70 lines
2.8 KiB
Bash
70 lines
2.8 KiB
Bash
IF_DMZ="enp0s8"
|
|
IF_INT="enp0s9"
|
|
IF_EXT="enp0s10"
|
|
NET_DMZ="23.214.219.128/25"
|
|
NET_INT="192.168.10.0/24"
|
|
IP_EXT_FW="87.248.214.97"
|
|
IP_DMZ_FW="23.214.219.254"
|
|
IP_INT_FW="192.168.10.254"
|
|
IP_DMZ_DNS="23.214.219.130"
|
|
IP_DMZ_SMTP="23.214.219.131"
|
|
IP_DMZ_WWW="23.214.219.132"
|
|
IP_DMZ_VPN_GW="23.214.219.133"
|
|
IP_DMZ_MAIL="23.214.219.134"
|
|
IP_INT_FTP="192.168.10.2"
|
|
IP_INT_DATASTORE="192.168.10.3"
|
|
IP_DNS2="193.137.16.75"
|
|
IP_EDEN="193.136.212.1"
|
|
|
|
sudo yum install epel-release -y
|
|
sudo yum install suricata -y
|
|
sudo suricata-update
|
|
|
|
sudo ifconfig $IF_DMZ $IP_DMZ_FW netmask 255.255.255.128
|
|
sudo ifconfig $IF_INT $IP_INT_FW netmask 255.255.255.0
|
|
sudo ifconfig $IF_EXT $IP_EXT_FW netmask 255.255.255.0
|
|
|
|
sudo iptables -F
|
|
sudo iptables -t nat -F
|
|
sudo iptables -t mangle -F
|
|
sudo sysctl -w net.ipv4.ip_forward=1
|
|
|
|
sudo iptables -P INPUT DROP
|
|
sudo iptables -P FORWARD DROP
|
|
sudo iptables -P OUTPUT ACCEPT
|
|
|
|
sudo modprobe nf_conntrack_ftp
|
|
sudo modprobe nf_nat_ftp
|
|
|
|
sudo iptables -A FORWARD -j NFQUEUE --queue-num 0
|
|
sudo iptables -A INPUT -i lo -j ACCEPT
|
|
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|
|
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
|
|
sudo iptables -A INPUT -i $IF_INT -p tcp --dport 22 -j ACCEPT
|
|
sudo iptables -A INPUT -i $IF_DMZ -s $IP_DMZ_VPN_GW -p tcp --dport 22 -j ACCEPT
|
|
|
|
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
|
|
sudo iptables -A FORWARD -p udp -d $IP_DMZ_DNS --dport 53 -j ACCEPT
|
|
|
|
sudo iptables -A FORWARD -s $IP_DMZ_DNS -d $IP_DNS2 -p tcp --dport 53 -j ACCEPT
|
|
sudo iptables -A FORWARD -s $IP_DNS2 -d $IP_DMZ_DNS -p tcp --dport 53 -j ACCEPT
|
|
|
|
sudo iptables -A FORWARD -p tcp -d $IP_DMZ_SMTP --dport 25 -j ACCEPT
|
|
sudo iptables -A FORWARD -p tcp -d $IP_DMZ_MAIL --dport 110 -j ACCEPT
|
|
sudo iptables -A FORWARD -p tcp -d $IP_DMZ_MAIL --dport 143 -j ACCEPT
|
|
sudo iptables -A FORWARD -p tcp -d $IP_DMZ_WWW -m multiport --dports 80,443 -j ACCEPT
|
|
sudo iptables -A FORWARD -p udp -d $IP_DMZ_VPN_GW --dport 1194 -j ACCEPT
|
|
|
|
sudo iptables -A FORWARD -i $IF_DMZ -s $IP_DMZ_VPN_GW -d $NET_INT -j ACCEPT
|
|
|
|
sudo iptables -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -j SNAT --to-source $IP_EXT_FW
|
|
sudo iptables -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT
|
|
sudo iptables -A FORWARD -i $IF_INT -o $IF_EXT -p tcp -m multiport --dports 80,443,22,21 -j ACCEPT
|
|
|
|
sudo iptables -t nat -A PREROUTING -i $IF_EXT -d $IP_EXT_FW -p tcp --dport 21 -j DNAT --to-destination $IP_INT_FTP
|
|
sudo iptables -A FORWARD -i $IF_EXT -d $IP_INT_FTP -p tcp --dport 21 -j ACCEPT
|
|
|
|
sudo iptables -t nat -A PREROUTING -i $IF_EXT -s $IP_EDEN -d $IP_EXT_FW -p tcp --dport 22 -j DNAT --to-destination $IP_INT_DATASTORE
|
|
sudo iptables -t nat -A PREROUTING -i $IF_EXT -s $IP_DNS2 -d $IP_EXT_FW -p tcp --dport 22 -j DNAT --to-destination $IP_INT_DATASTORE
|
|
sudo iptables -A FORWARD -i $IF_EXT -d $IP_INT_DATASTORE -p tcp --dport 22 -j ACCEPT
|