#!/bin/sh
# Část za - nastavte na místo, kde je na
# vašem systému IPTABLES

IPTABLES=/sbin/iptables

# Zrušit existující pravidla

$IPTABLES -F INPUT
$IPTABLES -F FORWARD

# Umožnit odchozím připojením
# z tohoto počítače odpovídat

$IPTABLES -A INPUT -j ACCEPT -m state --state \
        ESTABLISHED -i eth0 -p icmp

$IPTABLES -A INPUT -j ACCEPT -m state --state \
        ESTABLISHED -i eth0 -p tcp

$IPTABLES -A INPUT -j ACCEPT -m state --state \
        ESTABLISHED -i eth0 -p udp

# black list

$IPTABLES -A INPUT -s 218.80.221.0/24 -j DROP
$IPTABLES -A INPUT -s 222.246.135.104/24 -j DROP
$IPTABLES -A INPUT -s 195.234.89.167/24 -j DROP
$IPTABLES -A INPUT -s 61.155.22.81/24 -j DROP


# Povolit příchozí požadavky SSH

$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

# Povolit prichozi pozadavky HTTP(webovy server)

$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT

# Povolit příhozí DNS

#$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT

# Povolit echo prikazu ping

$IPTABLES -A INPUT -p icmp  -j ACCEPT

# Logování je nastaveno tak, že je-li vypuštěno
# více než 5 paketů za tři sekundy, budou ingnorovány.
# Tím zabraňujeme útoku DOS s následkem zhroucení
# počítače, na kterém firewall běží

$IPTABLES -A INPUT -m limit --limit 3/second \
#--limit-burst 5 -i ! lo -j LOG

# Vypustit a logovat všechny ostatní data

$IPTABLES -A INPUT -i ! lo -j DROP