140,6 → 140,10 |
############################# |
# PREROUTING # |
############################# |
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT |
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules |
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10 |
|
# Marquage (et journalisation) des paquets qui tentent d'accéder directement à DansGuardian pour pouvoir les rejeter en INPUT |
# mark (and log) the dansguardian bypass attempts in order to DROP them in INPUT rules |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY " |
219,6 → 223,10 |
# Drop broadcast & multicast on EXTIF to avoid log |
$IPTABLES -A INPUT -i $EXTIF -m addrtype --dst-type BROADCAST,MULTICAST -j DROP |
|
# On rejette les trames marquées dans PREROUTING MANGLE sur marqueur HTTP/header mark 3 |
# Tagged frames are discarded in PREROUTING MANGLE over HTTP/header marker mark 3 |
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp --dport 8080 -m mark --mark 10 -j REJECT --reject-with tcp-reset |
|
# On autorise les retours de connexions légitimes par INPUT |
# Conntrack on INPUT |
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT |