Subversion Repositories ALCASAR

#!/bin/sh

# $Id: alcasar-iptables-bypass.sh 604 2011-05-15 21:23:10Z richard $

# script d'initialisation des regles du parefeu en mode ByPass

# Rexy - 3abtux

private_ip_mask=`grep PRIVATE_IP /usr/local/etc/alcasar-network|cut -d"=" -f2`

private_network=`/bin/ipcalc -n $private_ip_mask|cut -d"=" -f2`		# LAN IP address (ie.: 192.168.182.0)

private_prefix=`/bin/ipcalc -p $private_ip_mask|cut -d"=" -f2`		# LAN prefix (ie. 24)

IPTABLES="/sbin/iptables"

EXTIF="eth0"

INTIF="eth1"

PRIVATE_NETWORK_MASK=$private_network/$private_prefix			# Lan IP address + prefix (192.168.182.0/24)

PRIVATE_IP=`echo $private_ip_mask | cut -d"/" -f1`			# ALCASAR LAN IP address

# On vide (flush) toutes les règles existantes

# Flush all existing rules

$IPTABLES -F

$IPTABLES -t nat -F

$IPTABLES -F INPUT

$IPTABLES -F FORWARD

$IPTABLES -F OUTPUT

# On indique les politiques par défaut

# Default policies

$IPTABLES -P INPUT DROP

$IPTABLES -P FORWARD DROP

$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -t nat -P PREROUTING ACCEPT

$IPTABLES -t nat -P POSTROUTING ACCEPT

$IPTABLES -t nat -P OUTPUT ACCEPT

# On efface toutes les chaînes qui ne sont pas par défaut dans les tables filter et nat

# Flush non default rules on filter and nat tables

$IPTABLES -X

$IPTABLES -t nat -X

# On autorise tout sur loopback

# accept all on loopback

$IPTABLES -A INPUT -i lo -j ACCEPT

# on autorise les requêtes dhcp

# accept dhcp

$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT

# On drop le broadcast et le multicast sur les interfaces (sans Log)

# Drop broadcast & multicast

$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP

# On laisse passer les ICMP echo-request et echo-reply en provenance du LAN

# Allow ping (icmp N°0 & 8) from LAN

$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT

#  On ajoute ici les règles spécifiques de filtrage réseau (accès exterieur ...)

if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then

        . /usr/local/etc/alcasar-iptables-local.sh

fi

# On autorise les retours de connexions légitimes par FORWARD

# Conntrack on forward

$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# On autorise les demandes de connexions sortantes

$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "

$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT

# On autorise les flux entrant ntp, dns et ssh via INTIF

$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT

# On autorise le retour des connexions entrante déjà acceptées

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# On interdit et on log le reste sur les 2 interfaces d'accès

$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "

$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "

$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset

$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable

# On active le masquage d'adresse par translation (NAT)

$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE

/etc/init.d/iptables save

# Fin du script des regles du parefeu