WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh


#!/bin/sh
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
# Rexy - 3abtux - CPN
# version 1.8 (12/2009)
# changelog :
# 	+ prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)
#	+ suppression log vers syslog
#	+ suppression des broadcast sur EXTIF et INTIF
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="no"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# On indique les politiques par défaut
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
 
# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat
$IPTABLES -X
$IPTABLES -t nat -X
 
# On autorise tout sur loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
 
# on autorise les requêtes dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On ferme INTIF (tout passe par TUNIF)
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
# Règles d'antispoofing
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
 
# On drop le broadcast et le multicast sur les interfaces (sans Log)
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
#  On ajoute ici les règles de filtrage réseau
if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then
        . /usr/local/bin/alcasar-iptables-filter.sh
fi
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT
################## FILTRAGE PARTICULIER ##################
# Administration à distance par exemple :
##  Autoriser SSH depuis l'extérieur sur le port 12222 ####
##  Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow 
# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )
# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22
 
# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"
# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT
##########################################################
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT
 
# On autorise le retour des connexions sortantes (politique ouput accept)
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On redirige les requêtes DNS sortantes sur BIND local
# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
 
# On interdit les connexions directes sur le port de DansGuardian (8080)
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
# On autorise les connexions sur DansGuardian
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 
# On log les requêtes HTTP sortantes (demande de connexion seulement)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "
# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 
# On interdit et on log le reste sur les 2 interfaces d'accès
$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
 
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
# On sauvegarde les règles
/etc/init.d/iptables save
 
# On ne log pas les Log_martians (pour la mdv 2009 seulement)
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 
# Fin du script des règles du parefeu
 
 

