>[оверквотинг удален]
> DNAT --to-destination 192.168.20.4
> iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j
> DNAT --to-destination 192.168.20.4
> iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j
> DNAT --to-destination 192.168.20.5
> iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> У меня еще вопрос есть по улучшению
> вот тут
> iptables -A INPUT -s 192.168.137.2 -j ACCEPT
> я думаю еще указать интерфейс а то как то тоже по общему?Если хотите немного комильфо, то тогда делайте более разветлённые правила, используйте multiports. Лично у меня бы данные правила выглядяли бы совсем иначе, т.к. тут постоянно повторяются одни и те же проверки :)
> Тоесть вот так
> iptables -A INPUT -i tap0 -s 192.168.137.2 -j ACCEPT
> А вот ту у меня разрешения пропускать входящий icmp трафик.
> iptables -A INPUT -p icmp -m icmp -j ACCEPT
> Как его можно улучшить какой трафик icmp надо запретить а какой пропустить?
Зависит от того, какие функции выполняет данный роутер.
> Еще сталкнулся с большой проблеммой брутфорса паролей ssh
> Постоянно перебирают пароли.
> Думал сменить порт глупо.
> Ставить отдельный софт не правильно для меня.
> А вот в нете нашел много информации по iptables и по ssh
> brutforce
> Но правила так и не смог применить
Ну тут есть 4 выхода:
1.) сменить порт, что вас не устраивает
2.) использовать внешнюю утилиту fail2ban, что вас не устраивает :)
3.) использовать hashlimit и recent в iptables и банить тех, кто слишком часто шлёт NEW (или по --syn) на 22-ой порт
4.) блокировать ssh и использовать port-knocking.
Лично я в вашем случае использую "3" с возможностью обойти бан через port-knocking. Против бот-нетов, IMHO, подходит идеально.