WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh


#!/bin/sh
# $Id: alcasar-iptables.sh 187 2010-06-10 17:33:11Z franck $
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
# Rexy - 3abtux - CPN
# version 1.8 (12/2009)
# changelog :
# 	+ prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)
#	+ suppression log vers syslog
#	+ suppression des broadcast sur EXTIF et INTIF
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="no"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# On indique les politiques par défaut
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
 
# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat
$IPTABLES -X
$IPTABLES -t nat -X
 
# On autorise tout sur loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
 
# on autorise les requêtes dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On ferme INTIF (tout passe par TUNIF)
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
# Règles d'antispoofing
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
 
# On drop le broadcast et le multicast sur les interfaces (sans Log)
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
#  On ajoute ici les règles spécifiques de filtrage réseau --> dans /usr/local/bin/alcasar-iptables-local.sh
if [ -f /usr/local/bin/alcasar-iptables-local.sh ]; then
        . /usr/local/bin/alcasar-iptables-local.sh
fi
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
#  On ajoute ici les règles de filtrage réseau
if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then
        . /usr/local/bin/alcasar-iptables-filter.sh
fi
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT
################## FILTRAGE PARTICULIER ##################
# Administration à distance par exemple :
##  Autoriser SSH depuis l'extérieur sur le port 12222 ####
##  Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow 
# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )
# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22
 
# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"
# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT
##########################################################
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT
 
# On autorise le retour des connexions sortantes (politique ouput accept)
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On redirige les requêtes DNS sortantes sur BIND local
# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
 
# On interdit les connexions directes sur le port de DansGuardian (8080)
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
# On autorise les connexions sur DansGuardian
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 
# On log les requêtes HTTP sortantes (demande de connexion seulement)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "
# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 
# On interdit et on log le reste sur les 2 interfaces d'accès
$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
 
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
# On sauvegarde les règles
/etc/init.d/iptables save
 
# On ne log pas les Log_martians (pour la mdv 2009 seulement)
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 
# Fin du script des règles du parefeu
 
 

