPT$IPT -A FORWARD -i eth2 -o lo -j ACCEPT

iptables -A FORWARD -i lo -o eth2 -j ACCEPT$IPT -A FORWARD -i eth1 -o lo -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

Разрешение исходящего трафика:

iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A OUTPUT -o eth2 -j ACCEPT

iptables -A OUTPUT -o eth0 -j ACCEPT

iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A OUTPUT -o eth2 -j ACCEPT

Разрешить соединения, которые инициированы изнутри

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

1 2	iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Следующими правилами разрешаем коннекты на наш сервер из вне:

iptables -A INPUT -p udp --dport 33434:33523 -j ACCEPT - Разрешить traceroute
iptables -A INPUT -p tcp --dport 22 -j ACCEPT - Разрешаем SSH
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT - Разрешаем webmin
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT - Доступ на http

iptables -A INPUT -p udp --dport 33434:33523 -j ACCEPT - Разрешить traceroute

iptables -A INPUT -p tcp --dport 22 -j ACCEPT - Разрешаем SSH

iptables -A INPUT -p tcp --dport 10000 -j ACCEPT - Разрешаем webmin

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT - Доступ на http

Проброс RDP на сервер терминалов:

iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.0.100
iptables -A FORWARD -i eth0 -d 192.168.0.100 -p tcp --dport 3389 -j ACCEPT

1 2	iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.0.100 iptables -A FORWARD -i eth0 -d 192.168.0.100 -p tcp --dport 3389 -j ACCEPT

Выход из локалки на почтовые сервера

iptables -A FORWARD -d smtp.mail.ru -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d smtp.masterhost.ru -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT

Входящий трафик  на почтовые сервера
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

iptables -A FORWARD -d smtp.mail.ru -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT

iptables -A FORWARD -d smtp.masterhost.ru -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT

Входящий трафик на почтовые сервера

iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

Заворачиваем трафик на порт сквида:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128,9090 -s 0/0 -d 0/0 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128,9090 -s 0/0 -d 0/0 -j REDIRECT --to-port 3128

1 2	iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128,9090 -s 0/0 -d 0/0 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128,9090 -s 0/0 -d 0/0 -j REDIRECT --to-port 3128

Если прокси не установлена,либо нет нужды в использовании SQUID, то просто форвардим нужные порты:

iptables -A FORWARD -o eth0 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128,9090 -j ACCEPT

1	iptables -A FORWARD -o eth0 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128,9090 -j ACCEPT

Прячем NAT:

iptables -t mangle -A PREROUTING -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -j RETURN

1 2	iptables -t mangle -A PREROUTING -j TTL --ttl-set 64 iptables -t mangle -A PREROUTING -j RETURN

Все что не разрешено, но ломится отправим в цепочку undef:

iptables -N undef_in
iptables -N undef_out
iptables -N undef_fw
iptables -A INPUT -i vlan2 -j undef_in
iptables -A OUTPUT -j undef_out
iptables -A FORWARD -j undef_fw

iptables -N undef_in

iptables -N undef_out

iptables -N undef_fw

iptables -A INPUT -i vlan2 -j undef_in

iptables -A OUTPUT -j undef_out

iptables -A FORWARD -j undef_fw

Антибрут ssh:

iptables -A INPUT -m state  --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp  --dport 22 -m state --state NEW  -m recent --set --name SSH
iptables -A INPUT -p tcp -m tcp  --dport 22 -m state --state NEW  -m recent --update --seconds 60  --hitcount 4 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp -m tcp  --dport 22 -m state --state NEW -j ACCEPT
После этого хосты, пытающиеся перебирать пароль, будут блокироваться: 
все IP из черного списка будут фиксироваться в файле /proc/net/ipt_recent/SSH

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

После этого хосты, пытающиеся перебирать пароль, будут блокироваться:

все IP из черного списка будут фиксироваться в файле /proc/net/ipt_recent/SSH

Разрешаем некоторые ICMP-сообщения

https://ru.wikipedia.org/wiki/ICMP  - icmp-type
iptables -A INPUT -i eth0 -p icmp -m icmp  --icmp-type 3 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp  --icmp-type 11 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp  --icmp-type 12 -j ACCEPT

https://ru.wikipedia.org/wiki/ICMP - icmp-type

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT

open firewall:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-ﬂags  SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Небольшая защита от DoS
iptables -A INPUT -p all -m state --state  RELATED,ESTABLISHED -j ACCEPT # Разрешаем уже установленные соединения
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # Разрешаем 22 порт
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT # Разрешаем 80 порт
iptables -A INPUT -i eth0 -p icmp -m icmp  --icmp-type 3 -j ACCEPT # Разрешаем некоторые ICMP-сообщения
iptables -A INPUT -i eth0 -p icmp -m icmp  --icmp-type 11 -j ACCEPT # Разрешаем некоторые ICMP-сообщения
iptables -A INPUT -i eth0 -p icmp -m icmp  --icmp-type 12 -j ACCEPT # Разрешаем некоторые ICMP-сообщения
iptables -A INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m tcp --tcp-ﬂags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Небольшая защита от DoS

iptables -A INPUT -p all -m state --state RELATED,ESTABLISHED -j ACCEPT # Разрешаем уже установленные соединения

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # Разрешаем 22 порт

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT # Разрешаем 80 порт

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT # Разрешаем некоторые ICMP-сообщения

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT # Разрешаем некоторые ICMP-сообщения

