Subversion Repositories ALCASAR

Compare Revisions

Ignore whitespace Rev 395 → Rev 401

/scripts/alcasar-iptables-bypass.sh
7,7 → 7,6
# changelog :
# + Prise en compte de regles locales
# + prise en compte optionnelle d'un fichier iptables 'personnel' permettant de bloquer certains flux/services
# + suppression log vers syslog
# + suppression du broadcast et du multicast sur les interfaces
 
IPTABLES="/sbin/iptables"
15,6 → 14,7
EXTIF="eth0"
INTIF="eth1"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
41,11 → 41,6
# on autorise les requêtes dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On ajoute ici les règles spécifiques de filtrage réseau
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
. /usr/local/etc/alcasar-iptables-local.sh
fi
 
# Règles d'antispoofing
$IPTABLES -A INPUT -i $INTIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $INTIF ! -s $PRIVATE_NETWORK_MASK -j DROP
63,24 → 58,22
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
. /usr/local/etc/alcasar-iptables-local.sh
fi
# On autorise le tranfert des requête DNS (sans LOG)
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j ACCEPT
# On autorise les requêtes DNS sur le portail (sans LOG)
$IPTABLES -A INPUT -i $INTIF -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p tcp --dport domain -j ACCEPT
# On interdit le tranfert des requête DNS (sans LOG)
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 
# On autorise le flux dans les deux sens (avec Log sur les demandes de connexion).
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -j ACCEPT
#$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
 
# On autorise les flux entrant ntp et ssh via INTIF
$IPTABLES -A INPUT -i $INTIF -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p tcp --dport ssh -j ACCEPT
# On autorise les flux entrant ntp, dns et ssh via INTIF
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
 
# On autorise les flux entrant des connexions déjà établies (ping à partir du portail par exemple)
# On autorise le retour des connexions entrante déjà acceptées
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On interdit et on log le reste sur les 2 interfaces d'accès
89,13 → 82,6
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
 
# On redirige les requêtes DNS sortantes sur BIND local
# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
 
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
/scripts/sbin/alcasar-bypass.sh
4,6 → 4,7
# Script portail-bypass
# Permet d'activer ou de désactiver le contournement de l'authentification et du filtrage WEB
usage="Usage: alcasar-bypass.sh {--on or -on } | {--off or -off}"
SED="/bin/sed -i"
nb_args=$#
args=$1
if [ $nb_args -eq 0 ]
18,7 → 19,7
;;
--on | -on)
# activation du contournement
for i in chilli squid dansguardian httpd mysqld radiusd
for i in chilli squid dansguardian havp mysqld radiusd httpd freshclam dnsmasq
do
if (pgrep $i) > /dev/null ; then /etc/init.d/$i stop ; fi
done
25,19 → 26,25
echo "Configure eth1 ..."
ifup eth1
sh /usr/local/bin/alcasar-iptables-bypass.sh
if ! (pgrep dnsmasq) > /dev/null ; then /etc/init.d/dnsmasq start ; fi
echo "Le contournement du module d'authentification et de filtrage WEB est activé"
echo "les journaux du parefeu continuent néanmoins d'être enregistrés"
echo "Configure dnsmasq ..."
$SED "s?^conf-dir=.*?#&?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
$SED "s?^no-dhcp-interface=.*?#&?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
/etc/init.d/dnsmasq start
echo "Le contournement des modules d'authentification de filtrage est activé"
echo "les journaux de connexions continuent néanmoins d'être enregistrés"
;;
--off | -off)
# désactivation du contournement
if (pgrep dnsmasq) > /dev/null ; then /etc/init.d/dnsmasq stop ; fi
for i in chilli squid dansguardian httpd mysqld radiusd
echo "Configure dnsmasq ..."
$SED "s?^#conf-dir=.*?conf-dir=/usr/local/etc/alcasar-dnsfilter-enabled?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
$SED "s?^#no-dhcp-interface=.*?no-dhcp-interface=eth1?g" /etc/dnsmasq.d/alcasar-dnsmasq.conf
for i in chilli squid dansguardian havp mysqld radiusd httpd freshclam dnsmasq
do
if ! (pgrep $i) > /dev/null ; then /etc/init.d/$i start ; fi
done
sh /usr/local/bin/alcasar-iptables.sh
echo "L'authentification et le filtrage WEB sont de nouveau activés"
echo "L'authentification et le filtrage sont de nouveau activés"
;;
*)
echo "Argument inconnu :$1";