Существует локальная сеть, интернет в которую раздается посредством древнего компьютера на котором стоит Линукс. В сети имеется теминальный сервер (192.168.100.3), к которому требуется подключатся снаружи. Необходимо ограничить доступ к линуксовому шлюзу и терминальному серверу.
Для того чтобы снизить риск проникновения в локальную сеть, мы поменяем RDP порт на нестандартный ( с 3389 на 7565) , а разрешать подключение по SSH и по RDP только для конкретных IP-адресов.
#! /bin/bash echo "1" > /proc/sys/net/ipv4/ip_forward IPTABLES='/sbin/iptables' LAN_IFACE=eth0 ## локальная сеть INET_IFACE=eth1 ## интернет IP_INET="xxx.xxx.xxx.xxx" ## внешний IP на этом сервере IP_INT="192.168.100.1" ## внутренний IP адрес на этом сервере IP_MSK="82.xxx.yyy.zzz" IP_SPB1="5.xxx.yyy.zzz" IP_SPB2="146.xxx.yyy.zzz" TERMINAL="192.168.100.3:3389" ## адрес и порт терминального сервера # сбрасываем все настройки iptables $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -F $IPTABLES -X $IPTABLES -t nat -X $IPTABLES -t mangle -F $IPTABLES -t mangle -X # устанавливаем правила по умолчанию $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ограничиваем подключение по SSH $IPTABLES -A INPUT -s $IP_MSK -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -s $IP_SPB1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -s $IP_SPB2 -p tcp --dport 22 -j ACCEPT # ограничиваем подключение по RDP $IPTABLES -t nat -A PREROUTING -p tcp --source $IP_MSK -d $IP_INET --dport 7565 -j DNAT --to $TERMINAL $IPTABLES -t nat -A PREROUTING -p tcp --source $IP_SPB1 -d $IP_INET --dport 7565 -j DNAT --to $TERMINAL $IPTABLES -t nat -A PREROUTING -p tcp --source $IP_SPB2 -d $IP_INET --dport 7565 -j DNAT --to $TERMINAL # раздаем интернет в локальную сеть $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
Ограничение доступа к локальной сети по ip.