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT # Разрешаем некоторые ICMP-сообщения

iptables -A INPUT DROP

sysctl \ conntrack

Итак, есть /proc/net/nf_conntrack, в нём можно найти наши проблемные записи, 
но напрямую их поправить не удастся (или можно, тогда как?). 
Timeout NAT. Информация о сессиях также может быть удалена по timeout. 
Т.е. если в течение долгого времени в рамках соединения обмена трафика нет - сессия закрывается и информация о ней так же удаляется из таблицы NAT. 
По умолчанию значения тайм-аутов стоят достаточно большие.
Поэтому, при больших потоках трафика, даже если nf_conntrack_max установлен в максимальное значение, 
существует риск столкнуться с переполнением таблицы и разрывами соединений. 

apt install conntrack-tools - установка пакета
conntrack -L conntrack
conntrack -L conntrack -s 192.168.0.100 - список для нужного внутреннего IP
conntrack -L conntrack -d 8.8.8.8 - на какой-то адрес
conntrack -L conntrack -q 192.168.0.1 - коннекты, проходящие через старый gate
conntrack -D conntrack -s 192.168.0.100 -q 192.168.0.1 - удалить проблемную запись
conntrack -F conntrack - есть и "оружие последнего дня", полная очистка таблицы
conntrack -h - помощь

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536

# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536
net.ipv4.netfilter.ip_conntrack_max = 65536
net.nf_conntrack_max = 65536

# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы
net.netfilter.nf_conntrack_count = 654

Итак, есть /proc/net/nf_conntrack, в нём можно найти наши проблемные записи,

но напрямую их поправить не удастся (или можно, тогда как?).

Timeout NAT. Информация о сессиях также может быть удалена по timeout.

Т.е. если в течение долгого времени в рамках соединения обмена трафика нет - сессия закрывается и информация о ней так же удаляется из таблицы NAT.

По умолчанию значения тайм-аутов стоят достаточно большие.

Поэтому, при больших потоках трафика, даже если nf_conntrack_max установлен в максимальное значение,

существует риск столкнуться с переполнением таблицы и разрывами соединений.

apt install conntrack-tools - установка пакета

conntrack -L conntrack

conntrack -L conntrack -s 192.168.0.100 - список для нужного внутреннего IP

conntrack -L conntrack -d 8.8.8.8 - на какой-то адрес

conntrack -L conntrack -q 192.168.0.1 - коннекты, проходящие через старый gate

conntrack -D conntrack -s 192.168.0.100 -q 192.168.0.1 - удалить проблемную запись

conntrack -F conntrack - есть и "оружие последнего дня", полная очистка таблицы

conntrack -h - помощь

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_max = 65536

net.nf_conntrack_max = 65536

# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы

net.netfilter.nf_conntrack_count = 654

NAT tweak

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536

# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT
net.netfilter.nf_conntrack_max = 65536
net.ipv4.netfilter.ip_conntrack_max = 65536
net.nf_conntrack_max = 65536

# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы
net.netfilter.nf_conntrack_count = 654


Посмотреть установленные значения задержек (в секундах):
# sysctl -a | grep conntrack | grep timeout
net.netfilter.nf_conntrack_generic_timeout = 600 - NAT- сервер будет хранить информацию о сессии даже в том случае, если будет проходит 1 пакет в 10 минут.
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 432000 - TCP- сессию NAT- сервер будет отслеживать 5 дней(!), если даже за это период пройдет только 1 пакет, это может привести к быстрому заполнению nf_conntrack_max
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 180
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.ipv4.netfilter.ip_conntrack_generic_timeout = 600
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent2 = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10
net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300
net.ipv4.netfilter.ip_conntrack_udp_timeout = 30
net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180
net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30

# sysctl net.netfilter.nf_conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

# sysctl -a | grep conntrack_max - посмотреть текущий размер таблицы NAT

net.netfilter.nf_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_max = 65536

net.nf_conntrack_max = 65536

# sysctl net.netfilter.nf_conntrack_count - посмотреть заполненность таблицы

net.netfilter.nf_conntrack_count = 654

Посмотреть установленные значения задержек (в секундах):

# sysctl -a | grep conntrack | grep timeout

net.netfilter.nf_conntrack_generic_timeout = 600 - NAT- сервер будет хранить информацию о сессии даже в том случае, если будет проходит 1 пакет в 10 минут.

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120

net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60

net.netfilter.nf_conntrack_tcp_timeout_established = 432000 - TCP- сессию NAT- сервер будет отслеживать 5 дней(!), если даже за это период пройдет только 1 пакет, это может привести к быстрому заполнению nf_conntrack_max

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close = 10

net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300

net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300

net.netfilter.nf_conntrack_udp_timeout = 30

net.netfilter.nf_conntrack_udp_timeout_stream = 180

net.netfilter.nf_conntrack_icmp_timeout = 30

net.netfilter.nf_conntrack_events_retry_timeout = 15

net.ipv4.netfilter.ip_conntrack_generic_timeout = 600

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent2 = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10

net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300

net.ipv4.netfilter.ip_conntrack_udp_timeout = 30

net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180

net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30

ipteplse-sex

vim  /etc/systemd/system/sex-sec.service
----------------------------------------
[Unit]
Description= add iptables and route
After=syslog.target

[Service]
Type=simple
TimeoutStartSec=10
ExecStart=/etc/iptables/sex_sec.sh

[Install]
WantedBy=multi-user.target
----------------------------------------

mkdir /etc/iptables

vim /etc/iptables/sex_sec.sh
----------------------------
#!/bin/bash
iptables-restore /etc/iptables/iptable.4
ip6tables-restore /etc/iptables/iptable.6 
sleep 30
#!/bin/bash

list_net_ip="192.168.55 192.168.80 192.168.88 10.12.88"
ip_router="192.168.16.55"
i=99

for x in ${list_net_ip} ; do
      i=$(ip route | grep "${x}" 1>/dev/null ; echo $?)
      if ((i > 0)) ; then
       #echo -e "ip route add ${x} via ${ip_router}"
       ip route add ${x}.0/24 via ${ip_router}
      fi
done

-----------------------------
chmod +x /etc/iptables/sex_sec.sh

vim  /etc/iptables/iptable.4
----------------------------
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-6e31867864c0 -j MASQUERADE
-A POSTROUTING -o ovsbr0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 172.18.0.5/32 -d 172.18.0.5/32 -p tcp -m tcp --dport 8080 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-6e31867864c0 -j RETURN
-A DOCKER ! -i br-6e31867864c0 -p tcp -m tcp --dport 8443 -j DNAT --to-destination 172.18.0.2:443
-A DOCKER ! -i br-6e31867864c0 -p tcp -m tcp --dport 32768 -j DNAT --to-destination 172.18.0.5:8080
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp0s20f0u2 -j ACCEPT
-A INPUT -i enp0s20f0u1u2 -j ACCEPT
-A INPUT -i enp0s20f0u1u1 -j ACCEPT
-A INPUT -i zthnhjuefn -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 5678 -j ACCEPT
-A INPUT -s 192.168.16.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.15.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 100/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i zthnhjuefn -j ACCEPT
-A FORWARD -i enp0s20f0u1u1 -j ACCEPT
COMMIT

----------------------------

vim /etc/iptables/iptable.6
------------------------
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
COMMIT
------------------------

vim /etc/systemd/system/sex-sec.service

----------------------------------------

[Unit]

Description= add iptables and route

After=syslog.target

[Service]

Type=simple

TimeoutStartSec=10

ExecStart=/etc/iptables/sex_sec.sh

[Install]

WantedBy=multi-user.target

----------------------------------------

mkdir /etc/iptables

vim /etc/iptables/sex_sec.sh

----------------------------

#!/bin/bash

iptables-restore /etc/iptables/iptable.4

ip6tables-restore /etc/iptables/iptable.6

sleep 30

#!/bin/bash

list_net_ip="192.168.55 192.168.80 192.168.88 10.12.88"

ip_router="192.168.16.55"

i=99

for x in ${list_net_ip} ; do

i=$(ip route | grep "${x}" 1>/dev/null ; echo $?)

if ((i > 0)) ; then

#echo -e "ip route add ${x} via ${ip_router}"

ip route add ${x}.0/24 via ${ip_router}

done

-----------------------------

chmod +x /etc/iptables/sex_sec.sh

vim /etc/iptables/iptable.4

----------------------------

*nat

:PREROUTING ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:DOCKER - [0:0]

-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

-A POSTROUTING -s 172.18.0.0/16 ! -o br-6e31867864c0 -j MASQUERADE

-A POSTROUTING -o ovsbr0 -j MASQUERADE

-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p tcp -m tcp --dport 443 -j MASQUERADE

-A POSTROUTING -s 172.18.0.5/32 -d 172.18.0.5/32 -p tcp -m tcp --dport 8080 -j MASQUERADE

-A DOCKER -i docker0 -j RETURN

-A DOCKER -i br-6e31867864c0 -j RETURN

-A DOCKER ! -i br-6e31867864c0 -p tcp -m tcp --dport 8443 -j DNAT --to-destination 172.18.0.2:443

-A DOCKER ! -i br-6e31867864c0 -p tcp -m tcp --dport 32768 -j DNAT --to-destination 172.18.0.5:8080

COMMIT

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -i lo -j ACCEPT

-A INPUT -i enp0s20f0u2 -j ACCEPT

-A INPUT -i enp0s20f0u1u2 -j ACCEPT

-A INPUT -i enp0s20f0u1u1 -j ACCEPT

-A INPUT -i zthnhjuefn -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p udp -m udp --dport 5678 -j ACCEPT

-A INPUT -s 192.168.16.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -s 192.168.15.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 100/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -i zthnhjuefn -j ACCEPT

-A FORWARD -i enp0s20f0u1u1 -j ACCEPT

COMMIT

----------------------------

vim /etc/iptables/iptable.6

------------------------

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p ipv6-icmp -j ACCEPT

COMMIT

------------------------

iptables \ Fail2ban

fail2ban / unban / ignoreip

Автор записи Автор: Evgeny Yakovlev
Дата записи 2021/05/04

Выполнить разбан(unban ip):

iptables –L - ознакомится с правилами iptables
iptables --list-rules - ознакомится с правилами iptables
iptables -S - ознакомится с правилами iptables
fail2ban-client set JAIL unbanip IP - разблокировать IP
fail2ban-client set ssh-iptables unbanip 1.1.1.1 - разблокировать IP

iptables –L - ознакомится с правилами iptables

iptables --list-rules - ознакомится с правилами iptables

iptables -S - ознакомится с правилами iptables

fail2ban-client set JAIL unbanip IP - разблокировать IP

fail2ban-client set ssh-iptables unbanip 1.1.1.1 - разблокировать IP

Файл логов (LOG):

