WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh



#!/bin/sh
# $Id: alcasar-iptables.sh 770 2011-11-16 20:53:35Z richard $
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
# This script write the netfilter rules for ALCASAR
# Rexy - 3abtux - CPN
#
# Reminders

# On interdit les connexions directes au port utilisé par DansGuardian (8080)
# Les packets concernés ont fait l'objet d'un marquage dans la table mangle 
# lors d'une règle de PREROUTING (voir plus bas)
# Deny direct connections on DansGuardian port (8080)
# The concerned paquets are marked by a pre-routing rule (see further)
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j REJECT --reject-with tcp-reset
# Autorisation des connexions à DansGuardian 
# Allow connections for DansGuardian
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 
# Journalisation des requètes HTTP (seulement des paquets SYN)

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 2668 – Rev 768 → 770

Rev 768		Rev 770
Line 1...		Line 1...
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar-iptables.sh 768 2011-11-11 21:04:20Z richard $`	2	`# $Id: alcasar-iptables.sh 770 2011-11-16 20:53:35Z richard $`
3	`# Script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# Script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# This script write the netfilter rules for ALCASAR`	4	`# This script write the netfilter rules for ALCASAR`
5	`# Rexy - 3abtux - CPN`	5	`# Rexy - 3abtux - CPN`
6	`#`	6	`#`
7	`# Reminders`	7	`# Reminders`
Line 214...		Line 214...
214	`# On interdit les connexions directes au port utilisé par DansGuardian (8080)`	214	`# On interdit les connexions directes au port utilisé par DansGuardian (8080)`
215	`# Les packets concernés ont fait l'objet d'un marquage dans la table mangle`	215	`# Les packets concernés ont fait l'objet d'un marquage dans la table mangle`
216	`# lors d'une règle de PREROUTING (voir plus bas)`	216	`# lors d'une règle de PREROUTING (voir plus bas)`
217	`# Deny direct connections on DansGuardian port (8080)`	217	`# Deny direct connections on DansGuardian port (8080)`
218	`# The concerned paquets are marked by a pre-routing rule (see further)`	218	`# The concerned paquets are marked by a pre-routing rule (see further)`
219	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`	219	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j REJECT --reject-with tcp-reset`
220	`# Autorisation des connexions à DansGuardian`	220	`# Autorisation des connexions à DansGuardian`
221	`# Allow connections for DansGuardian`	221	`# Allow connections for DansGuardian`
222	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`	222	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`
223		223
224	`# Journalisation des requètes HTTP (seulement des paquets SYN)`	224	`# Journalisation des requètes HTTP (seulement des paquets SYN)`