Я попробывал посторить защиту от"интернет". Всё логирую и блокирую. Со стороны интернета (по входу) всё заблокировано. FORWARD по выходу с eth0 заперт. вот какие команды попробывал смонтировать с разных источников:

//Задаем политику, все пакеты сбрасываем:
sudo iptables –P INPUT DROP
sudo iptables –P FORWARD DROP
sudo iptables –P OUTPUT DROP
//Разрешаем прохождение любого трафика по интерфейсу обратной петли:
sudo iptables -A INPUT –I lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
//Разрешение прохождения пакетов IPSec:
sudo iptables -A FORWARD -p 50 -j ACCEPT
sudo iptables -A FORWARD -p 51 -j ACCEPT
//Разрешение пакетов из локальной сети:
sudo iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT
//Pазрешение пакетов из головного офиса:
sudo iptables -A FORWARD -s 33.33.33.33 -j ACCEPT
//«Поднятие» NAT:
sudo iptables -t nat -A POSTROUTING -o eth1 MASQUERADE

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
sudo iptables -A FORWARD -o eth0 -p tcp -j DROP

//Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру
sudo iptables -A INPUT -m state ! -i lo --state NEW -j DROPT
//Если интерфейс не lo, то запрещаем входить в список его адресов
sudo iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROPT
//Открываем со  стороны локальной сети пользователей в интернет (по всем портам)
sudo iptables -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33
sudo iptables -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33

но здесь что-то не то, правильно ли это? получается я два раза блокирую FORWARD!!!! Подскажите кто сможет!!!! И что значит строчки FIN,SYN,ACK SYN????

• защита с iptables,angra, 01:03 , 30-Май-08
  • защита с iptables,Игорь, 07:22 , 30-Май-08
    • защита с iptables,hate, 08:33 , 30-Май-08
      • защита с iptables,reader, 10:42 , 30-Май-08
        • защита с iptables,Игорь, 17:32 , 30-Май-08
    • iptables? защита?,Andrey Mitrofanov, 17:48 , 30-Май-08
      • бесплатные образцы: firehol,Andrey Mitrofanov, 18:26 , 30-Май-08

Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что в начале нужно читать руководство?

>Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что
>в начале нужно читать руководство?

ИМХО, для того и форум что б обсудить нормально, а такое мнения типа "обезьяна с гранатой" прошу при себе держать!!!

>>Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что
>>в начале нужно читать руководство?
>
>ИМХО, для того и форум что б обсудить нормально, а такое мнения
>типа "обезьяна с гранатой" прошу при себе держать!!!

  Уйди в туман... И возьми с собой хендбук.

без обид , но вам нужно сначало почитать
http://www.opennet.me/docs/RUS/iptables
там есть примеры. Потом найти генераторы правил и посмотреть как они их составляют.
Иначе нужно либо за вас все написать , либо долго все разжевывать для вас. Когда начнете понимать принципы и останутся нюансы, вам ответят, но не сделают за вас.

да  я уже разобрался и подправил, просто завтра сдавтаь мне надо, думал кто подскажет если есть ошибки, а тут такие же как и я сидят, только умеют аскорбялть или писать ссылки на другие источники, будто я от трубы взял и написал, само собой я не просто так это взял !!!

>>Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что
>>в начале нужно читать руководство?
>ИМХО, для того и форум что б обсудить нормально, а такое мнения
>типа "обезьяна с гранатой" прошу при себе держать!!!

Ещё раз: то, что заявлялось "изустно", и то, что написано в скрипте для iptables, отличается столь же разительно, как граната и апельсин.

Давай пригласим скучающую публику прокомментировать твой несколько %) пере-упорядоченный "пример"? :))

 1.> -P OUTPUT DROP
 2.> -A OUTPUT -o lo -j ACCEPT
 3.> -P FORWARD DROP
 4.> -A FORWARD -p 50 -j ACCEPT
 5.> -A FORWARD -p 51 -j ACCEPT
 6.> -A FORWARD -s 192.168.4.0/24 -j ACCEPT
 7.> -A FORWARD -s 33.33.33.33 -j ACCEPT
 8.> -A FORWARD -o eth0 -p tcp -j DROP
 9.> -P INPUT DROP
10.> -A INPUT -I lo -j ACCEPT
11.> -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN
 -j LOG --log-level 7 --log-tcp-options
12.> -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN
 -j REJECT --reject-with icmp-port-unreachable
13.> -A INPUT -m state ! -i lo --state NEW -j DROPT
14.> -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROPT
15.> -t nat -A POSTROUTING -o eth1 MASQUERADE
16.> -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33
17.> -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33

>Давай пригласим скучающую публику прокомментировать твой несколько %) пере-упорядоченный "пример"? :))

Воспользуемся самым %) конструктивным советом - "найти генераторы правил и посмотреть как они их составляют" - и перепишем следующую часть исходных айпи-таблиц %) --

> 3.> -P FORWARD DROP
> 4.> -A FORWARD -p 50 -j ACCEPT
> 5.> -A FORWARD -p 51 -j ACCEPT
> 6.> -A FORWARD -s 192.168.4.0/24 -j ACCEPT
> 9.> -P INPUT DROP
>15.> -t nat -A POSTROUTING -o eth1 MASQUERADE

-- на язык генератора правил firehol:

version 5
    NET="192.168.4.0/24"
router users inface "eth0" outface "eth1" src "$NET"
    masquerade
    client "AH ESP" accept

И сравним (пере-упорядоченные руками) сгенерённые им правила с исходными:

-A FORWARD -i eth0 -o eth1 -s 192.168.4.0/24 -j in_users
-A FORWARD -i eth1 -o eth0 -d 192.168.4.0/24 -j out_users
-N in_users
-A in_users -j in_users_AH_c1
-A in_users -j in_users_ESP_c2
-N in_users_AH_c1
-A in_users_AH_c1 -p 51 -m state --state ESTABLISHED -j ACCEPT
-N in_users_ESP_c2
-A in_users_ESP_c2 -p 50 -m state --state ESTABLISHED -j ACCEPT
-N out_users
-A out_users -j out_users_AH_c1
-A out_users -j out_users_ESP_c2
-N out_users_AH_c1
-A out_users_AH_c1 -p 51 -m state --state NEW\,ESTABLISHED -j ACCEPT
-N out_users_ESP_c2
-A out_users_ESP_c2 -p 50 -m state --state NEW\,ESTABLISHED -j ACCEPT
-t nat -A POSTROUTING -o eth1 -j MASQUERADE