cat /var/log/fail2ban.log - показать содержимое лог файла 
tail -f /var/log/fail2ban.log - наблюдать за файлом 
fail2ban-client status - посмотреть статус fail2ban
fail2ban-client status NAME_JAIL  - посмотреть статус NAME_JAIL

cat /var/log/fail2ban.log - показать содержимое лог файла

tail -f /var/log/fail2ban.log - наблюдать за файлом

fail2ban-client status - посмотреть статус fail2ban

fail2ban-client status NAME_JAIL - посмотреть статус NAME_JAIL

Список забаненных:

cat /var/log/fail2ban.log |grep Ban

1	cat /var/log/fail2ban.log \|grep Ban

Ручной бан:

fail2ban-client set [name-of-jail] banip [ip-address] - ручной бан
fail2ban-client set NAME_JAIL banip 1.1.1.1 - ручной бан

1 2	fail2ban-client set [name-of-jail] banip [ip-address] - ручной бан fail2ban-client set NAME_JAIL banip 1.1.1.1 - ручной бан

Разбан:

fail2ban-client set NAME_JAIL unbanip 1.1.1.1 - разбанить

1	fail2ban-client set NAME_JAIL unbanip 1.1.1.1 - разбанить

Пример разбана:

Первый вариант удаляем из iptables:
-----------------------------------
iptables -L -n - проверяем фаервол (смотрим цепочки)
fail2ban-client status - смотрим список правил fail2ban
fail2ban-client status ssh - смотрим баны в списке
iptables -D fail2ban-ssh -s xxx.yyy.zzz.www -j DROP - удалить из таблицы fail2ban-ssh ip
-----------------------------------

Второй вариант удаляем из iptables:
-----------------------------------
iptables -L -n --line-numbers
iptables -D asterisk-iptables 3
-----------------------------------

Третий вариант удаляем из fail2ban:
-----------------------------------
fail2ban-client status ssh - смотрим баны в списке
fail2ban-client set ssh unbanip 192.168.15.50 - разбанить
#fail2ban-client get ssh actionunban 192.168.15.50 - разбанить
-----------------------------------

Первый вариант удаляем из iptables:

-----------------------------------

iptables -L -n - проверяем фаервол (смотрим цепочки)

fail2ban-client status - смотрим список правил fail2ban

fail2ban-client status ssh - смотрим баны в списке

iptables -D fail2ban-ssh -s xxx.yyy.zzz.www -j DROP - удалить из таблицы fail2ban-ssh ip

-----------------------------------

Второй вариант удаляем из iptables:

-----------------------------------

iptables -L -n --line-numbers

iptables -D asterisk-iptables 3

-----------------------------------

Третий вариант удаляем из fail2ban:

-----------------------------------

fail2ban-client status ssh - смотрим баны в списке

fail2ban-client set ssh unbanip 192.168.15.50 - разбанить

#fail2ban-client get ssh actionunban 192.168.15.50 - разбанить

-----------------------------------

Добавить игнорирование IP

fail2ban-client get JAIL_NAME  ignoreip - показать игнорируемые IP в JAIL_NAME 
fail2ban-client set JAIL_NAME addignoreip 10.14.16.10 - добавить в список игнорируемых ip (10.14.16.10) в JAIL_NAME
fail2ban-client set JAIL_NAME unbanip 10.14.16.10 - разблокировать ip (10.14.16.10) из JAIL_NAME

fail2ban-client get JAIL_NAME ignoreip - показать игнорируемые IP в JAIL_NAME

fail2ban-client set JAIL_NAME addignoreip 10.14.16.10 - добавить в список игнорируемых ip (10.14.16.10) в JAIL_NAME

fail2ban-client set JAIL_NAME unbanip 10.14.16.10 - разблокировать ip (10.14.16.10) из JAIL_NAME

iptables \ Fail2ban

Fail2ban

Автор записи Автор: Evgeny Yakovlev
Дата записи 2018/12/30

Описание:

Fail2ban — простой в использовании локальный сервис, 
который отслеживает log–файлы запущенных программ, 
и на основании различных условий блокирует по IP найденных нарушителей.
Программа умеет бороться с различными атаками на все 
популярные *NIX–сервисы, такие как Apache, Nginx, ProFTPD, vsftpd, Exim, Postfix, named, и т.д.
Но в первую очередь Fail2ban известен благодаря готовности 
«из коробки» к защите SSH–сервера от атак типа «bruteforce», то есть к защите SSH от перебора паролей.

Fail2ban — простой в использовании локальный сервис,

который отслеживает log–файлы запущенных программ,

и на основании различных условий блокирует по IP найденных нарушителей.

Программа умеет бороться с различными атаками на все

популярные *NIX–сервисы, такие как Apache, Nginx, ProFTPD, vsftpd, Exim, Postfix, named, и т.д.

Но в первую очередь Fail2ban известен благодаря готовности

«из коробки» к защите SSH–сервера от атак типа «bruteforce», то есть к защите SSH от перебора паролей.

Установка:

apt-get install fail2ban

1	apt-get install fail2ban

Конфигурация Fail2ban:

/etc/fail2ban/fail2ban.conf — отвечает за настройки запуска процесса Fail2ban.
/etc/fail2ban/jail.conf — содержит настройки защиты конкретных сервисов, в том числе sshd.

