Re: Китайский фильтр

#!/bin/sh -e
# Start/stop/restart the iptables
#
# Configuration options.
#
# Internet Configuration.

IP_0_1="XXX.31.XXX.21"
IFACE_0_1="eth0"
NETWORK_0_1="XXX.31.XXX.0/24"

IP_0_2="192.168.1.3"
IFACE_0_2="eth1"
NETWORK_0_2="192.168.1.0/24"

# Localhost Configuration.

LO_IFACE="lo"
LO_IP="127.0.0.1"

# IPTables Configuration.

IPTABLES="/sbin/iptables"

fr_start() {

##################
# #
# Module loading #
# #
##################

/sbin/depmod -a
/sbin/modprobe iptable_filter
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_gre
/sbin/modprobe ip_nat_pptp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_tftp
/sbin/modprobe ip_conntrack_tftp

################
# #
# /proc set up #
# #
################

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

###############
# #
# Clean rules #
# #
###############

$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -X
$IPTABLES -t nat -X

################
# #
# Filter table #
# #
################

###############
# #
# Set policies#
###############

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

###################################
# #
# Create chain for bad tcp packets#
###################################

$IPTABLES -N bad_tcp_packets

###########################################################
# #
# Create separate chains for ICMP, TCP and UDP to traverse#
###########################################################

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

########################
# #
# bad_tcp_packets chain#
########################

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

################
# #
# allowed chain#
################

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

####################
# #
# tcp_packets chain#
# #
####################

##########################################################################
# OPEN PORT'S #
# #
##########################################################################

####################
# SSH #
####################

$IPTABLES -A tcp_packets -p TCP -s 192.168.1.0/24 --dport 22 -j allowed

#####################
# udp_packets chain #
# #
# Traceroute #
#####################

$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 32769:65535 --dport 33434:33523 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 32769:65535 --dport 33434:33523 -j ACCEPT

#####################
# icmp_packets chain#
#####################
#
# echo-reqest

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

#
# echo-reply

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

##################################################################
#
# INPUT chain
#
#
#################

# Bad TCP packets we don't want.

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

# Rules for special networks not part of the Internet

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $IP_0_1 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $IP_0_2 -j ACCEPT

# Rules for incoming packets from the internet.

$IPTABLES -A INPUT -p ALL -d $IP_0_1 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $IP_0_2 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $IFACE_0_1 -j tcp_packets
$IPTABLES -A INPUT -p TCP -i $IFACE_0_2 -j tcp_packets

$IPTABLES -A INPUT -p UDP -i $IFACE_0_1 -j udp_packets
$IPTABLES -A INPUT -p UDP -i $IFACE_0_2 -j udp_packets

$IPTABLES -A INPUT -p ICMP -i $IFACE_0_1 -j icmp_packets
$IPTABLES -A INPUT -p ICMP -i $IFACE_0_2 -j icmp_packets

# Allow SIP connections

$IPTABLES -A INPUT -p udp -i eth0 --dport 5060 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i eth0 --dport 5060 -j ACCEPT
$IPTABLES -A INPUT -p udp -i eth0 --dport 10000:20000 -j ACCEPT

# Allow incoming traffic for web server

$IPTABLES -A INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 443 -j ACCEPT

#China BLOCK

$IPTABLES -A INPUT -s 119.147.116.0/24 -j DROP
$IPTABLES -A INPUT -s 117.40.0.0/14 -j DROP
$IPTABLES -A INPUT -s 59.52.0.0/14 -j DROP
$IPTABLES -A INPUT -s 61.155.0.0/16 -j DROP
$IPTABLES -A INPUT -s 219.234.81.0/24 -j DROP
$IPTABLES -A INPUT -s 121.10.137.0/24 -j DROP
$IPTABLES -A INPUT -s 60.221.0.0/16 -j DROP
$IPTABLES -A INPUT -s 133.105.152.0/24 -j DROP
$IPTABLES -A INPUT -s 193.204.255.0/24 -j DROP
$IPTABLES -A INPUT -s 67.159.63.0/24 -j DROP
$IPTABLES -A INPUT -s 216.104.35.0/24 -j DROP
$IPTABLES -A INPUT -s 109.123.86.0/24 -j DROP
$IPTABLES -A INPUT -s 91.121.0.0/16 -j DROP
$IPTABLES -A INPUT -s 63.223.0.0/16 -j DROP
$IPTABLES -A INPUT -s 184.82.0.0/16 -j DROP
$IPTABLES -A INPUT -s 188.165.192.0/24 -j DROP

#
# FORWARD chain
#
# Bad TCP packets we don't want

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

###
#IP_0_1

$IPTABLES -A FORWARD -s XXX.31.XXX.0/24 -j ACCEPT
$IPTABLES -A FORWARD -d XXX.31.XXX.0/24 -j ACCEPT

#IP_0_2

$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT

# Accept the packets we actually want to forward

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

################
# OUTPUT chain
################

$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Bad TCP packets we don't want.

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

# Special OUTPUT rules to decide which IP's to allow.

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $IP_0_1 -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $IP_0_2 -j ACCEPT

}

fr_stop() {

###############
# #
# Clean rules #
# #
###############

$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -X
$IPTABLES -t nat -X

################
# #
# Filter table #
# #
################
#
# Set policies
#

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

}



fr_restart() {
fr_stop
sleep 1
fr_start
}

case "$1" in

'start')

fr_start

;;

'stop')

fr_stop

;;

'restart')

fr_restart

;;

*)

echo "usage $0 start|stop|restart"

esac

Re: Китайский фильтр

justbox:

#China BLOCK

$IPTABLES -A INPUT -s 119.147.116.0/24 -j DROP
$IPTABLES -A INPUT -s 117.40.0.0/14 -j DROP
$IPTABLES -A INPUT -s 59.52.0.0/14 -j DROP
$IPTABLES -A INPUT -s 61.155.0.0/16 -j DROP
$IPTABLES -A INPUT -s 219.234.81.0/24 -j DROP
$IPTABLES -A INPUT -s 121.10.137.0/24 -j DROP
$IPTABLES -A INPUT -s 60.221.0.0/16 -j DROP
$IPTABLES -A INPUT -s 133.105.152.0/24 -j DROP
$IPTABLES -A INPUT -s 193.204.255.0/24 -j DROP
$IPTABLES -A INPUT -s 67.159.63.0/24 -j DROP
$IPTABLES -A INPUT -s 216.104.35.0/24 -j DROP
$IPTABLES -A INPUT -s 109.123.86.0/24 -j DROP
$IPTABLES -A INPUT -s 91.121.0.0/16 -j DROP
$IPTABLES -A INPUT -s 63.223.0.0/16 -j DROP
$IPTABLES -A INPUT -s 184.82.0.0/16 -j DROP
$IPTABLES -A INPUT -s 188.165.192.0/24 -j DROP

Re: Китайский фильтр

Re: Китайский фильтр

Re: Китайский фильтр

Re: Китайский фильтр

Re: Китайский фильтр

SAPRO:

Evgen: Как же 100-200, если сканят с полутора тысяч адресов? Или с каждого адреса 100-200?

Re: Китайский фильтр

Evgen:

1) Перевесить сервисы на нестандартные порты.
2) Если сети, с которых к вам будут производиться подключения, известны, то сделать им ACCEPT, а всем остальным DROP, в терминах iptables.
3) Использовать условия deny и permit в описаниях пиров и юзеров.

В общем, стандартные схемы безопасности.

Re: Китайский фильтр

Re: Китайский фильтр