Subversion Repositories ALCASAR

Compare Revisions

No changes between revisions

Ignore whitespace Rev 400 → Rev 401

/scripts/alcasar-iptables-bypass.sh
7,7 → 7,6
# changelog :
# + Prise en compte de regles locales
# + prise en compte optionnelle d'un fichier iptables 'personnel' permettant de bloquer certains flux/services
# + suppression log vers syslog
# + suppression du broadcast et du multicast sur les interfaces
 
IPTABLES="/sbin/iptables"
15,6 → 14,7
EXTIF="eth0"
INTIF="eth1"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
41,11 → 41,6
# on autorise les requêtes dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On ajoute ici les règles spécifiques de filtrage réseau
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
. /usr/local/etc/alcasar-iptables-local.sh
fi
 
# Règles d'antispoofing
$IPTABLES -A INPUT -i $INTIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $INTIF ! -s $PRIVATE_NETWORK_MASK -j DROP
63,24 → 58,22
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
. /usr/local/etc/alcasar-iptables-local.sh
fi
# On autorise le tranfert des requête DNS (sans LOG)
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j ACCEPT
# On autorise les requêtes DNS sur le portail (sans LOG)
$IPTABLES -A INPUT -i $INTIF -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p tcp --dport domain -j ACCEPT
# On interdit le tranfert des requête DNS (sans LOG)
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 
# On autorise le flux dans les deux sens (avec Log sur les demandes de connexion).
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -j ACCEPT
#$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
 
# On autorise les flux entrant ntp et ssh via INTIF
$IPTABLES -A INPUT -i $INTIF -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p tcp --dport ssh -j ACCEPT
# On autorise les flux entrant ntp, dns et ssh via INTIF
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
 
# On autorise les flux entrant des connexions déjà établies (ping à partir du portail par exemple)
# On autorise le retour des connexions entrante déjà acceptées
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On interdit et on log le reste sur les 2 interfaces d'accès
89,13 → 82,6
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
 
# On redirige les requêtes DNS sortantes sur BIND local
# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
 
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
/scripts/sbin/alcasar-bypass.sh
4,6 → 4,7
# Script portail-bypass
# Permet d'activer ou de désactiver le contournement de l'authentification et du filtrage WEB
usage="Usage: alcasar-bypass.sh {--on or -on } | {--off or -off}"
SED="/bin/sed -i"
nb_args=$#
args=$1
if [ $nb_args -eq 0 ]
18,7 → 19,7
;;
--on | -on)
# activation du contournement
for i in chilli squid dansguardian httpd mysqld radiusd
for i in chilli squid dansguardian havp mysqld radiusd httpd freshclam dnsmasq
do
if (pgrep $i) > /dev/null ; then /etc/init.d/$i stop ; fi
done
25,19 → 26,25
echo "Configure eth1 ..."
ifup eth1
sh /usr/local/bin/alcasar-iptables-bypass.sh
if ! (pgrep dnsmasq) > /dev/null ; then /etc/init.d/dnsmasq start ; fi
echo "Le contournement du module d'authentification et de filtrage WEB est activé"
echo "les journaux du parefeu continuent néanmoins d'être enregistrés"
echo "Configure dnsmasq ..."
$SED "s?^conf-dir=.*?#&?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
$SED "s?^no-dhcp-interface=.*?#&?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
/etc/init.d/dnsmasq start
echo "Le contournement des modules d'authentification de filtrage est activé"
echo "les journaux de connexions continuent néanmoins d'être enregistrés"
;;
--off | -off)
# désactivation du contournement
if (pgrep dnsmasq) > /dev/null ; then /etc/init.d/dnsmasq stop ; fi
for i in chilli squid dansguardian httpd mysqld radiusd
echo "Configure dnsmasq ..."
$SED "s?^#conf-dir=.*?conf-dir=/usr/local/etc/alcasar-dnsfilter-enabled?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
$SED "s?^#no-dhcp-interface=.*?no-dhcp-interface=eth1?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
for i in chilli squid dansguardian havp mysqld radiusd httpd freshclam dnsmasq
do
if ! (pgrep $i) > /dev/null ; then /etc/init.d/$i start ; fi
done
sh /usr/local/bin/alcasar-iptables.sh
echo "L'authentification et le filtrage WEB sont de nouveau activés"
echo "L'authentification et le filtrage sont de nouveau activés"
;;
*)
echo "Argument inconnu :$1";
/readme-2.0.txt
2,8 → 2,8
 
Alcasar-2.0
 
- Installation complète : elle s'effectue sur la base du CD double architecture (32b et 64b) de la distribution Linux-mandriva 2010.1 (mandriva-linux-free-2010-spring-dual.iso). Suivez la procédure de la documentation du projet.
- Mise à jour des anciennes versions Alcasar (V1.7, V1.8 et V1.9) automatique en lançant le script d'installation (alcasar.sh --install)
- Installation complète : elle s'effectue sur la base du CD double architecture (32b et 64b) de la distribution Linux-mandriva 2010.1 (mandriva-linux-free-2010-spring-dual.iso). Suivez la procédure d'installation.
- Mise à jour des anciennes versions Alcasar (V1.7, V1.8 et V1.9) automatique en lançant le script d'installation (alcasar.sh -i)
 
 
Par rapport à la V1.9, les évolutions majeures sont les suivantes :
10,6 → 10,8
- utilisation de 'dnsmasq' en lieu est place du DNS 'bind' et du serveur 'dhcpd'
- intégration du filtrage de domaine via dnsmasq (black hole). Le filtrage d'URL reste effectué par Dansguardian
- possibilité de choisir les catégories de filtrage
- accès au centre de contrôle après authentification
- accès au centre de contrôle d'ALCASAR (ACC) après authentification
- dernière version de dansguardian, coova et havp
- nouveau logo
- exploitation des CSS (nouveau look)
- prise en compte des dysfonctionnements du réseau local dans la page d'interception
- uniformisation de l'appel des scripts interne
/web/acc/alcasar-2.0-presentation.pdf
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream
/web/acc/alcasar-2.0-exploitation.pdf
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream
/web/acc/alcasar-2.0-installation.pdf
Cannot display: file marked as a binary type.
svn:mime-type = application/octet-stream