1 2	/etc/fail2ban/fail2ban.conf — отвечает за настройки запуска процесса Fail2ban. /etc/fail2ban/jail.conf — содержит настройки защиты конкретных сервисов, в том числе sshd.

Файл jail.conf поделён на секции, так называемые «изоляторы» (jails), каждая секция отвечает за определённый сервис и тип атаки:

-----------------------------------------------------------------
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 600
maxretry = 3
banaction = iptables-multiport
-----------------------------------------------------------------
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
-----------------------------------------------------------------
Параметры из секции [DEFAULT] применяются ко всем остальным секциям, если не будут переопределены.
Секция [ssh] отвечает за защиту SSH от повторяющихся неудачных попыток авторизации на SSH–сервере, проще говоря, «brute–force».

-----------------------------------------------------------------

[DEFAULT]

ignoreip = 127.0.0.1/8

bantime = 600

maxretry = 3

banaction = iptables-multiport

-----------------------------------------------------------------

[ssh]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/auth.log

maxretry = 6

-----------------------------------------------------------------

Параметры из секции [DEFAULT] применяются ко всем остальным секциям, если не будут переопределены.

Секция [ssh] отвечает за защиту SSH от повторяющихся неудачных попыток авторизации на SSH–сервере, проще говоря, «brute–force».

Подробнее по каждому из основных параметров файла jail.conf:

-----------------------------------------------------------------
ignoreip — IP–адреса, которые не должны быть заблокированы. Можно задать список IP-адресов разделённых пробелами, маску подсети, или имя DNS–сервера.
-----------------------------------------------------------------
bantime — время бана в секундах, по истечении которого IP–адрес удаляется из списка заблокированных.
-----------------------------------------------------------------
maxretry — количество подозрительных совпадений, после которых применяется правило. В контексте [ssh] — это число неудавшихся попыток логина, после которых происходит блокировка.
-----------------------------------------------------------------
enabled — значение true указывает что данный jail активен, false выключает действие изолятора.
-----------------------------------------------------------------
port — указывает на каком порту или портах запущен целевой сервис. Стандартный порт SSH–сервера — 22, или его буквенное наименование — ssh.
-----------------------------------------------------------------
filter — имя фильтра с регулярными выражениями, по которым идёт поиск «подозрительных совпадений» в журналах сервиса. 
Фильтру sshd соответствует файл /etc/fail2ban/filter.d/sshd.conf.
-----------------------------------------------------------------
logpath — путь к файлу журнала, который программа Fail2ban будет обрабатывать с помощью заданного ранее фильтра. 
Вся история удачных и неудачных входов в систему, в том числе и по SSH, по умолчанию записывается в log–файл /var/log/auth.log.
-----------------------------------------------------------------
findtime — определяет длительность интервала в секундах, за которое событие должно повториться 
определённое количество раз, после чего санкции вступят в силу. Если специально не определить этот параметр, 
то будет установлено значение по умолчанию равное 600 (10 минут). Проблема в том, что ботнеты, участвующие 
в «медленном брутфорсе», умеют обманывать стандартное значение. Иначе говоря, при maxretry равным 6, 
атакующий может проверить 5 паролей, затем выждать 10 минут, проверить ещё 5 паролей, повторять это 
снова и снова, и его IP забанен не будет. В целом, это не угроза, но всё же лучше банить таких ботов.
-----------------------------------------------------------------

-----------------------------------------------------------------

ignoreip — IP–адреса, которые не должны быть заблокированы. Можно задать список IP-адресов разделённых пробелами, маску подсети, или имя DNS–сервера.

-----------------------------------------------------------------

bantime — время бана в секундах, по истечении которого IP–адрес удаляется из списка заблокированных.

-----------------------------------------------------------------

maxretry — количество подозрительных совпадений, после которых применяется правило. В контексте [ssh] — это число неудавшихся попыток логина, после которых происходит блокировка.

-----------------------------------------------------------------

enabled — значение true указывает что данный jail активен, false выключает действие изолятора.

-----------------------------------------------------------------

port — указывает на каком порту или портах запущен целевой сервис. Стандартный порт SSH–сервера — 22, или его буквенное наименование — ssh.

-----------------------------------------------------------------

filter — имя фильтра с регулярными выражениями, по которым идёт поиск «подозрительных совпадений» в журналах сервиса.

Фильтру sshd соответствует файл /etc/fail2ban/filter.d/sshd.conf.

-----------------------------------------------------------------

logpath — путь к файлу журнала, который программа Fail2ban будет обрабатывать с помощью заданного ранее фильтра.

Вся история удачных и неудачных входов в систему, в том числе и по SSH, по умолчанию записывается в log–файл /var/log/auth.log.

-----------------------------------------------------------------

findtime — определяет длительность интервала в секундах, за которое событие должно повториться

определённое количество раз, после чего санкции вступят в силу. Если специально не определить этот параметр,

то будет установлено значение по умолчанию равное 600 (10 минут). Проблема в том, что ботнеты, участвующие

в «медленном брутфорсе», умеют обманывать стандартное значение. Иначе говоря, при maxretry равным 6,

атакующий может проверить 5 паролей, затем выждать 10 минут, проверить ещё 5 паролей, повторять это

снова и снова, и его IP забанен не будет. В целом, это не угроза, но всё же лучше банить таких ботов.

