WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh



#!/bin/sh
# $Id: alcasar-iptables.sh 577 2011-04-18 18:30:38Z franck $
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
# This script write the netfilter rules for ALCASAR
# Rexy - 3abtux - CPN
# There are three channels for log :
#	1 (default) for tracability;

$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
 
#############################
# filtering outside OUTPUT. #
#############################
 
 
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
# Everything is allowed but traffic through outside network interface
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
 
 
# On autorise les requêtes DNS vers les serveurs DNS identifiés 
# Allow DNS requests to identified DNS servers
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
# On autorise les requêtes http sortantes
# HTTP requests are allowed

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 3042 – Rev 574 → 577

Rev 574		Rev 577
Line 1...		Line 1...
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar-iptables.sh 574 2011-04-16 07:27:43Z franck $`	2	`# $Id: alcasar-iptables.sh 577 2011-04-18 18:30:38Z franck $`
3	`# Script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# Script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# This script write the netfilter rules for ALCASAR`	4	`# This script write the netfilter rules for ALCASAR`
5	`# Rexy - 3abtux - CPN`	5	`# Rexy - 3abtux - CPN`
6	`# There are three channels for log :`	6	`# There are three channels for log :`
7	`# 1 (default) for tracability;`	7	`# 1 (default) for tracability;`
Line 215...		Line 215...
215	`$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"`	215	`$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"`
216		216
217	`#############################`	217	`#############################`
218	`# filtering outside OUTPUT. #`	218	`# filtering outside OUTPUT. #`
219	`#############################`	219	`#############################`
220	`# Obligatoire pour permettre les requêtes proxysées pour les exceptions domain et URLs (... à afiner avec celle du dessous)`	-
221	`$IPTABLES -A OUTPUT -o $EXTIF --dport http -j ACCEPT`	-
222	`# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur`	220	`# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur`
223	`# Everything is allowed but traffic through outside network interface`	221	`# Everything is allowed but traffic through outside network interface`
224	`$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT`	222	`$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT`
225		223
226		-
227	`# On autorise les requêtes DNS vers les serveurs DNS identifiés`	224	`# On autorise les requêtes DNS vers les serveurs DNS identifiés`
228	`# Allow DNS requests to identified DNS servers`	225	`# Allow DNS requests to identified DNS servers`
229	`$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT`	226	`$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT`
230	`# On autorise les requêtes http sortantes`	227	`# On autorise les requêtes http sortantes`
231	`# HTTP requests are allowed`	228	`# HTTP requests are allowed`