Subversion Repositories ALCASAR

Rev

Rev 1822 | Rev 1852 | Go to most recent revision | Show entire file | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 1822 Rev 1827
Line 1... Line 1...
1
#!/bin/bash
1
#!/bin/bash
2
# $Id: alcasar-iptables.sh 1822 2016-04-08 16:21:33Z raphael.pion $
2
# $Id: alcasar-iptables.sh 1827 2016-04-19 09:47:29Z raphael.pion $
3
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
3
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
4
# This script writes the netfilter rules for ALCASAR
4
# This script writes the netfilter rules for ALCASAR
5
# Rexy - 3abtux - CPN
5
# Rexy - 3abtux - CPN
6
#
6
#
7
# Reminders
7
# Reminders
Line 151... Line 151...
151
fi
151
fi
152
 
152
 
153
#############################
153
#############################
154
#       PREROUTING          #
154
#       PREROUTING          #
155
#############################
155
#############################
-
 
156
 
-
 
157
# Redirection des requetes DNS des utilisateurs non connectés dans le DNS-Blackhole
-
 
158
# Redirect users not connected DNS requests in DNS-Blackhole
-
 
159
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p tcp --dport domain -j REDIRECT --to-port 56
-
 
160
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p udp --dport domain -j REDIRECT --to-port 56
-
 
161
 
-
 
162
 
156
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
163
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
157
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
164
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
158
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
165
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
159
 
166
 
160
# Marquage (et journalisation) des paquets qui tentent d'accéder directement au 8080 (DansGuardian) pour pouvoir les rejeter en INPUT
167
# Marquage (et journalisation) des paquets qui tentent d'accéder directement au 8080 (DansGuardian) pour pouvoir les rejeter en INPUT
Line 210... Line 217...
210
 
217
 
211
# Redirection des requêtes NTP vers le serveur NTP local
218
# Redirection des requêtes NTP vers le serveur NTP local
212
# Redirect NTP request in local NTP server
219
# Redirect NTP request in local NTP server
213
$IPTABLES -A PREROUTING -t nat -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $PRIVATE_IP -p udp --dport ntp -j REDIRECT --to-port 123
220
$IPTABLES -A PREROUTING -t nat -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $PRIVATE_IP -p udp --dport ntp -j REDIRECT --to-port 123
214
 
221
 
215
# Redirection des requetes DNS des utilisateurs non connectés dans le DNS-Blackhole
-
 
216
# Redirect users not connected DNS requests in DNS-Blackhole
-
 
217
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p tcp --dport domain -j REDIRECT --to-port 56
-
 
218
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p udp --dport domain -j REDIRECT --to-port 56
-
 
219
 
-
 
220
#############################
222
#############################
221
#         INPUT             #
223
#         INPUT             #
222
#############################
224
#############################
223
 
225
 
224
# Tout passe sur loopback
226
# Tout passe sur loopback