-----------------------------------------------------------------

Рекомендации по настройке Fail2ban:

-----------------------------------------------------------------
Не рекомендуется оставлять параметр ignoreip со значением по умолчанию 127.0.0.1/8, 
это создаёт очевидную угрозу в многопользовательских системах — если злоумышленник 
получил доступ хотя–бы к одному shell–аккаунту, то он имеет возможность беспрепятственно 
запустить bruteforce–программу для атаки на root или других пользователей прямо с этого–же сервера.
-----------------------------------------------------------------
Прежде чем вносить изменения следуя рекомендациям, отметим, что не стоит редактировать основной файл настроек jail.conf, 
для этого предусмотрены файлы с расширением *.local, которые автоматически подключаются и имеют высший приоритет.
-----------------------------------------------------------------

-----------------------------------------------------------------

Не рекомендуется оставлять параметр ignoreip со значением по умолчанию 127.0.0.1/8,

это создаёт очевидную угрозу в многопользовательских системах — если злоумышленник

получил доступ хотя–бы к одному shell–аккаунту, то он имеет возможность беспрепятственно

запустить bruteforce–программу для атаки на root или других пользователей прямо с этого–же сервера.

-----------------------------------------------------------------

Прежде чем вносить изменения следуя рекомендациям, отметим, что не стоит редактировать основной файл настроек jail.conf,

для этого предусмотрены файлы с расширением *.local, которые автоматически подключаются и имеют высший приоритет.

-----------------------------------------------------------------

Дополнительно:

nano /etc/fail2ban/jail.local
-----------------------------------------------------------------
[DEFAULT]
## Постоянный IP-адрес.
## Если не переопределить ignoreip здесь,
## то стоит закомментировать этот параметр в jail.conf.
ignoreip = 57.66.158.131
-----------------------------------------------------------------
[ssh]
## если в течении 1 часа:
findtime = 3600
## произведено 6 неудачных попыток логина:
maxretry = 6
## то банить IP на 24 часа:
bantime = 86400
-----------------------------------------------------------------
[ssh-ddos]
enabled = true
port 	= ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 2
-----------------------------------------------------------------
[ssh] - еще и отправка на email
enabled = true
port 	= ssh
filter = sshd
action = iptables[name=sshd, port=ssh, protocol=tcp]
	sendmail-whois[name=ssh, dest=****@yandex.ru, sender=fail2ban@***.ru]
logpath = /var/log/auth.log
maxretry = 3
bantime = 600
-----------------------------------------------------------------
[postfix] - Защита почтового сервера
enabled = true
port 	= smtp,ssmtp,submission
action = iptables[name=Postfix-smtp, port=smtp, protocol=tcp]
filter = postfix
logpath = /var/log/mail.log
bantime = 86400
maxretry = 3
findtime = 3600
ignoreip = 127.0.0.1
-----------------------------------------------------------------
[sasl] - Защита почтового сервера
enabled = true
port 	= smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter = postfix-sasl
action = iptables[name=Postfix-smtp, port=smtp, protocol=tcp]
logpath = /var/log/mail.log
bantime = 86400
maxretry = 3
findtime = 3600
-----------------------------------------------------------------
[dovecot] - Защита почтового сервера
enabled = true
port = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
action = iptables-multiport[name=dovecot-pop3imap,port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 3
findtime = 3600
bantime = 86400
-----------------------------------------------------------------
[roundcube-auth] - Защита почтового сервера
enabled = true
filter = roundcube-auth
port 	= http,https
logpath = /var/log/mail.log
action = iptables-multiport[name=roundcube, port="http,https"]
bantime = 86400
maxretry = 3
findtime = 3600
-----------------------------------------------------------------
[apache] - Защита веб-сервера (apache)
enabled = true
port 	= http,https
filter = apache-auth
logpath = /var/log/apache2/error.log
maxretry = 3
-----------------------------------------------------------------
[apache-multiport] - Защита веб-сервера (apache)
enabled = true
port 	= http,https
filter 	= apache-auth
logpath = /var/log/apache2/error.log
maxretry = 3
-----------------------------------------------------------------
[apache-noscript] - Защита веб-сервера (apache)
enabled = true
port 	= http,https
filter = apache-noscript
logpath = /var/log/apache2/error.log
maxretry = 3
-----------------------------------------------------------------
[apache-overflows] - Защита веб-сервера (apache)
enabled = true
port 	= http,https
filter = apache-overflows
logpath = /var/log/apache2/error.log
maxretry = 2
-----------------------------------------------------------------
[vsftpd] - Защита FTP сервера
enabled = true
port 	= ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
action = iptables[name=VSFTPD, port=21, protocol=tcp]
bantime = 600
maxretry = 3
findtime = 1800
-----------------------------------------------------------------

100

101

102

103

104

105

106

107

108

109

110

111

112

nano /etc/fail2ban/jail.local

-----------------------------------------------------------------

[DEFAULT]

## Постоянный IP-адрес.

## Если не переопределить ignoreip здесь,

## то стоит закомментировать этот параметр в jail.conf.

ignoreip = 57.66.158.131

-----------------------------------------------------------------

[ssh]

