Subversion Repositories ALCASAR

Rev

Rev 472 | Rev 478 | Go to most recent revision | Show entire file | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 472 Rev 476
Line 1... Line 1...
1 
#!/bin/sh
 1 
#!/bin/sh
2 
# $Id: alcasar-iptables.sh 472 2011-02-02 23:01:55Z richard $
 2 
# $Id: alcasar-iptables.sh 476 2011-02-06 20:31:31Z richard $
3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
 3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
4 
# Rexy - 3abtux - CPN
 4 
# Rexy - 3abtux - CPN
5 
# version 2.0 (10/2010)
 - 
 
6 
# changelog :
 - 
 
7 
#	+ déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh
 - 
 
8 
#	+ prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh
 5 
# there are three channels for log : 1 (default) for tracability, 2 for secure admin (ssh), 3 for exterior access attempts,
9 
# 	+ prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)
 - 
 
10 
#	+ suppression log vers syslog
 - 
 
11 
#	+ suppression des broadcast sur EXTIF et INTIF
 - 
 
12 
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 - 
 
13 
 
 6 
 
14 
IPTABLES="/sbin/iptables"
 7 
IPTABLES="/sbin/iptables"
15 
FILTERING="yes"
 8 
FILTERING="yes"
16 
EXTIF="eth0"
 9 
EXTIF="eth0"
17 
INTIF="eth1"
 10 
INTIF="eth1"
18 
TUNIF="tun0"
 11 
TUNIF="tun0"
19 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
 12 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
20 
PRIVATE_IP="192.168.182.1"
 13 
PRIVATE_IP="192.168.182.1"
21 
 
 14 
 
22 
# On vide (flush) toutes les règles existantes
 15 
# Flush all existing rules
23 
$IPTABLES -F
 16 
$IPTABLES -F
24 
$IPTABLES -t nat -F
 17 
$IPTABLES -t nat -F
25 
$IPTABLES -t mangle -F
 18 
$IPTABLES -t mangle -F
26 
$IPTABLES -F INPUT
 19 
$IPTABLES -F INPUT
27 
$IPTABLES -F FORWARD
 20 
$IPTABLES -F FORWARD
28 
$IPTABLES -F OUTPUT
 21 
$IPTABLES -F OUTPUT
29 
 
 22 
 
30 
# On indique les politiques par défaut
 23 
# Default policies
31 
$IPTABLES -P INPUT DROP
 24 
$IPTABLES -P INPUT DROP
32 
$IPTABLES -P FORWARD DROP
 25 
$IPTABLES -P FORWARD DROP
33 
$IPTABLES -P OUTPUT ACCEPT
 26 
$IPTABLES -P OUTPUT ACCEPT
34 
$IPTABLES -t nat -P PREROUTING ACCEPT
 27 
$IPTABLES -t nat -P PREROUTING ACCEPT
35 
$IPTABLES -t nat -P POSTROUTING ACCEPT
 28 
$IPTABLES -t nat -P POSTROUTING ACCEPT
36 
$IPTABLES -t nat -P OUTPUT ACCEPT
 29 
$IPTABLES -t nat -P OUTPUT ACCEPT
37 
 
 30 
 
38 
# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat
 31 
# Flush non default rules on filter and nat tables
39 
$IPTABLES -X
 32 
$IPTABLES -X
40 
$IPTABLES -t nat -X
 33 
$IPTABLES -t nat -X
41 
 
 34 
 
42 
# On autorise tout sur loopback
 35 
# accept all on loopback
43 
$IPTABLES -A INPUT -i lo -j ACCEPT
 36 
$IPTABLES -A INPUT -i lo -j ACCEPT
44 
 
 37 
 
45 
#############################
 38 
#############################
46 
#       INTIF rules         #
 39 
#       INTIF rules         #
47 
#############################
 40 
#############################
48 
# on autorise les requêtes dhcp
 41 
# accept dhcp
49 
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 42 
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
50 
# On ferme INTIF (tout passe par TUNIF)
 43 
# INTIF is closed (all by TUNIF)
51 
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
 44 
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
52 
$IPTABLES -A INPUT -i $INTIF -j REJECT
 45 
$IPTABLES -A INPUT -i $INTIF -j REJECT
53 
 
 46 
 
54 
#############################
 47 
#############################
55 
#  Local protection rules   #
 48 
#  Local protection rules   #
56 
#############################
 49 
#############################
57 
# On drop les scans XMAS et NULL
50 
# Drop XMAS & NULLscans
58 
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
 51 
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
59 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
 52 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
60 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
 53 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
61 
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 54 
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
62 
# On drop le broadcast et le multicast sur les interfaces
 55 
# Drop broadcast & multicast
63 
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 56 
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
64 
# Règles d'antispoofing (avec log)
 57 
# Antispoofing rules with log
65 
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
 58 
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
66 
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
 59 
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
67 
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
 60 
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
68 
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
 61 
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
69 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
 62 
# Allow ping (icmp N°0 & 8) from LAN
70 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
 63 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
71 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 64 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
72 
 
 65 
 
73 
#  On ajoute ici les règles locales (ssh via Internet par ex.)
 66 
#  Here, we add local rules (i.e. ssh from Internet)
74 
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
 67 
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
75 
        . /usr/local/etc/alcasar-iptables-local.sh
 68 
        . /usr/local/etc/alcasar-iptables-local.sh
76 
fi
 69 
fi
77 
 
