#!/bin/bash
#
	clear
# Задаем переменую для быстрого обращения
	IPTABLES="/sbin/iptables"
        $IPTABLES -F
        $IPTABLES -X
#  Конфигурация инет интерфейса
	INET_IP="xxx.xx.xxx.xx"
	INET_IFACE="ppp0"
# Конфигурация локального интерфейса
	LAN_IP="192.168.0.123"
	LAN_IP_RANGE="192.168.0.0/24"
	LAN_IFACE="eth0"
# Loopback интерфейс
	LO_IFACE="lo"
	LO_IP="127.0.0.1"
# Задаем переменую для быстрого обращения
#	IPTABLES="/sbin/iptables"
# Генерируем зависти модулей
	/sbin/depmod -a
# Загружаем необходимые модули
        /sbin/modprobe ip_tables
        /sbin/modprobe ip_conntrack
        /sbin/modprobe iptable_filter
        /sbin/modprobe iptable_mangle
        /sbin/modprobe iptable_nat
        /sbin/modprobe ipt_LOG
        /sbin/modprobe ipt_limit
        /sbin/modprobe ipt_state
        #/sbin/modprobe ipt_owner
        #/sbin/modprobe ipt_REJECT
        #/sbin/modprobe ipt_MASQUERADE
        #/sbin/modprobe ip_conntrack_ftp
        #/sbin/modprobe ip_conntrack_irc
        #/sbin/modprobe ip_nat_ftp
        #/sbin/modprobe ip_nat_irc
#  Включаем маршрутизацию пакетов
        echo "1" > /proc/sys/net/ipv4/ip_forward
        #echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
        #echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
        #echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# Установка политик по умолчанию
        $IPTABLES -P INPUT DROP
        $IPTABLES -P OUTPUT DROP
        $IPTABLES -P FORWARD DROP
# удаляем все имеющиеся правила
# МОЖЕТ ЭТО НАДО НАВЕРХ В САМОЕ НАЧАЛО СКРИПТА???
        $IPTABLES -F
	$IPTABLES -X
# создаем свои цепочки
# отбрасываем tcp с неправильными флагами
         $IPTABLES -N bad_tcp_packets
# tcp, прошедшие основную проверку
#         $IPTABLES -N allowed
# все пакеты соотв. протоколов
        $IPTABLES -N icmp_packets
# пакеты из локальной сети
	$IPTABLES -N fromlan-to-server	
# TCP пакеты из инета на сервер
	$IPTABLES -N TCP-from-inet-to-server	

# UDP пакеты из инета на сервер
	$IPTABLES -N UDP-from-inet-to-server	



# безусловно разрешаем соединения по локальному интерфейсу (loopback,  127 . 0 . 0 . 1 )
#         $IPTABLES -A INPUT -i lo -j ACCEPT
#         $IPTABLES -A OUTPUT -o lo -j ACCEPT

# сюда пойдут все tcp-пакеты, и будут отброшены имеющие статус NEW, но не имеющие флагов SYN,ACK
	# предохраняет от определенных типов атак, подробности в приложении B4 к Iptables Tutorial
        $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
#	$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
	$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
	$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# сюда пойдут пакеты из локальной сети на сервер
	# на sqiud
        $IPTABLES -A fromlan-to-server -p tcp --dst $LAN_IP --src $LAN_IP_RANGE --dport 4480 -j ACCEPT
#	$IPTABLES -A fromlan-to-server -p tcp --dst $LAN_IP --src $LAN_IP_RANGE --dport 3128 -j ACCEPT
        # от меня на управление через SSH 
        $IPTABLES -A fromlan-to-server -p tcp --dst $LAN_IP --dport 22 --src 192.168.0.13 -j ACCEPT
#	$IPTABLES -A fromlan-to-server -p tcp --dst $LAN_IP --dport 22 --src 192.168.0.1 -j ACCEPT        
        # для номальной работы DHCP 
	$IPTABLES -A fromlan-to-server -p UDP --dport 67 --sport 68 -j ACCEPT
	# остальные убиваем
        $IPTABLES -A fromlan-to-server -p ALL -j DROP



