Нужно закрыть несколько портов в ubuntu

[s1sadm1nch1k]

Требуется закрыть несколько портов на шлюзе,чтобы были закрыты ненужные порты на eth0
Подскажите что можно написать в nat для закрывания портов
Схема шлюза eth0 - интернет
eth1 - сеть
Делаем для безопасности сети .Хочу закрыть ssh порт и несолько других
В данное время в нате
iptables -I INPUT 1 -i eth0 -p tcp -s 0/0 -d 192.168.1.24 --dport ! 53 -j DROP
iptables -I OUTPUT 1 -i eth1 -p tcp -s 0/0 -d 192.169.0.123 --dport ! 80,110,25,53 -j DROP

Не дает результата (
Проверьте правильно ли я написал правила ?
первое все входящие на интернет закрываем все порты кроме 53
второе все исходящие из сети зыкрываем все порты кроме 80,110,25,53

[imp3]

И не даст.
iptables -I INPUT 1 -i eth0 -p udp -s 0/0 --dport 53 -j ACCEPT
iptables -I INPUT 2 -i eth0 -p all -s 0/0 -j DROP
запрещаем на вход все кроме dns


iptables -I OUTPUT 1 -o eth0 -p tcp --dport 80,110,25 -j ACCEPT
iptables -I OUTPUT 2 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT 3 -o eth0 -p all -j DROP
запрещаем на выход все кроме 80 110 25 53(dns к тому же совсем не tcp)

[IceMan]

запрещаем на выход все кроме 80 110 25 53(dns к тому же совсем не tcp)

HINT: DNS не только 53/UDP, но и 53/TCP (AXFR transfer).

P.S. делать

Код: Выделить всё

iptables -I OUTPUT 3 -o eth0 -p all -j DROP

без

Код: Выделить всё

 iptables -I OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

- стрелять себе в ногу.

[s1sadm1nch1k]

Всем спасибо
Сейчас попробую

[s1sadm1nch1k]

Теперь интернет в сети не работает (
После добавления
iptables -I INPUT 1 -i eth0 -p udp -s 0/0 --dport 53 -j ACCEPT
iptables -I INPUT 2 -i eth0 -p all -s 0/0 -j DROP
запрещаем на вход все кроме dns


iptables -I OUTPUT 1 -o eth0 -p tcp --dport 80,110,25 -j ACCEPT
iptables -I OUTPUT 2 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT 3 -o eth0 -p all -j DROP

[IceMan]

1) Научись излагать мысли, и возможно тогда тебе помогут рецептом;
2) Снеси эту ересь, которую тебе imp3 сбросил;
3) Прочти Руководство по iptables.

[s1sadm1nch1k]

Подскажите какой именно пункт подробно изучать ?
Много всего написано но так и не нашел как именно закрыть порты

[s1sadm1nch1k]

Не закрывается порт 22
Нужно каким то образом отключить нафик ssh
Я понимаю нужно сначала ssh службу закрыть ? если да то где это зделать *

[imp3]

вопрос был: как закрыть .
а запретить с внешки ssh можно
iptables -I INPUT 1 -i eth0 -p tcp --dport 22 -j DROP
втрой вариант - в конфиге ssh cказать прослушивать порт только на внутреннем адресе.

[s1sadm1nch1k]

А как вообще избавиться от ssh закрыть службу
у меня установлено squid nat
в /etc/nat дописываю iptables -I INPUT 1 -i eth0 -p tcp --dport 22 -j DROP
вообщем вот это у меня
#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -s 192.168.1.24/24 -p tcp --dport 80,110,25,53 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i eth0 -p tcp --dport 22 -j DROP


# Включаем NAT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

iptables -A INPUT -p tcp -d 0/0 -s 0/0 --dport 22 -j DROP
iptables -A INPUT -p tcp -d 0/0 -s 0/0 --dport 5900 -j DROP

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 -d ! 192.169.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.169.0.123:3128


но порт не закрывается 22
Подскажите может я не здесь вписываю ?
В линуксе я ноль ((

[leave]

aptitude remove openssh-server

[s1sadm1nch1k]

спс теперь надеюсь сеть станет защищенной и по порту 22 к нам никто не придет