Прошу помочь составить скрипт iptables (Скрипт iptables для работы не совсем обычного роутера)

[omnivore]

Прошу помочь составить скрипт для домашнего роутера - файлообменника с учетом следующих нюансов:

1. eth2 - внешняя карта 10.110.12.34 получает интернет, br0 - сетевой мост (сетевые карты eth1 и eth0) для локальных ПК. (Настройка сетевого моста оказалась не сложной, материалы в сети позволяют понять, как создать и настроить. При вопросах могу помочь, пишите.)
2. Необходим NAT, ssh, защита от любой внешней активности вроде ddos атак и пр., а также блокирование ICMP запросов и определенных входящих IP, например 10.110.56.78.
3. На сервере круглосуточно работает локальный файлобменный сервер Verlihub, порт 411, то есть нужно закрыть все порты для входящих соединений кроме 411.

Самое главное - производительность, т.к. ПК слабенький.
Как набросаю текст, выложу здесь для критики. Заранее спасибо за помощь.

P.S. Если для кого то моя конфигурация сможет быть полезной, обязательно выложу итоговый рабочий вариант.

[*Sasha*]

Это можно сделать прочитав один раз Руководство по iptables, а если чего не получиться показать что делали и тогда вам обязательно помогут.

[omnivore]

Это можно сделать прочитав один раз Руководство по iptables, а если чего не получиться показать что делали и тогда вам обязательно помогут.

Это руководство было первым из многих, которое я прочитал, но не сразу все понял.
Но постепенно дело идет, однако не все, а именно:

iptables -F
# Транзит
iptables -P FORWARD ACCEPT
iptables -A FORWARD -s br0 -j ACCEPT
iptables -t nat -A POSTROUTING -s br0 -o eth2 -j MASQUERADE
# Сервер
iptables -P INPUT DROP
iptables -A INPUT -s 10.110.56.78 -j DROP
iptables -A INPUT -d eth2 -p tcp --destination-port 411 -j ACCEPT
iptables -P OUTPUT ACCEPT

Все работает кроме "iptables -t nat -A POSTROUTING -s br0 -o eth2 -j MASQUERADE", пишет host/network "br0" not found.
Хотя ifconfig сетевой мост br0 видит, мост работает, локальные ПК подключаются, но в инет не выходят.

[mandreika]

-s br0 -это что - здесь надо прописывать Ip или сеть, для интерфейса пиши -i
но для postrouting -i не пишется

[*Sasha*]

iptables -P FORWARD ACCEPT
iptables -A FORWARD -s br0 -j ACCEPT

Если для FORWARD политика по умолчанию ACCEPT, то -A FORWARD -s br0 -j ACCEPT не нужно, то же саме и здесь только с DROP

iptables -P INPUT DROP
iptables -A INPUT -s 10.110.56.78 -j DROP

тут

iptables -A INPUT -d eth2 -p tcp --destination-port 411 -j ACCEPT

можно так
iptables -A INPUT -m tcp -p tcp --dport 411 -j ACCEPT

[DSS]

Все работает кроме "iptables -t nat -A POSTROUTING -s br0 -o eth2 -j MASQUERADE", пишет host/network "br0" not found.
Хотя ifconfig сетевой мост br0 видит, мост работает, локальные ПК подключаются, но в инет не выходят.

Естественно.
Надо использовать i для указания интерфейса в качестве источника.
s используется когда Вы указываете в качестве источника IP-подсеть.
iptables -t nat -A POSTROUTING -i br0 -o eth2 -j MASQUERADE

Обратите внимание на то, что Вам писали чуть ранее про политику и правила СОВПАДАЮЩИЕ с ней.

Для защиты от DDOS прочитайте про модуль limit (iptables -m limit).

[mandreika]

нельзя писать [-i] в nat/postrouting