| Line 1... |
Line 1... |
| 1 |
#!/bin/sh
|
1 |
#!/bin/sh
|
| 2 |
# $Id: alcasar-iptables.sh 791 2012-01-13 21:31:36Z richard $
|
2 |
# $Id: alcasar-iptables.sh 810 2012-02-06 21:45:53Z franck $
|
| 3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
| 4 |
# This script write the netfilter rules for ALCASAR
|
4 |
# This script write the netfilter rules for ALCASAR
|
| 5 |
# Rexy - 3abtux - CPN
|
5 |
# Rexy - 3abtux - CPN
|
| 6 |
#
|
6 |
#
|
| 7 |
# Reminders
|
7 |
# Reminders
|
| Line 114... |
Line 114... |
| 114 |
#############################
|
114 |
#############################
|
| 115 |
# Tout passe sur loopback
|
115 |
# Tout passe sur loopback
|
| 116 |
# accept all on loopback
|
116 |
# accept all on loopback
|
| 117 |
$IPTABLES -A INPUT -i lo -j ACCEPT
|
117 |
$IPTABLES -A INPUT -i lo -j ACCEPT
|
| 118 |
|
118 |
|
| - |
|
119 |
# Insertion de règles de blocage (Devel)
|
| - |
|
120 |
# Here, we add block rules (Devel)
|
| - |
|
121 |
if [ -f /usr/local/etc/alcasar-iptables-block.sh ]; then
|
| - |
|
122 |
. /usr/local/etc/alcasar-iptables-block.sh
|
| - |
|
123 |
fi
|
| - |
|
124 |
|
| 119 |
# Rejet des demandes de connexions non conformes (FIN-URG-PUSH, XMAS, NullScan, SYN-RST et NEW not SYN)
|
125 |
# Rejet des demandes de connexions non conformes (FIN-URG-PUSH, XMAS, NullScan, SYN-RST et NEW not SYN)
|
| 120 |
# Drop non standard connexions (FIN-URG-PUSH, XMAS, NullScan, SYN-RST et NEW not SYN)
|
126 |
# Drop non standard connexions (FIN-URG-PUSH, XMAS, NullScan, SYN-RST et NEW not SYN)
|
| 121 |
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
|
127 |
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
|
| 122 |
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
|
128 |
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
|
| 123 |
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
|
129 |
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
|
| 124 |
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
|
130 |
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
|
| 125 |
$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
|
131 |
$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
|
| 126 |
|
132 |
|
| 127 |
# On rejète les trame en broadcast et en multicast sur EXTIF (pour ne pas les journaliser)
|
133 |
# On rejette les trame en broadcast et en multicast sur EXTIF (pour ne pas les journaliser)
|
| 128 |
# Drop broadcast & multicast on EXTIF to not be logged
|
134 |
# Drop broadcast & multicast on EXTIF to not be logged
|
| 129 |
$IPTABLES -A INPUT -i $EXTIF -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
|
135 |
$IPTABLES -A INPUT -i $EXTIF -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
|
| 130 |
|
136 |
|
| 131 |
# On autorise les retours de connexions légitimes par INPUT
|
137 |
# On autorise les retours de connexions légitimes par INPUT
|
| 132 |
# Conntrack on INPUT
|
138 |
# Conntrack on INPUT
|