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 2668 – Rev 64 → 187

Rev 64		Rev 187
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar-iptables.sh 64 2010-04-08 20:01:24Z franck $`	2	`# $Id: alcasar-iptables.sh 187 2010-06-10 17:33:11Z franck $`
3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# Rexy - 3abtux - CPN`	4	`# Rexy - 3abtux - CPN`
5	`# version 1.8 (12/2009)`	5	`# version 1.8 (12/2009)`
6	`# changelog :`	6	`# changelog :`
7	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`	7	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`
8	`# + suppression log vers syslog`	8	`# + suppression log vers syslog`
9	`# + suppression des broadcast sur EXTIF et INTIF`	9	`# + suppression des broadcast sur EXTIF et INTIF`
10	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`	10	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`
11		11
12	`IPTABLES="/sbin/iptables"`	12	`IPTABLES="/sbin/iptables"`
13	`FILTERING="no"`	13	`FILTERING="no"`
14	`EXTIF="eth0"`	14	`EXTIF="eth0"`
15	`INTIF="eth1"`	15	`INTIF="eth1"`
16	`TUNIF="tun0"`	16	`TUNIF="tun0"`
17	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`	17	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`
18	`PRIVATE_IP="192.168.182.1"`	18	`PRIVATE_IP="192.168.182.1"`
19		19
20	`# On vide (flush) toutes les règles existantes`	20	`# On vide (flush) toutes les règles existantes`
21	`$IPTABLES -F`	21	`$IPTABLES -F`
22	`$IPTABLES -t nat -F`	22	`$IPTABLES -t nat -F`
23	`$IPTABLES -t mangle -F`	23	`$IPTABLES -t mangle -F`
24	`$IPTABLES -F INPUT`	24	`$IPTABLES -F INPUT`
25	`$IPTABLES -F FORWARD`	25	`$IPTABLES -F FORWARD`
26	`$IPTABLES -F OUTPUT`	26	`$IPTABLES -F OUTPUT`
27		27
28	`# On indique les politiques par défaut`	28	`# On indique les politiques par défaut`
29	`$IPTABLES -P INPUT DROP`	29	`$IPTABLES -P INPUT DROP`
30	`$IPTABLES -P FORWARD DROP`	30	`$IPTABLES -P FORWARD DROP`
31	`$IPTABLES -P OUTPUT ACCEPT`	31	`$IPTABLES -P OUTPUT ACCEPT`
32	`$IPTABLES -t nat -P PREROUTING ACCEPT`	32	`$IPTABLES -t nat -P PREROUTING ACCEPT`
33	`$IPTABLES -t nat -P POSTROUTING ACCEPT`	33	`$IPTABLES -t nat -P POSTROUTING ACCEPT`
34	`$IPTABLES -t nat -P OUTPUT ACCEPT`	34	`$IPTABLES -t nat -P OUTPUT ACCEPT`
35		35
36	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`	36	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`
37	`$IPTABLES -X`	37	`$IPTABLES -X`
38	`$IPTABLES -t nat -X`	38	`$IPTABLES -t nat -X`
39		39
40	`# On autorise tout sur loopback`	40	`# On autorise tout sur loopback`
41	`$IPTABLES -A INPUT -i lo -j ACCEPT`	41	`$IPTABLES -A INPUT -i lo -j ACCEPT`
42		42
43	`# on autorise les requêtes dhcp`	43	`# on autorise les requêtes dhcp`
44	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`	44	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`
45		45
46	`# On ferme INTIF (tout passe par TUNIF)`	46	`# On ferme INTIF (tout passe par TUNIF)`
47	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`	47	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`
48	`$IPTABLES -A INPUT -i $INTIF -j REJECT`	48	`$IPTABLES -A INPUT -i $INTIF -j REJECT`
49		49
50	`# Règles d'antispoofing`	50	`# Règles d'antispoofing`
51	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`	51	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`
52	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`	52	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`
53	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`	53	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`
54	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`	54	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`
55		55
56	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`	56	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`
57	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`	57	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`
58		58
59	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`	59	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`
60	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`	60	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`
61	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`	61	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`
62		62
-		63	`# On ajoute ici les règles spécifiques de filtrage réseau --> dans /usr/local/bin/alcasar-iptables-local.sh`
-		64	`if [ -f /usr/local/bin/alcasar-iptables-local.sh ]; then`
-		65	`. /usr/local/bin/alcasar-iptables-local.sh`
-		66	`fi`
-		67	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`
63	`# On ajoute ici les règles de filtrage réseau`	68	`# On ajoute ici les règles de filtrage réseau`
64	`if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then`	69	`if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then`
65	`. /usr/local/bin/alcasar-iptables-filter.sh`	70	`. /usr/local/bin/alcasar-iptables-filter.sh`
66	`fi`	71	`fi`
67	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`	72	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`
68	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`	73	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`
69	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`	74	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`
70	`$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`	75	`$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`
71		76
72	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`	77	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`
73	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT`	78	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT`
74	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT`	79	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT`
75	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT`	80	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT`
76	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT`	81	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT`
77	`################## FILTRAGE PARTICULIER ##################`	82	`################## FILTRAGE PARTICULIER ##################`
78	`# Administration à distance par exemple :`	83	`# Administration à distance par exemple :`
79	`## Autoriser SSH depuis l'extérieur sur le port 12222 ####`	84	`## Autoriser SSH depuis l'extérieur sur le port 12222 ####`
80	`## Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow`	85	`## Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow`
81	`# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )`	86	`# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )`
82	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22`	87	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22`
83		88
84	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"`	89	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"`
85	`# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT`	90	`# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT`
86	`##########################################################`	91	`##########################################################`
87	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT`	92	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT`
88		93
89	`# On autorise le retour des connexions sortantes (politique ouput accept)`	94	`# On autorise le retour des connexions sortantes (politique ouput accept)`
90	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`	95	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`
91		96
92	`# On redirige les requêtes DNS sortantes sur BIND local`	97	`# On redirige les requêtes DNS sortantes sur BIND local`
93	`# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log`	98	`# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log`
94	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`	99	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`
95	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`	100	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`
96	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`	101	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`
97	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`	102	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`
98		103
99	`# On interdit les connexions directes sur le port de DansGuardian (8080)`	104	`# On interdit les connexions directes sur le port de DansGuardian (8080)`
100	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`	105	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`
101	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`	106	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`
102	`# On autorise les connexions sur DansGuardian`	107	`# On autorise les connexions sur DansGuardian`
103	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`	108	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`
104		109
105	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`	110	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`
106	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`	111	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`
107	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`	112	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`
108	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`	113	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`
109	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`	114	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`
110	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`	115	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`
111	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`	116	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`
112		117
113	`# On interdit et on log le reste sur les 2 interfaces d'accès`	118	`# On interdit et on log le reste sur les 2 interfaces d'accès`
114	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`	119	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`
115	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`	120	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`
116	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`	121	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`
117	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`	122	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`
118		123
119	`# On active le masquage d'adresse par translation (NAT)`	124	`# On active le masquage d'adresse par translation (NAT)`
120	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`	125	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`
121		126
122	`# On sauvegarde les règles`	127	`# On sauvegarde les règles`
123	`/etc/init.d/iptables save`	128	`/etc/init.d/iptables save`
124		129
125	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`	130	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`
126	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`	131	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`
127		132
128	`# Fin du script des règles du parefeu`	133	`# Fin du script des règles du parefeu`
129		134
130		135