tify"> # ICMP rules
#
$ IPTABLES -N icmp_packets
$ IPTABLES -A icmp_packets -i $ INET_IFACE -p ICMP -j DROP
$ IPTABLES -A icmp_packets -i $ LAN_IFACE -p ICMP -s $ LAN_IP_RANGE -j ACCEPT
#
# Rules for special networks not part of the Internet
#
$ IPTABLES -A INPUT -p ALL -i $ LAN_IFACE -s $ LAN_IP_RANGE -j ACCEPT
$ IPTABLES -A INPUT -p ALL -i $ LO_IFACE -s $ LO_IP -j ACCEPT
$ IPTABLES -A INPUT -p ALL -i $ LO_IFACE -s $ LAN_IP -j ACCEPT
$ IPTABLES -A INPUT -p ALL -i $ LO_IFACE -s $ INET_IP -j ACCEPT
Це правило відповідає за трафік який йде з мережі інтернет, залежно від протоколу йде переключенню на відповідну ланцюжок
#
# Rules for incoming packets from the internet.
#
$ IPTABLES -A INPUT -p ALL -d $ INET_IP -m state -state ESTABLISHED, RELATED -j ACCEPT
$ IPTABLES -A INPUT -p TCP -i $ INET_IFACE -j bad_tcp_packets
$ IPTABLES -A INPUT -p ICMP -i $ INET_IFACE -j icmp_packets
#
# FORWARD chain
# Bad TCP
#
$ IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
# OUTPUT chain
# Bad TCP
#
$ IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
# Special OUTPUT rules to decide which IP's to allow.
#
$ IPTABLES -A OUTPUT -p ALL -s $ LO_IP -j ACCEPT
$ IPTABLES -A OUTPUT -p ALL -s $ LAN_IP -j ACCEPT
$ IPTABLES -A OUTPUT -p ALL -s $ INET_IP -j ACCEPT
Тут задаємо правила доступу для створення VPN шлюзу.
#
# Internet IPsec connect
# key
$ IPTABLES -A INPUT -p udp --sport 500 --dport 500 -s $ IP_FIL -j ACCEPT
$ IPTABLES -A OUTPUT -p udp --sport 500 --dport 500 -d $ IP_FIL -j ACCEPT
# esp
$ IPTABLES -A INPUT -p 50 -s $ IP_FIL-j ACCEPT
$ IPTABLES -A OUTPUT -p 50 -d $ IP_FIL -j ACCEPT
# ah
$ IPTABLES -A INPUT -p 51 -s $ IP_FIL -j ACCEPT
$ IPTABLES -A OUTPUT -p 51 -d $ IP_FIL -j ACCEPT
Дозволяємо доступ Проксі сервера в мережу інтернет.
#
# PRX to Internet
#
$ IPTABLES -A FORWARD -i $ LAN_IFACE -s $ LAN_PROXY_IP -o $ INET_IFACE -j ACCEPT
Дозволяємо доступ Термінал сервера в локальну мережу.
#
# TSRV to LAN
#
$ IPTABLES -A FORWARD -i $ LAN_VIFACE -o $ LAN_IFACE -d $ BASE_IP -j ACCEPT
$ IPTABLES -A FORWARD -i $ LAN_VIFACE -o $ LAN_IFACE -d $ DOMEN_IP -j ACCEPT
} $ 1 in) echo -n Starting _fw .
;;) echo -n Stopping -F-X .
;;) echo -n Saving save gt;/etc/rules-savelaquo;.raquo;
;;) echo -n Restarting -FX/etc/rules-save | iptables-restore . [C
;;
*) echo Usage: iptables start | stop | save | restart
exit 1
;; 0
Додаток 2
Захист інформації в IP мережах
Конфігурація VPN шлюзу
# /etc/ipsec.conf - конфігураційний файл FreeS/WAN
# Приклади конфігураційних файлів знаходяться в каталозі
# doc/examples вихідних кодов.setup
# Мережевий інтерфейс, використовуваний IPSec= IPSEC0=eth0
# Заборона на видачу налагоджувальних повідомлень
# all - включення видачі налагоджувальних повідомлень=none=none
# Автоматична установка з'єднань і аутентифікація
# при запуску IPSec =% search =% search
# Параметри з'єднання між локальними мережами
# Назва з'єднання (довільна рядок) Moscow_Fil
# Вихідні дані для шлюзу в ...
