WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh

-#!/bin/bash
+#!/bin/sh
-# $Id: alcasar-iptables.sh 672 2011-07-08 15:34:22Z richard $
+# $Id: alcasar-iptables.sh 675 2011-07-18 21:24:19Z richard $
-# alcasar-iptables.sh
-# by Rexy - 3abtux - CPN
-# This script is distributed under the Gnu General Public License (GPL)
-# Mise en place des regles du parefeu d'Alcasar (mode normal)
+# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
 # This script write the netfilter rules for ALCASAR
+# Rexy - 3abtux - CPN
+#
+# Reminders
 # There are three channels for log :
 #	1 (default) for tracability;
 #	2 for secure admin (ssh);
 #	3 for exterior access attempts.
 # The French Security Agency (ANSSI) rules was applied by 'alcasar.sh' script
+# The bootps/dhcp (67) port is always open on tun0/eth1 by coova
 conf_file="/usr/local/etc/alcasar.conf"
 private_ip_mask=`grep PRIVATE_IP $conf_file|cut -d"=" -f2`
 private_ip_mask=${private_ip_mask:=192.168.182.1/24}
 private_network=`/bin/ipcalc -n $private_ip_mask|cut -d"=" -f2`		# LAN IP address (ie.: 192.168.182.0)
 LDAP=`grep LDAP $conf_file|cut -d"=" -f2`				# ldap external server active (on/off)
 LDAP=${LDAP:=off}
 PRIVATE_NETWORK_MASK=$private_network/$private_prefix			# Lan IP address + prefix (192.168.182.0/24)
 PRIVATE_IP=`echo $private_ip_mask | cut -d"/" -f1`			# ALCASAR LAN IP address
 DNSSERVERS="$dns1,$dns2"						# first and second DNS IP servers addresses
 EXTIF="eth0"
 INTIF="eth1"
 TUNIF="tun0"								# listen card for chilli daemon
 IPTABLES="/sbin/iptables"
 # Effacement des règles existantes
 $IPTABLES -t nat -P OUTPUT ACCEPT
 # Tout passe sur loopback
 # accept all on loopback
 $IPTABLES -A INPUT -i lo -j ACCEPT
-# On élimine les paquets "NEW not SYN"
-# Ensure that TCP connections start with syn packets
-$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
 #############################
 #       INTIF rules         #
 #############################
-# les requètes dhcp entrantes sont acceptées
-# accept dhcp
-$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
-# La règle suivante interdit la sortie par INTIF. Elle n'est utile que lorsque chilli est arrêté.
+# interdit l'accès à INTIF (n'est utile que lorsque chilli est arrêté).
-# INTIF is closed (all by TUNIF)
+# Reject INTIF access (only when chilli is down)
 $IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
 $IPTABLES -A INPUT -i $INTIF -j REJECT
 #############################
 #  Local protection rules   #
 #############################
-# On stoppe les tentatives de NULLSCAN et XMAS (tous flags à 1)
+# On stoppe les demande de connexions non conformes (NullScan, XMAS (tous flags à 1), NEW not SYN, etc.)
-# Drop XMAS & NULLscans
+# Drop non standard connexions (NULLscans, XMAS, "NEW not SYN", etc.)
 $IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
 $IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
 $IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
 $IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
+$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
-# On stoppe les broadcasts et multicast
+# On ne traite pas les broadcasts et multicast
 # Drop broadcast & multicast
 $IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 # Rejet des tentatives de création de tunnels DNS (même pour les utilisateurs authentifiés)
 # Deny forward DNS (even for authenticated users ...)

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 2668 – Rev 672 → 675