WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh



#!/bin/sh
# $Id: alcasar-iptables.sh 376 2010-12-19 22:24:58Z franck $
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
# Rexy - 3abtux - CPN
# version 2.0 (10/2010)
# changelog :
#	+ déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh

#	+ suppression log vers syslog
#	+ suppression des broadcast sur EXTIF et INTIF
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="no"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="182.168.182.0/24"
PRIVATE_IP="182.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

 
# On ferme INTIF (tout passe par TUNIF)
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
## On drop les scans XMAS et NULL (à voir si utile ...)
#$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
#$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 

Rev 373	Rev 376
Line 1...	Line 1...
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar-iptables.sh 373 2010-12-18 22:34:29Z richard $`	2	`# $Id: alcasar-iptables.sh 376 2010-12-19 22:24:58Z franck $`
3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# Rexy - 3abtux - CPN`	4	`# Rexy - 3abtux - CPN`
5	`# version 2.0 (10/2010)`	5	`# version 2.0 (10/2010)`
6	`# changelog :`	6	`# changelog :`
7	`# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh`	7	`# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh`
Line 10...	Line 10...
10	`# + suppression log vers syslog`	10	`# + suppression log vers syslog`
11	`# + suppression des broadcast sur EXTIF et INTIF`	11	`# + suppression des broadcast sur EXTIF et INTIF`
12	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`	12	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`
13		13
14	`IPTABLES="/sbin/iptables"`	14	`IPTABLES="/sbin/iptables"`
15	`FILTERING="yes"`	15	`FILTERING="no"`
16	`EXTIF="eth0"`	16	`EXTIF="eth0"`
17	`INTIF="eth1"`	17	`INTIF="eth1"`
18	`TUNIF="tun0"`	18	`TUNIF="tun0"`
19	`PRIVATE_NETWORK_MASK="182.168.180.0/24"`	19	`PRIVATE_NETWORK_MASK="182.168.182.0/24"`
20	`PRIVATE_IP="182.168.180.1"`	20	`PRIVATE_IP="182.168.182.1"`
21		21
22	`# On vide (flush) toutes les règles existantes`	22	`# On vide (flush) toutes les règles existantes`
23	`$IPTABLES -F`	23	`$IPTABLES -F`
24	`$IPTABLES -t nat -F`	24	`$IPTABLES -t nat -F`
25	`$IPTABLES -t mangle -F`	25	`$IPTABLES -t mangle -F`
Line 47...	Line 47...
47		47
48	`# On ferme INTIF (tout passe par TUNIF)`	48	`# On ferme INTIF (tout passe par TUNIF)`
49	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`	49	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`
50	`$IPTABLES -A INPUT -i $INTIF -j REJECT`	50	`$IPTABLES -A INPUT -i $INTIF -j REJECT`
51		51
52	`## On drop les scans XMAS et NULL (à voir ...)`	52	`## On drop les scans XMAS et NULL (à voir si utile ...)`
53	`#$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP`	53	`#$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP`
54	`#$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP`	54	`#$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP`
55	`#$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP`	55	`#$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP`
56	`#$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP`	56	`#$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP`
57		57

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh – Rev 373 → 376