# Generated by iptables-save v1.4.21 on Tue Sep 20 16:48:26 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:blacklist - [0:0]
:droplog - [0:0]
:floodlog - [0:0]
:icmp - [0:0]
:local - [0:0]
:ssh - [0:0]
:zabbix - [0:0]
-A INPUT -m state --state INVALID -j droplog
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i lo -j local
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --dport 25 -m string --string "ylmf-pc" --algo bm --to 65535 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 3/sec --limit-burst 3 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j DROP
-A INPUT -s 172.16.0.0/12 -j DROP
-A INPUT -s 10.0.0.0/8 -j DROP
-A INPUT -s 127.0.0.0/8 -j DROP
-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -d 224.0.0.0/4 -j DROP
-A INPUT -s 240.0.0.0/5 -j DROP
-A INPUT -d 240.0.0.0/5 -j DROP
-A INPUT -s 0.0.0.0/8 -j DROP
-A INPUT -d 0.0.0.0/8 -j DROP
-A INPUT -d 239.255.255.0/24 -j DROP
-A INPUT -d 255.255.255.255/32 -j DROP
-A INPUT -p icmp -j icmp
-A INPUT -p tcp -m tcp --dport 22 -j ssh
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10050 -j zabbix
-A INPUT -p tcp -m tcp --dport 32000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 32001 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5223 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5269 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5229 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp -m multiport --dports 10000:10255 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2703 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m recent --set --name limitftp --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport 21 -m recent --update --seconds 60 --hitcount 11 --name limitftp --mask 255.255.255.255 --rsource -j floodlog
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 990 -m recent --set --name limitftp --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport 990 -m recent --update --seconds 60 --hitcount 11 --name limitftp --mask 255.255.255.255 --rsource -j floodlog
-A INPUT -p tcp -m tcp --dport 990 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --dports 4048:5191 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4070 -j ACCEPT
-A INPUT -p udp -m udp --dport 4069 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 389 -m recent --set --name limitldap --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport 389 -m recent --update --seconds 60 --hitcount 15 --name limitldap --mask 255.255.255.255 --rsource -j floodlog
-A INPUT -p tcp -m tcp --dport 389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 636 -j ACCEPT
-A INPUT -s 130.185.178.156/32 -p tcp -m tcp --dport 3030 -m comment --comment "ATC API host" -j ACCEPT
-A INPUT -s 82.113.48.145/32 -p tcp -m tcp --dport 3030 -m comment --comment "IW CZ office" -j ACCEPT
-A INPUT -s 82.113.48.146/32 -p tcp -m tcp --dport 3030 -m comment --comment "IW CZ office" -j ACCEPT
-A INPUT -j droplog
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -d 185.119.216.219/32 -p tcp -m tcp --dport 25 -m comment --comment "SMTP Relay" -j ACCEPT
-A OUTPUT -d 185.119.216.219/32 -p tcp -m tcp --dport 465 -m comment --comment "SMTP Relay" -j ACCEPT
-A OUTPUT -j ACCEPT
-A blacklist -m recent --set --name blacklist --mask 255.255.255.255 --rsource
-A blacklist -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "IPTBLS_BLKLST: "
-A blacklist -j DROP
-A droplog -m limit --limit 4/min --limit-burst 3 -j LOG --log-prefix "IPTBLS_DROP: "
-A droplog -j DROP
-A floodlog -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "IPTBLS_FLOOD: "
-A floodlog -j DROP
-A icmp -p icmp -m icmp --icmp-type 17 -j DROP
-A icmp -p icmp -m icmp --icmp-type 13 -j DROP
-A icmp -p icmp -m icmp --icmp-type any -m limit --limit 10/sec -j ACCEPT
-A icmp -p icmp -j droplog
-A local -i lo -j ACCEPT
-A local -j droplog
-A ssh -s 184.188.142.137/32 -p tcp -m tcp --dport 22 -m comment --comment "ssh(IW US support)" -j ACCEPT
-A ssh -s 82.113.48.146/32 -p tcp -m tcp --dport 22 -m comment --comment "ssh(IW CZ office)" -j ACCEPT
-A ssh -s 82.113.48.145/32 -p tcp -m tcp --dport 22 -m comment --comment "ssh(IW CZ office)" -j ACCEPT
-A ssh -s 185.138.220.0/26 -p tcp -m tcp --dport 22 -m comment --comment "ssh(datacenter network)" -j ACCEPT
-A ssh -s 185.138.220.0/24 -p tcp -m tcp --dport 22 -m comment --comment "ssh(TTC mgmt network)" -j ACCEPT
-A ssh -j droplog
-A zabbix -s 185.119.216.251/32 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 10050 -j ACCEPT
-A zabbix -j droplog
COMMIT
# Completed on Tue Sep 20 16:48:26 2022