debian gate часть 1
1. Стандартно устанавливаем Debian
2. Конфигурируем сетевые интерфейсы в файле
nano /etc/network/interfaces
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.250
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.150
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.1.7 192.168.1.8
dns-search anda.dc
allow-hotplug eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
3. Устанавливаем дополнительные программы
apt-get install mc ssh screen sudo
4. Отключаем ipv6
в файле /etc/modprobe.d/aliases.conf
alias net-pf-10 off
5. настраиваем файрвол.
Добавляем в файл /etc/network/interfaces строки вида
pre-up /etc/fw.sh
post-down /etc/fwstop.sh
Далее нужно создать скрипты запуска правил файрвола и не забыть сделать их исполняемыми
cat /etc/fw.sh
#!/bin/bash
INET_IP="192.168.1.250"
INET_IFACE="eth0"
LAN_IP="10.0.0.1"
LAN_IP_RANGE="10.0.0.0/24"
LAN_IFACE="eth1"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# удаляем старые правила
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F -t nat
# устанавливаем действие по умолчанию
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# SSH
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT
# 500
$IPTABLES -A INPUT -p udp --dport 500 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 500 -j ACCEPT
# ICMP
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
# разрешаем уже установленые TCP, UDP соединения
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# разрешаем прохождение всех пакетов на внутреннем интерфейсе
$IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT
# NAT
#$IPTABLES -A POSTROUTING -t nat -s $LAN_IP_RANGE -o $INET_IFACE -j MASQUERADE #разрешаем прохождение пакетов во всей сети
#$IPTABLES -A POSTROUTING -t nat -p UDP -s 192.168.19.3 --dport 53 -o $INET_IFA CE -j MASQUERADE # разрешааем прохождение dns запросов от dns сервера
$IPTABLES -A POSTROUTING -t nat -s 10.0.0.2 -o $INET_IFACE -j MASQUERADE # разр ешаем прохождение пакетов с конкретного IP в сети
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.167 -o $INET_IFACE -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.168 -o $INET_IFACE -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.175 -o $INET_IFACE -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.168 -o $INET_IFACE -d 217.25.215 .20 -j MASQUERADE # разрешаем прохождение пакетов с IP на конкретный IP
#RDP
#$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.19.99:3389
# GRE
$IPTABLES -A INPUT -p gre -j ACCEPT
$IPTABLES -A OUTPUT -p gre -j ACCEPT
#$IPTABLES -A INPUT -p TCP --dport 8090 -j ACCEPT
# openVPN
#$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
#$IPTABLES -A INPUT -p TCP -s 192.168.0.0/16 -d 192.168.19.1 --dport 80 -j ACCE PT
#$IPTABLES -A INPUT -p TCP -s 10.9.19.0/24 -d 192.168.19.1 --dport 80 -j ACCEPT #добавил сам
#$IPTABLES -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -i tap0 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -o tap0 -j ACCEPT
Далее файл fwstop.sh
cat /etc/fwstop.sh
#!/bin/sh
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTINGдалее делаем их исполяемыми
chmod +rx /etc/fw.sh
chmod +rx /etc/fwstop.sh
Далее
2. Конфигурируем сетевые интерфейсы в файле
nano /etc/network/interfaces
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.250
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.150
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.1.7 192.168.1.8
dns-search anda.dc
allow-hotplug eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
3. Устанавливаем дополнительные программы
apt-get install mc ssh screen sudo
4. Отключаем ipv6
в файле /etc/modprobe.d/aliases.conf
alias net-pf-10 off
5. настраиваем файрвол.
Добавляем в файл /etc/network/interfaces строки вида
pre-up /etc/fw.sh
post-down /etc/fwstop.sh
Далее нужно создать скрипты запуска правил файрвола и не забыть сделать их исполняемыми
cat /etc/fw.sh
#!/bin/bash
INET_IP="192.168.1.250"
INET_IFACE="eth0"
LAN_IP="10.0.0.1"
LAN_IP_RANGE="10.0.0.0/24"
LAN_IFACE="eth1"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# удаляем старые правила
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F -t nat
# устанавливаем действие по умолчанию
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# SSH
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT
# 500
$IPTABLES -A INPUT -p udp --dport 500 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 500 -j ACCEPT
# ICMP
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
# разрешаем уже установленые TCP, UDP соединения
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# разрешаем прохождение всех пакетов на внутреннем интерфейсе
$IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT
# NAT
#$IPTABLES -A POSTROUTING -t nat -s $LAN_IP_RANGE -o $INET_IFACE -j MASQUERADE #разрешаем прохождение пакетов во всей сети
#$IPTABLES -A POSTROUTING -t nat -p UDP -s 192.168.19.3 --dport 53 -o $INET_IFA CE -j MASQUERADE # разрешааем прохождение dns запросов от dns сервера
$IPTABLES -A POSTROUTING -t nat -s 10.0.0.2 -o $INET_IFACE -j MASQUERADE # разр ешаем прохождение пакетов с конкретного IP в сети
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.167 -o $INET_IFACE -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.168 -o $INET_IFACE -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.175 -o $INET_IFACE -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s 192.168.19.168 -o $INET_IFACE -d 217.25.215 .20 -j MASQUERADE # разрешаем прохождение пакетов с IP на конкретный IP
#RDP
#$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 3389 -j DNAT --to-destination 192.168.19.99:3389
# GRE
$IPTABLES -A INPUT -p gre -j ACCEPT
$IPTABLES -A OUTPUT -p gre -j ACCEPT
#$IPTABLES -A INPUT -p TCP --dport 8090 -j ACCEPT
# openVPN
#$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
#$IPTABLES -A INPUT -p TCP -s 192.168.0.0/16 -d 192.168.19.1 --dport 80 -j ACCE PT
#$IPTABLES -A INPUT -p TCP -s 10.9.19.0/24 -d 192.168.19.1 --dport 80 -j ACCEPT #добавил сам
#$IPTABLES -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -i tap0 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -o tap0 -j ACCEPT
Далее файл fwstop.sh
cat /etc/fwstop.sh
#!/bin/sh
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTINGдалее делаем их исполяемыми
chmod +rx /etc/fw.sh
chmod +rx /etc/fwstop.sh
Далее