 70 
 
78 
# On interdit le DNS en FORWARD (bloque les changements de serveurs DNS une fois authentifié ...)
 71 
# Deny forward DNS (even for authenticated users ...)
79 
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
 72 
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
80 
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 73 
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
81 
 
 74 
 
82 
# On autorise en FORWARD les connexions déjà établies
 75 
# Conntrack on forward
83 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 76 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
84 
 
 77 
 
- 
 
 78 
#####################################
85 
# Si filtrage de protocoles réseau
 79 
#  If protocols filter is activate  #
- 
 
 80 
#####################################
86 
if [ $FILTERING = "yes" ]; then
 81 
if [ $FILTERING = "yes" ]; then
87 
	# On traite les IP en exception
82 
	# Compute exception IP
88 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
 83 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
89 
	if [ $nb_exceptions != "0" ]
 84 
	if [ $nb_exceptions != "0" ]
90 
	then
 85 
	then
91 
		while read ip_exception
86 
		while read ip_exception
92 
		do
 87 
		do
93 
			echo $ip_exception
88 
			echo $ip_exception
94 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
 89 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
95 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
 90 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
96 
		done < /usr/local/etc/alcasar-filter-exceptions
 91 
		done < /usr/local/etc/alcasar-filter-exceptions
97 
	fi
 92 
	fi
98 
	# On autorise les protoles non commentés
 93 
	# Allow non comment protocols
99 
	while read svc_line
 94 
	while read svc_line
100 
	do
 95 
	do
101 
		svc_on=`echo $svc_line|cut -b1`
 96 
		svc_on=`echo $svc_line|cut -b1`
102 
		if [ $svc_on != "#" ]
 97 
		if [ $svc_on != "#" ]
103 
		then
98 
		then
Line 110... Line 105...
110 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "
 105 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "
111 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT
 106 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT
112 
			fi
 107 
			fi
113 
		fi
 108 
		fi
114 
	done < /usr/local/etc/alcasar-services
 109 
	done < /usr/local/etc/alcasar-services
115 
	#tout le reste est bloqué
 110 
	# reject the others
116 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
 111 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
117 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
 112 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
118 
	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
 113 
	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
119 
	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
114 
	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
120 
fi
 115 
fi
121 
# On autorise les demandes de connexions sortantes (avec log)
 116 
# Allow forward connections with log
122 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
 117 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE F_all -- ACCEPT "
123 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
 118 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
124 
 
 119 
 
- 
 
 120 
####################################################################################
125 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
 121 
#  Imput from local network (dns, ntp, https, http, ssh and 3990 (user disconnect) #
- 
 
 122 
####################################################################################
126 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
 123 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
127 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
 124 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
128 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
 125 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
129 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
 126 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
- 
 
 127 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-LAN -- ACCEPT"
130 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
 128 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
131 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
 129 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
132 
 
 130 
 
133 
# On autorise le retour des connexions entrantes déjà acceptées
 131 
# Conntrack on INPUT
134 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 132 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
135 
 
 133 
 
136 
# On interdit les connexions directes sur le port de DansGuardian (8080)
 134 
# Deny direct connections on DansGuardian port (8080)
137 
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
 135 
# The concerned paquets are marked by a pre-routing rule (see further)
138 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
 136 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
139 
# On autorise les connexions sur DansGuardian
 137 
# Allow connections for DansGuardian
140 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 138 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
141 
 
 139 
 
142 
# On log les requêtes HTTP sortantes (demande de connexion seulement)
 140 
# Log HTTP requests (only syn)
143 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "
 141 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE F_http -- ACCEPT "
144 
# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")
 142 
# Redirect HTTP request in DansGuardian (transparent proxy)
145 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
 143 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
146 
# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)
 144 
# Mark the dansguardian bypass attempts
147 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
 145 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
148 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 146 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
149 
 
 147 
 
150 
# On interdit et on log le reste sur l'interface interne
 148 
# Deny and log on INPUT from the LAN
151 
$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
 149 
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
152 
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
 150 
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
153 
$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
 151 
$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
154 
# Pour EXTIF, étudier l'utilité de logger dans un autre fichier (avec l'option --limit pour éviter les denis de service)
 152 
# On EXTIF, the access attempts are log in channel 2 (we should test --limit option to avoid deny of service)
155 
# $IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "
 153 
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
156 
# On drop le reste sur l'interface externe
 154 
# Drop on EXTIF
157 
$IPTABLES -A INPUT -i $EXTIF -j DROP
 155 
$IPTABLES -A INPUT -i $EXTIF -j DROP
158 
 
 156 
 
159 
# On active le masquage d'adresse par translation (NAT)
 157 
# Dynamic NAT on EXTIF
160 
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 158 
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
161 
 
 159 
 
162 
# On sauvegarde les règles
 160 
# Save all rules
163 
/etc/init.d/iptables save
 161 
/etc/init.d/iptables save
164 
 
 162 
 
165 
# On ne log pas les Log_martians (pour la mdv 2009 seulement)
 163 
# no martians log (for mdv2009 only)
166 
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 164 
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
167 
 
 165 
 
168 
# Fin du script des règles du parefeu
 166 
# End of script
169 
 
 167