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 64 – Rev 40 → 49

Rev 40		Rev 49
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`	2	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`
3	`# Rexy - 3abtux - CPN`	3	`# Rexy - 3abtux - CPN`
4	`# version 1.8 (12/2009)`	4	`# version 1.8 (12/2009)`
5	`# changelog :`	5	`# changelog :`
6	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`	6	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`
7	`# + suppression log vers syslog`	7	`# + suppression log vers syslog`
8	`# + suppression des broadcast sur EXTIF et INTIF`	8	`# + suppression des broadcast sur EXTIF et INTIF`
9	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`	9	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`
10		10
11	`IPTABLES="/sbin/iptables"`	11	`IPTABLES="/sbin/iptables"`
12	`FILTERING="no"`	12	`FILTERING="no"`
13	`EXTIF="eth0"`	13	`EXTIF="eth0"`
14	`INTIF="eth1"`	14	`INTIF="eth1"`
15	`TUNIF="tun0"`	15	`TUNIF="tun0"`
16	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`	16	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`
17	`PRIVATE_IP="192.168.182.1"`	17	`PRIVATE_IP="192.168.182.1"`
18		18
19	`# On vide (flush) toutes les règles existantes`	19	`# On vide (flush) toutes les règles existantes`
20	`$IPTABLES -F`	20	`$IPTABLES -F`
21	`$IPTABLES -t nat -F`	21	`$IPTABLES -t nat -F`
22	`$IPTABLES -t mangle -F`	22	`$IPTABLES -t mangle -F`
23	`$IPTABLES -F INPUT`	23	`$IPTABLES -F INPUT`
24	`$IPTABLES -F FORWARD`	24	`$IPTABLES -F FORWARD`
25	`$IPTABLES -F OUTPUT`	25	`$IPTABLES -F OUTPUT`
26		26
27	`# On indique les politiques par défaut`	27	`# On indique les politiques par défaut`
28	`$IPTABLES -P INPUT DROP`	28	`$IPTABLES -P INPUT DROP`
29	`$IPTABLES -P FORWARD DROP`	29	`$IPTABLES -P FORWARD DROP`
30	`$IPTABLES -P OUTPUT ACCEPT`	30	`$IPTABLES -P OUTPUT ACCEPT`
31	`$IPTABLES -t nat -P PREROUTING ACCEPT`	31	`$IPTABLES -t nat -P PREROUTING ACCEPT`
32	`$IPTABLES -t nat -P POSTROUTING ACCEPT`	32	`$IPTABLES -t nat -P POSTROUTING ACCEPT`
33	`$IPTABLES -t nat -P OUTPUT ACCEPT`	33	`$IPTABLES -t nat -P OUTPUT ACCEPT`
34		34
35	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`	35	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`
36	`$IPTABLES -X`	36	`$IPTABLES -X`
37	`$IPTABLES -t nat -X`	37	`$IPTABLES -t nat -X`
38		38
39	`# On autorise tout sur loopback`	39	`# On autorise tout sur loopback`
40	`$IPTABLES -A INPUT -i lo -j ACCEPT`	40	`$IPTABLES -A INPUT -i lo -j ACCEPT`
41		41
42	`# on autorise les requêtes dhcp`	42	`# on autorise les requêtes dhcp`
43	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`	43	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`
44		44
45	`# On ferme INTIF (tout passe par TUNIF)`	45	`# On ferme INTIF (tout passe par TUNIF)`
46	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`	46	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`
47	`$IPTABLES -A INPUT -i $INTIF -j REJECT`	47	`$IPTABLES -A INPUT -i $INTIF -j REJECT`
48		48
49	`# Règles d'antispoofing`	49	`# Règles d'antispoofing`
50	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`	50	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`
51	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`	51	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`
52	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`	52	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`
53	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`	53	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`
54		54
55	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`	55	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`
56	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`	56	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`
57		57
58	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`	58	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`
59	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`	59	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`
60	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`	60	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`
61		61
62	`# On ajoute ici les règles de filtrage réseau`	62	`# On ajoute ici les règles de filtrage réseau`
63	`if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then`	63	`if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then`
64	`. /usr/local/bin/alcasar-iptables-filter.sh`	64	`. /usr/local/bin/alcasar-iptables-filter.sh`
65	`fi`	65	`fi`
66	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`	66	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`
67	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`	67	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`
68	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`	68	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`
69	`$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`	69	`$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`
70		70
71	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`	71	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`
72	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT`	72	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT`
73	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT`	73	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT`
74	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT`	74	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT`
75	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT`	75	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT`
-		76	`################## FILTRAGE PARTICULIER ##################`
-		77	`# Administration à distance par exemple :`
-		78	`## Autoriser SSH depuis l'extérieur sur le port 12222 ####`
-		79	`## Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow`
-		80	`# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )`
-		81	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22`
-		82
-		83	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"`
-		84	`# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT`
-		85	`##########################################################`
76	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT`	86	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT`
77		87
78	`# On autorise le retour des connexions sortantes (politique ouput accept)`	88	`# On autorise le retour des connexions sortantes (politique ouput accept)`
79	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`	89	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`
80		90
81	`# On redirige les requêtes DNS sortantes sur BIND local`	91	`# On redirige les requêtes DNS sortantes sur BIND local`
82	`# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log`	92	`# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log`
83	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`	93	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`
84	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`	94	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`
85	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`	95	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`
86	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`	96	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`
87		97
88	`# On interdit les connexions directes sur le port de DansGuardian (8080)`	98	`# On interdit les connexions directes sur le port de DansGuardian (8080)`
89	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`	99	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`
90	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`	100	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`
91	`# On autorise les connexions sur DansGuardian`	101	`# On autorise les connexions sur DansGuardian`
92	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`	102	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`
93		103
94	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`	104	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`
95	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`	105	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`
96	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`	106	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`
97	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`	107	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`
98	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`	108	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`
99	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`	109	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`
100	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`	110	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`
101		111
102	`# On interdit et on log le reste sur les 2 interfaces d'accès`	112	`# On interdit et on log le reste sur les 2 interfaces d'accès`
103	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`	113	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`
104	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`	114	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`
105	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`	115	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`
106	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`	116	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`
107		117
108	`# On active le masquage d'adresse par translation (NAT)`	118	`# On active le masquage d'adresse par translation (NAT)`
109	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`	119	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`
110		120
111	`# On sauvegarde les règles`	121	`# On sauvegarde les règles`
112	`/etc/init.d/iptables save`	122	`/etc/init.d/iptables save`
113		123
114	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`	124	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`
115	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`	125	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`
116		126
117	`# Fin du script des règles du parefeu`	127	`# Fin du script des règles du parefeu`
118		128
119		129