## если в течении 1 часа:

findtime = 3600

## произведено 6 неудачных попыток логина:

maxretry = 6

## то банить IP на 24 часа:

bantime = 86400

-----------------------------------------------------------------

[ssh-ddos]

enabled = true

port = ssh

filter = sshd-ddos

logpath = /var/log/auth.log

maxretry = 2

-----------------------------------------------------------------

[ssh] - еще и отправка на email

enabled = true

port = ssh

filter = sshd

action = iptables[name=sshd, port=ssh, protocol=tcp]

sendmail-whois[name=ssh, dest=****@yandex.ru, sender=fail2ban@***.ru]

logpath = /var/log/auth.log

maxretry = 3

bantime = 600

-----------------------------------------------------------------

[postfix] - Защита почтового сервера

enabled = true

port = smtp,ssmtp,submission

action = iptables[name=Postfix-smtp, port=smtp, protocol=tcp]

filter = postfix

logpath = /var/log/mail.log

bantime = 86400

maxretry = 3

findtime = 3600

ignoreip = 127.0.0.1

-----------------------------------------------------------------

[sasl] - Защита почтового сервера

enabled = true

port = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s

filter = postfix-sasl

action = iptables[name=Postfix-smtp, port=smtp, protocol=tcp]

logpath = /var/log/mail.log

bantime = 86400

maxretry = 3

findtime = 3600

-----------------------------------------------------------------

[dovecot] - Защита почтового сервера

enabled = true

port = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s

filter = dovecot

action = iptables-multiport[name=dovecot-pop3imap,port="pop3,pop3s,imap,imaps", protocol=tcp]

logpath = /var/log/mail.log

maxretry = 3

findtime = 3600

bantime = 86400

-----------------------------------------------------------------

[roundcube-auth] - Защита почтового сервера

enabled = true

filter = roundcube-auth

port = http,https

logpath = /var/log/mail.log

action = iptables-multiport[name=roundcube, port="http,https"]

bantime = 86400

maxretry = 3

findtime = 3600

-----------------------------------------------------------------

[apache] - Защита веб-сервера (apache)

enabled = true

port = http,https

filter = apache-auth

logpath = /var/log/apache2/error.log

maxretry = 3

-----------------------------------------------------------------

[apache-multiport] - Защита веб-сервера (apache)

enabled = true

port = http,https

filter = apache-auth

logpath = /var/log/apache2/error.log

maxretry = 3

-----------------------------------------------------------------

[apache-noscript] - Защита веб-сервера (apache)

enabled = true

port = http,https

filter = apache-noscript

logpath = /var/log/apache2/error.log

maxretry = 3

-----------------------------------------------------------------

[apache-overflows] - Защита веб-сервера (apache)

enabled = true

port = http,https

filter = apache-overflows

logpath = /var/log/apache2/error.log

maxretry = 2

-----------------------------------------------------------------

[vsftpd] - Защита FTP сервера

enabled = true

port = ftp,ftp-data,ftps,ftps-data

filter = vsftpd

logpath = /var/log/vsftpd.log

action = iptables[name=VSFTPD, port=21, protocol=tcp]

bantime = 600

maxretry = 3

findtime = 1800

-----------------------------------------------------------------

nginx:

[nginx-http-auth]
enabled  = true
filter   = nginx-http-auth
port     = http,https
logpath  = /var/log/nginx/error.log

[nginx-noscript]
enabled  = true
port     = http,https
filter   = nginx-noscript
logpath  = /var/log/nginx/access.log
maxretry = 6

[nginx-badbots]
enabled  = true
port     = http,https
filter   = nginx-badbots
logpath  = /var/log/nginx/access.log
maxretry = 2

[nginx-404]
enabled	 = true
port	 = http
filter	 = nginx-404
logpath	 = /var/log/nginx/access.log
findtime = 600
maxretry = 5

[nginx-http-auth]

enabled = true

filter = nginx-http-auth

port = http,https

logpath = /var/log/nginx/error.log

[nginx-noscript]

enabled = true

port = http,https

filter = nginx-noscript

logpath = /var/log/nginx/access.log

maxretry = 6

[nginx-badbots]

enabled = true

port = http,https

filter = nginx-badbots

logpath = /var/log/nginx/access.log

maxretry = 2

[nginx-404]

enabled = true

port = http

filter = nginx-404

logpath = /var/log/nginx/access.log

findtime = 600

maxretry = 5

Проверка работы фильтра:

fail2ban-regex /var/NAME_LOG.log /etc/fail2ban/filter.d/NAME_FILTER.conf
fail2ban-regex /var/NAME_LOG.log /etc/fail2ban/filter.d/NAME_FILTER.conf --print-all-matched

1 2	fail2ban-regex /var/NAME_LOG.log /etc/fail2ban/filter.d/NAME_FILTER.conf fail2ban-regex /var/NAME_LOG.log /etc/fail2ban/filter.d/NAME_FILTER.conf --print-all-matched

Выполнить разбан(unban ip):

iptables –L - ознакомится с правилами iptables
iptables --list-rules - ознакомится с правилами iptables
iptables -S - ознакомится с правилами iptables
fail2ban-client set JAIL unbanip IP - разблокировать IP
fail2ban-client set ssh-iptables unbanip 1.1.1.1 - разблокировать IP

iptables –L - ознакомится с правилами iptables

iptables --list-rules - ознакомится с правилами iptables

iptables -S - ознакомится с правилами iptables

fail2ban-client set JAIL unbanip IP - разблокировать IP

fail2ban-client set ssh-iptables unbanip 1.1.1.1 - разблокировать IP

Файл логов (LOG):

cat /var/log/fail2ban.log - показать содержимое лог файла 
tail -f /var/log/fail2ban.log - наблюдать за файлом 
fail2ban-client status - посмотреть статус fail2ban
fail2ban-client status NAME_JAIL  - посмотреть статус NAME_JAIL

cat /var/log/fail2ban.log - показать содержимое лог файла

tail -f /var/log/fail2ban.log - наблюдать за файлом

fail2ban-client status - посмотреть статус fail2ban

fail2ban-client status NAME_JAIL - посмотреть статус NAME_JAIL

Список забаненных:

cat /var/log/fail2ban.log |grep Ban

1	cat /var/log/fail2ban.log \|grep Ban

Ручной бан:

fail2ban-client set [name-of-jail] banip [ip-address] - ручной бан
fail2ban-client set NAME_JAIL banip 1.1.1.1 - ручной бан

