Pomoc W Iptables Może Ktoś Sprawdzić (_regóły_ → reguły) ORT ?

[samba]

Witam

 

Może ktoś sprawdzić ewentualnie pomóc "dozbroić" firewalla tak aby nmap nie przedzierał się przez niego. Chcę go niedługo wrzucić na produkcję więc muszę mieć pewność że w 100% będzie bezpieczny i ok. Jak sprawdzacie poprawność oraz bezpieczeństwo swoich iptables ?

 

eth0 =WAN 192.168.1.1

eth1 =LAN 192.168.0.1 na tym interfejsie działa squid transparent działa przekierowanie ruchu 80 na port 8080 dla klientów LAN aby używali proxy.

 

Chcę też przekierować pulpit zdalny RDP na dane IP .

Jaka powinna być prawidłowa reguła która nie przekierowuje portu 80 na 8080 dla danego ip powiedzmy 192.168.0.6

 

#!/bin/sh
modprobe ip_nat
modprobe ip_conntrack_ftp
modprobe ip_conntrack
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p icmp -m limit --limit 2/sec -j ACCEPT

# czy włączyc input dla lo ? jak pozbyc sie aby nmap nie widzial rpcbind 111 tcp  
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A FORWARD -o lo -j ACCEPT

#  to poniżej jest ok czy konfiguracja jest "za luźna " ?
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT 

#Udostępnienia RDP tak to powinno byc ?
#iptables -A FORWARD -s 192.168.0.3/24 -p tcp --dport 3389 -j ACCEPT
#czy tak ?
iptables -A nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.6:3389

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 która reguła przekierowująca jest lepsza ta czy poniższa ?

iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j DNAT --to 192.168.0.1:8080
# czy poniższa reguła jest potrzebna ?
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 192.168.1.2

########################################################
# inne warianty nat
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:8080
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 192.168.0.1
#iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.0.0/24 -d! 191.168.0.1 -j REDIRECT --to-port 8080