Subversion Repositories ALCASAR

Rev

Rev 368 | Rev 376 | Go to most recent revision | Show entire file | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 368 Rev 373
Line 1... Line 1...
1 
#!/bin/sh
 1 
#!/bin/sh
2 
# $Id: alcasar-iptables.sh 368 2010-12-17 16:51:27Z franck $
 2 
# $Id: alcasar-iptables.sh 373 2010-12-18 22:34:29Z richard $
3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
 3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
4 
# Rexy - 3abtux - CPN
 4 
# Rexy - 3abtux - CPN
5 
# version 2.0 (10/2010)
 5 
# version 2.0 (10/2010)
6 
# changelog :
 6 
# changelog :
7 
#	+ déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh
 7 
#	+ déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh
Line 10... Line 10...
10 
#	+ suppression log vers syslog
 10 
#	+ suppression log vers syslog
11 
#	+ suppression des broadcast sur EXTIF et INTIF
 11 
#	+ suppression des broadcast sur EXTIF et INTIF
12 
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 12 
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
13 
 
 13 
 
14 
IPTABLES="/sbin/iptables"
 14 
IPTABLES="/sbin/iptables"
15 
FILTERING="no"
 15 
FILTERING="yes"
16 
EXTIF="eth0"
 16 
EXTIF="eth0"
17 
INTIF="eth1"
 17 
INTIF="eth1"
18 
TUNIF="tun0"
 18 
TUNIF="tun0"
19 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
 19 
PRIVATE_NETWORK_MASK="182.168.180.0/24"
20 
PRIVATE_IP="192.168.182.1"
 20 
PRIVATE_IP="182.168.180.1"
21 
 
 21 
 
22 
# On vide (flush) toutes les règles existantes
 22 
# On vide (flush) toutes les règles existantes
23 
$IPTABLES -F
 23 
$IPTABLES -F
24 
$IPTABLES -t nat -F
 24 
$IPTABLES -t nat -F
25 
$IPTABLES -t mangle -F
 25 
$IPTABLES -t mangle -F
Line 66... Line 66...
66 
 
 66 
 
67 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
 67 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
68 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
 68 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
69 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 69 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
70 
 
 70 
 
71 
#  On ajoute ici les règles spécifiques de filtrage réseau
 71 
#  On ajoute ici les règles locales (ssh via Internet par ex.)
72 
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
 72 
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
73 
        . /usr/local/etc/alcasar-iptables-local.sh
 73 
        . /usr/local/etc/alcasar-iptables-local.sh
74 
fi
 74 
fi
- 
 
 75 
 
- 
 
 76 
# On interdit le DNS en FORWARD (bloque les changements de serveurs DNS une fois authentifié ...)
- 
 
 77 
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
- 
 
 78 
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
- 
 
 79 
 
- 
 
 80 
# On autorise les connexions déjà établies
- 
 
 81 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
- 
 
 82 
 
75 
#  On ajoute ici les règles de filtrage réseau
 83 
# Si filtrage de protocoles réseau
- 
 
 84 
if [ $FILTERING = "yes" ]; then
- 
 
 85 
	# On traite les IP en exception
- 
 
 86 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
- 
 
 87 
	if [ $nb_exceptions != "0" ]
- 
 
 88 
	then
- 
 
 89 
		while read ip_exception
- 
 
 90 
		do
- 
 
 91 
			echo $ip_exception
- 
 
 92 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
- 
 
 93 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
76 
if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then
 94 
		done < /usr/local/etc/alcasar-filter-exceptions
- 
 
 95 
	fi
- 
 
 96 
	# On autorise les protoles non commentés
- 
 
 97 
	while read svc_line
- 
 
 98 
	do
- 
 
 99 
		svc_on=`echo $svc_line|cut -b1`
- 
 
 100 
		if [ $svc_on != "#" ]
- 
 
 101 
		then
- 
 
 102 
			svc_name=`echo $svc_line|cut -d" " -f1`
- 
 
 103 
			svc_port=`echo $svc_line|cut -d" " -f2`
- 
 
 104 
			if [ $svc_name = "icmp" ]
- 
 
 105 
			then
- 
 
 106 
				$IPTABLES -A FORWARD -i $TUNIF -p icmp -j ACCEPT
- 
 
 107 
			else
- 
 
 108 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "
- 
 
 109 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT
- 
 
 110 
			fi
- 
 
 111 
		fi
77 
        . /usr/local/bin/alcasar-iptables-filter.sh
 112 
	done < /usr/local/etc/alcasar-services
- 
 
 113 
	#tout le reste est bloqué
- 
 
 114 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
- 
 
 115 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
- 
 
 116 
	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
- 
 
 117 
	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
78 
fi
 118 
fi
79 
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
 119 
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
80 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
 120 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
81 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 121 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
82 
$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 - 
 
83 
 
 122 
 
84 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
 123 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
85 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
 124 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
86 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
 125 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
87 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
 126 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
88 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
 127 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
89 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
 128 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
90 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
 129 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
91 
 
 130 
 
92 
# On autorise le retour des connexions sortantes (politique ouput accept)
 131 
# On autorise le retour des connexions entrantes déjà acceptées
93 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 132 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
94 
 
 133 
 
95 
# On interdit les connexions directes sur le port de DansGuardian (8080)
 134 
# On interdit les connexions directes sur le port de DansGuardian (8080)
96 
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
 135 
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
97 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
 136 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP