Я попробывал посторить защиту от"интернет". Всё логирую и блокирую. Со стороны интернета (по входу) всё заблокировано. FORWARD по выходу с eth0 заперт. вот какие команды попробывал смонтировать с разных источников://Задаем политику, все пакеты сбрасываем:
sudo iptables –P INPUT DROP
sudo iptables –P FORWARD DROP
sudo iptables –P OUTPUT DROP
//Разрешаем прохождение любого трафика по интерфейсу обратной петли:
sudo iptables -A INPUT –I lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
//Разрешение прохождения пакетов IPSec:
sudo iptables -A FORWARD -p 50 -j ACCEPT
sudo iptables -A FORWARD -p 51 -j ACCEPT
//Разрешение пакетов из локальной сети:
sudo iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT
//Pазрешение пакетов из головного офиса:
sudo iptables -A FORWARD -s 33.33.33.33 -j ACCEPT
//«Поднятие» NAT:
sudo iptables -t nat -A POSTROUTING -o eth1 MASQUERADE
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
sudo iptables -A FORWARD -o eth0 -p tcp -j DROP
//Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру
sudo iptables -A INPUT -m state ! -i lo --state NEW -j DROPT
//Если интерфейс не lo, то запрещаем входить в список его адресов
sudo iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROPT
//Открываем со стороны локальной сети пользователей в интернет (по всем портам)
sudo iptables -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33
sudo iptables -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33
но здесь что-то не то, правильно ли это? получается я два раза блокирую FORWARD!!!! Подскажите кто сможет!!!! И что значит строчки FIN,SYN,ACK SYN????