# сюда пойдут паеты из инета
# UDP
#       	$IPTABLES -A UDP-from-inet-to-server -p UDP -s  0 / 0  --sport 53  -j ACCEPT
#       	$IPTABLES -A UDP-from-inet-to-server -j DROP


# TCP
# принимаем все пакеты, относящиеся к уже установленным соединениям
        $IPTABLES -A TCP-from-inet-to-server -p TCP --syn -j ACCEPT
        $IPTABLES -A TCP-from-inet-to-server -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
	# остальные убиваем
        $IPTABLES -A TCP-from-inet-to-server -j DROP


# настал черед ICMP
# разрешаем необходимые типы
        $IPTABLES -A icmp_packets -p ICMP -s  0 / 0  --icmp-type 3 -j ACCEPT # Dest unreachable
        $IPTABLES -A icmp_packets -p ICMP -s  0 / 0  --icmp-type 11 -j ACCEPT # Time exceeded
        $IPTABLES -A icmp_packets -p ICMP -s  0 / 0  --icmp-type 12 -j ACCEPT # Parameter problem
# и отбрасываем пинг (в принципе, он и так отбрасывается действием # по умолчанию, но это правило для возможного редактирования)
        $IPTABLES -A icmp_packets -p ICMP -s  0 / 0  --icmp-type 8 -j DROP # Ping
# следующим правилом можно заменить предыдущее, тогда при пинговании 
# нашей машины вместо сообщения о таймауте будет приходить сообщение 
# Host unreachable
#$IPTABLES -A icmp_packets -p ICMP -s  0 / 0  --icmp-type 8 -j REJECT --reject-with icmp-host-unreachable



# разводим пакеты по соотв. цепочкам
# Если из локальной сети с указанного диапазона адресов 
        $IPTABLES -A INPUT -p ALL -i $LAN_IFACE --src $LAN_IP_RANGE -j fromlan-to-server
# Для уже установленных соединений пропускаем иначе обрубаем
	$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Если из инета TCP
	# сразу отбрасываем плохие пакеты
        $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j bad_tcp_packets	
	$IPTABLES -A INPUT -p TCP -i $INET_IFACE -s $LAN_IP_RANGE -j DROP # пакеты 
	# для Loopback интерфейса. Разрешаем во все направления с сервера отправлять пакеты 
	$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
#	$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
	$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
	# для всего остального
        $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j TCP-from-inet-to-server
# Если из инета UDP
#	$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j UDP-from-inet-to-server
# Если из инета ICMP
        $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

# Для нормальной работы почты и DNS запросов (NAT)
# Цепочка FORWARD
        $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
	# Почта
	$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp  --dport 25 -j ACCEPT
	$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp  --dport 110 -j ACCEPT
	$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp  --dport 143 -j ACCEPT
	# DNS
	$IPTABLES -A FORWARD -i $LAN_IFACE -p udp --dport 53 -j ACCEPT
	# Осел входящие
#	$IPTABLES -A FORWARD -i $INET_IFACE -p tcp --sport 4662  -j ACCEPT
#	$IPTABLES -A FORWARD -i $INET_IFACE -p udp --sport 4672 -j ACCEPT
	# ---
#        $IPTABLES -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
	# а может так все-таки так
	$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
        $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
	$IPTABLES -A FORWARD -j DROP

      	# Производим сетевую трансляцию адресов (NAT)
	$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $INET_IFACE -j SNAT --to-source $INET_IP
	    
	# Для нормальной трансляции пакетов для ОСЛИКА из инета на мою тачку
	# TCP порты
#	$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_FACE --dport  4662-j DNAT --to-destination 192.168.0.13
	# UDP порты                                                     
#	$IPTABLES -t nat -A PREROUTING -p udp -i $INET_FACE --dport 4672 -j DNAT --to-destination 192.168.0.13
# Цепочка OUTPUT
       	$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#	$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -d $LAN_IP_RANGE -j ACCEPT
       	$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -d $LAN_IP_RANGE -j ACCEPT
       	$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
	$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
	$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
	$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
                   --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

#  Включаем маршрутизацию пакетов
        echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Controls IP packet forwarding
net.ipv4.ip_forward =  1 

echo "1" > /proc/sys/net/ipv4/ip_forward