Кровельные материалы в Крыму

[iso]

Когда понадобилось в DD-WRT закрыть порты, которые я обычно закрываю на маршрутизаторе, то оказалось, что для этого надо написать код. Я написал такой:

Код: Выделить всё

iptables -N bad_tcp_packets
iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A OUTPUT -p tcp -j bad_tcp_packets
iptables -A FORWARD -p tcp -j bad_tcp_packets

iptables -I OUTPUT -p tcp -o eth1 -m multiport --sport 69,135,137:139,445,1025:1026,3389,4444,5000 -j DROP
iptables -I OUTPUT -p udp -o eth1  -m multiport --sport 69,135,137:139,445,1025:1026,3389,4444,5000 -j DROP
iptables -I INPUT -p tcp -i eth1 -m multiport --dport 0:1024,21,23,25,69,80,135:139,161,254:255,445,1025:1026 -j DROP
iptables -I INPUT -p tcp -i eth1 -m multiport --dport 3128,3389,4444,5000,8080 -j DROP
iptables -I INPUT -p udp -i eth1 -m multiport --dport 0:1024,69,135:139,161,445,1025:1026,3389,4444,5000 -j DROP

Потом я нашёл инстркцию к этой утилите, и, оказалось, что можно использовать ещё полезные фильтры. В примере из той же книге есть фильтрация по заголовкам пакетов.

Код: Выделить всё

iptables -n bad_tcp_packets
iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A OUTPUT -p tcp -j bad_tcp_packets
iptables -A FORWARD -p tcp -j bad_tcp_packets

Мне в этом примере не совсем понятно, какими буквами указывать критерии -i и -o (интерфейсы). Нашёл, что eth0 - внешний, а внутрь сети смотрит eth1. По локальным пока не ясно.

Если кто заинтересуется, выложите фильтры, которые создали для себя.

manual in dd-wrt native site

[Restart]

Мне в этом примере не совсем понятно, какими буквами указывать критерии -i и -o (интерфейсы). Нашёл, что eth0 - внешний, а внутрь сети смотрит eth1. По локальным пока не ясно.

Ну ты как всегда...
Почитай инструкцию по оригинальной программе
http://www.opennet.ru/docs/RUS/iptables/index.html

[iso]

ifconfig команда поможет прояснить

[Restart]

ifconfig команда поможет прояснить

Это ты к чему?

[iso]

Код: Выделить всё

по умолчанию интерфейсы выглядят следующим образом:
eth0 - 4-ч портовый свитч, выделенный в отдельный vlan1
eth1 - wl0 - 2,4 Ghz диапазон WiFi
eth2 - wl1 - 5 Ghz диапазон WiFi
vlan1 - eht0 (свитч маршрутизатора)
vlan2 - подключение к провайдеру (именно на этот интерфейс транслируется multicast stream, сюда будет назначен внутренний адрес сети провайдера)
ppp0 - виртуальный интерфейс появляющийся в момент поднятия vpn pptp к провайдеру (а здесь будет "белый" адрес Интернет)
br0 - мост объединяющий под собой интерфейсы vlan1, eth1, eth2

отсюда