iptables

[Singer]

Ребят в иптейблс дебиан не бубу, так вот подскажет кто пару вопросов.
1. нужно открыть возможность качать сборке лицнзию с сайта.ру
2. разрешить доступ своему сайту для реги итд
3. пробовал ставить правила на впс, доходит до выбора сервера и тишина.
сервер привязан на логин.сервер.ру
правила

Спойлер: правила

#!/bin/sh
IPT=/sbin/iptables
UNIPORTS="1024:65535"
INET_IFACE="eth0"

$IPT -F
$IPT -X
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22-j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 2106-j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 3306-j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 7777-j ACCEPT
$IPT -A INPUT -p ICMP -i eth0 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353--sport 53-j ACCEPT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport 1024:65535-j ACCEPT --sports 80,443!--syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65535--sport 21-j ACCEPT !--syn
$IPT -A INPUT -i eth0 -p tcp --dport 2106-m state --state NEW -m connlimit --connlimit-above 20-j REJECT
$IPT -P INPUT DROP

 

[StAnger]

По сути все верно имей в виду последовательность строк тоже имеет значение, а так же оно не спасет тебя от забивания канала

а зачем тебе
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353--sport 53-j ACCEPT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport 1024:65535-j ACCEPT --sports 80,443!--syn
на сервере есть веб сервер и днс сервер можешь вапще убрать эти строки

 

[Hook]

connlimit?
Я вас разочарую. Это глупый ход. С такими правилами канал сервера авторизации забьют и никто не зайдет.
На игровой вообще не вздумайте такие правила ставить.
А именно: $IPT -A INPUT -i eth0 -p tcp --dport **** -m state --state NEW -m connlimit --connlimit-above 20-j REJECT

Предлагаю сделать так. Думаю идея вам понятна.
Если будут вопросы по поводу правил, задавайте.

******
iptables -A INPUT-p tcp --dport 7777 -m iplimit --iplimit-above 30 -j REJECT
iptables -A INPUT-p tcp --dport 2106 -m iplimit --iplimit-above 5 -j REJECT
******
iptables -I INPUT -p tcp --syn --dport 7777 -j DROP -m connlimit --connlimit-above 20
iptables -I INPUT -p tcp --syn --dport 2106 -j DROP -m connlimit --connlimit-above 10
******
iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -o eth0 -p tcp -j DROP
******

P.s Я бы поигрался еще с -above. Это уже на ваш вкус и лад.

 

[Singer]

Я просто в этом деле совсем уж ничего не понимаю, как придавило вот и начал разбираться

 

[Singer]

Спойлер: rules

#!/bin/sh
IPT=/sbin/iptables
UNIPORTS="1024:65535"
INET_IFACE="eth0"

$IPT -F
$IPT -X
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 2106 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 7777 -j ACCEPT
$IPT -A INPUT -p ICMP -i eth0 -j ACCEPT
$IPT -A INPUT-p tcp --dport 7777 -m iplimit --iplimit-above 30 -j REJECT
$IPT -A INPUT-p tcp --dport 2106 -m iplimit --iplimit-above 5 -j REJECT
$IPT -I INPUT -p tcp --syn --dport 7777 -j DROP -m connlimit --connlimit-above 20
$IPT -I INPUT -p tcp --syn --dport 2106 -j DROP -m connlimit --connlimit-above 10
$IPT -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
$IPT -A FORWARD -o eth0 -p tcp -j DROP

Кто подскажет такое пойдет?