IPTABLES KONFIGURASYONU - YANLIŞLAR -DOĞRULAR - EKSİKLER -TAVSİYELER

Herkese Merhaba

Senaryomuza göre içimizde bir mail server'ımız var(192.168.3.20)  maillarımız oraya düşecek, ayrıca linux pc(aynı zamanda firewall) üzerinden de internet'e çıkmak istiyoruz.İnternetten araştırıp derlediğim kurallar da aşağıda.Sizlerden istediğim yanlışlarımı düzeltmeniz ,eksiklerimi tamamlamanız ve tabiiki tavsiyeleriniz.Yapı kabaca aşağıda.

                     192.168.9.0
                              |
                              |
                              |                                                            (eth_ic)----------------(eth_dis)
192.168.4.0--------ROOTER-------------  192.168.6.0-----------------(iç bacak)LINUX PC (dış bacak)----------192.168.2.1-INTERNET HATTI
                              |                                                    (192.168.6.4)--------------(192.168.2.10)            
                              |
                              |
                     192.168.3.0

#1_nolu_kural#Bütün kuralları iptal edelim
iptables -F

#2_nolu_kural#Bazı kullanıcılara SSH hakkı verelim.Gerekirse bu portun hareketlerini loglıyalım.
iptables -A INPUT -s 192.168.3.203 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j LOG

#3_nolu_kural#Bütün girişleri ve yönlendirilmeri yasaklıyoruz.
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP
iptables -P FORWARD -j DROP

#4_nolu_kural#ICMP yi konusunda tereddüt geçirdim.Bazıları ya tamamen kapatıyor, ya sadece pinglemeyi kapatıyor yade ping ve traceroute 'u da
kapıyor.Ben sadece ping 'i kapatsam iyi olur diye düşündüm(doğrumu bilmiyorum).Bu konuda da tavsiye bekliyorum.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

#5_nolu_kural#Squid'in 3128 nolu potunu Dansguardian için 8080 'e yöndirelim.
iptables -t nat -A PREROUTING -i eth_ic -p tcp --dport 3128 -j REDIRECT --to-port 8080

#6_nolu_kural#(firewall iç bacak 192.168.6.4) iç ağdaki tüm dış ağ adresli paketleri engelle
#diğer iç networkleri nasıl dahil edeceğim bu kural'a(192.168.9.0/14 ve 192.168.4.0/24)bunu çözemedim.
iptables -A INPUT -j LOG -i 192.168.6.4  ! -s 192.168.3.0/24   
iptables -A INPUT -j INPUT -i 192.168.6.4  ! -s 192.168.3.0/24   
iptables -A INPUT -j OUTPUT -i 192.168.6.4  ! -s 192.168.3.0/24   

#7_nolu_kural#eth_ic haricinde dis agdan gelen ic ag adresli paketleri engelle
#diğer iç networkleri nasıl dahil edeceğim bu kural'a(192.168.9.0/14 ve 192.168.4.0/24)
iptables -A INPUT -j DROP ! -i eth_ic -s 192.168.3.0/24       
iptables -A FORWARD -j DROP ! -i eth_ic -s 192.168.3.0/24   

#8_nolu_kural#lo arayuzu haricindeki tum ag birimlerinde localhost adresli tum paketleri engelle
iptables -A INPUT -j DROP -i ! lo -s 127.0.0.0/255.0.0.0
iptables -A FORWARD -j DROP -i ! lo -s 127.0.0.0/255.0.0.0

#9_nolu_kural#Ic agdan gelen kullanicilara izin ver
iptables -A INPUT -j ACCEPT -i lo

#10_nolu_kural#RELATED ve ESTABLISHED dis baglantilara izin ver , Dis baglantilarin ICMP paketleri haric firewall ile baglanti kurmasina izin ver
iptables -A INPUT -m state --state ESTABLISHED, RELATED -i eth_dis -p ! icmp -j ACCEPT

#11_nolu_kural#Disaridan yeni baglanti yapilmasina izin verme
iptables -A INPUT -m state --state NEW -i eth_dis -j DROP
iptables -A FORWARD -m state --state NEW -i eth_dis -j DROP

#12_nolu_kural#ic agdan guvenlik duvarina yada guvenlik duvarindan ic aga baglantilara izin ver

iptables -A INPUT -j ACCEPT -p all -i eth_ic -s 192.168.3.0/24  
iptables -A INPUT -j ACCEPT -p all -i eth_ic -s 192.168.9.0/24  
iptables -A INPUT -j ACCEPT -p all -i eth_ic -s 192.168.4.0/24    

#13_nolu_kural#IP maskeleme ile ic makinelerin internete cikmasina sagla

iptables -t nat -A POSTROUTING -o eth_dis -j MASQUERADE

#14_nolu_kural#Mail server'ımız için mail alip vermeye izin veriyoruz
iptables -A INPUT -p tcp -s 0/0 --dport 25,110 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 25,110 -j ACCEPT