1 2	fail2ban-client set [name-of-jail] banip [ip-address] - ручной бан fail2ban-client set NAME_JAIL banip 1.1.1.1 - ручной бан

Разбан:

fail2ban-client set NAME_JAIL unbanip 1.1.1.1 - разбанить

1	fail2ban-client set NAME_JAIL unbanip 1.1.1.1 - разбанить

Пример разбана:

Первый вариант удаляем из iptables:
-----------------------------------
iptables -L -n - проверяем фаервол (смотрим цепочки)
fail2ban-client status - смотрим список правил fail2ban
fail2ban-client status ssh - смотрим баны в списке
iptables -D fail2ban-ssh -s xxx.yyy.zzz.www -j DROP - удалить из таблицы fail2ban-ssh ip
-----------------------------------

Второй вариант удаляем из iptables:
-----------------------------------
iptables -L -n --line-numbers
iptables -D asterisk-iptables 3
-----------------------------------

Третий вариант удаляем из fail2ban:
-----------------------------------
fail2ban-client status ssh - смотрим баны в списке
fail2ban-client set ssh unbanip 192.168.15.50 - разбанить
#fail2ban-client get ssh actionunban 192.168.15.50 - разбанить
-----------------------------------

Первый вариант удаляем из iptables:

-----------------------------------

iptables -L -n - проверяем фаервол (смотрим цепочки)

fail2ban-client status - смотрим список правил fail2ban

fail2ban-client status ssh - смотрим баны в списке

iptables -D fail2ban-ssh -s xxx.yyy.zzz.www -j DROP - удалить из таблицы fail2ban-ssh ip

-----------------------------------

Второй вариант удаляем из iptables:

-----------------------------------

iptables -L -n --line-numbers

iptables -D asterisk-iptables 3

-----------------------------------

Третий вариант удаляем из fail2ban:

-----------------------------------

fail2ban-client status ssh - смотрим баны в списке

fail2ban-client set ssh unbanip 192.168.15.50 - разбанить

#fail2ban-client get ssh actionunban 192.168.15.50 - разбанить

-----------------------------------

Добавить игнорирование IP

fail2ban-client get JAIL_NAME  ignoreip - показать игнорируемые IP в JAIL_NAME 
fail2ban-client set JAIL_NAME addignoreip 10.14.16.10 - добавить в список игнорируемых ip (10.14.16.10) в JAIL_NAME
fail2ban-client set JAIL_NAME unbanip 10.14.16.10 - разблокировать ip (10.14.16.10) из JAIL_NAME

fail2ban-client get JAIL_NAME ignoreip - показать игнорируемые IP в JAIL_NAME

fail2ban-client set JAIL_NAME addignoreip 10.14.16.10 - добавить в список игнорируемых ip (10.14.16.10) в JAIL_NAME

fail2ban-client set JAIL_NAME unbanip 10.14.16.10 - разблокировать ip (10.14.16.10) из JAIL_NAME

Свой фильтр:

nano  /etc/fail2ban/jail.conf
-----------------------------------------------------------------
[redmine]
enabled  = true
filter   = redmine
port     = 80,443
#backend  = polling
action   = iptables-allports[name=redmine]
logpath  = /var/log/redmine/default/production.log
maxretry = 5
findtime = 7320
bantime  = 7320
-----------------------------------------------------------------
nano /etc/fail2ban/filter.d/redmine.conf
-----------------------------------------------------------------
# redmine configuration file
# Author: David Siewert
# $Revision$
[Definition]
failregex = Failed [-/\w]+ for .* from <HOST>
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
# Source:
#http://www.fail2ban.org/wiki/index.php/MANUAL_0_8
-----------------------------------------------------------------
проверка синтаксиса:
-----------------------------------------------------------------
fail2ban-regex /var/log/redmine/default/production.log /etc/fail2ban/filter.d/redmine.conf 
-----------------------------------------------------------------

nano /etc/fail2ban/jail.conf

-----------------------------------------------------------------

[redmine]

enabled = true

filter = redmine

port = 80,443

#backend = polling

action = iptables-allports[name=redmine]

logpath = /var/log/redmine/default/production.log

maxretry = 5

findtime = 7320

bantime = 7320

-----------------------------------------------------------------

nano /etc/fail2ban/filter.d/redmine.conf

-----------------------------------------------------------------

# redmine configuration file

# Author: David Siewert

# $Revision$

[Definition]

failregex = Failed [-/\w]+ for .* from <HOST>

# Option: ignoreregex

# Notes.: regex to ignore. If this regex matches, the line is ignored.

# Values: TEXT

ignoreregex =

# Source:

#http://www.fail2ban.org/wiki/index.php/MANUAL_0_8

-----------------------------------------------------------------

проверка синтаксиса:

-----------------------------------------------------------------

fail2ban-regex /var/log/redmine/default/production.log /etc/fail2ban/filter.d/redmine.conf

-----------------------------------------------------------------