Line 1... |
Line 1... |
1 |
#!/bin/bash
|
1 |
#!/bin/bash
|
2 |
# $Id: alcasar-iptables.sh 1822 2016-04-08 16:21:33Z raphael.pion $
|
2 |
# $Id: alcasar-iptables.sh 1827 2016-04-19 09:47:29Z raphael.pion $
|
3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
4 |
# This script writes the netfilter rules for ALCASAR
|
4 |
# This script writes the netfilter rules for ALCASAR
|
5 |
# Rexy - 3abtux - CPN
|
5 |
# Rexy - 3abtux - CPN
|
6 |
#
|
6 |
#
|
7 |
# Reminders
|
7 |
# Reminders
|
Line 151... |
Line 151... |
151 |
fi
|
151 |
fi
|
152 |
|
152 |
|
153 |
#############################
|
153 |
#############################
|
154 |
# PREROUTING #
|
154 |
# PREROUTING #
|
155 |
#############################
|
155 |
#############################
|
- |
|
156 |
|
- |
|
157 |
# Redirection des requetes DNS des utilisateurs non connectés dans le DNS-Blackhole
|
- |
|
158 |
# Redirect users not connected DNS requests in DNS-Blackhole
|
- |
|
159 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p tcp --dport domain -j REDIRECT --to-port 56
|
- |
|
160 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p udp --dport domain -j REDIRECT --to-port 56
|
- |
|
161 |
|
- |
|
162 |
|
156 |
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
|
163 |
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
|
157 |
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
|
164 |
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
|
158 |
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
|
165 |
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
|
159 |
|
166 |
|
160 |
# Marquage (et journalisation) des paquets qui tentent d'accéder directement au 8080 (DansGuardian) pour pouvoir les rejeter en INPUT
|
167 |
# Marquage (et journalisation) des paquets qui tentent d'accéder directement au 8080 (DansGuardian) pour pouvoir les rejeter en INPUT
|
Line 210... |
Line 217... |
210 |
|
217 |
|
211 |
# Redirection des requêtes NTP vers le serveur NTP local
|
218 |
# Redirection des requêtes NTP vers le serveur NTP local
|
212 |
# Redirect NTP request in local NTP server
|
219 |
# Redirect NTP request in local NTP server
|
213 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $PRIVATE_IP -p udp --dport ntp -j REDIRECT --to-port 123
|
220 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $PRIVATE_IP -p udp --dport ntp -j REDIRECT --to-port 123
|
214 |
|
221 |
|
215 |
# Redirection des requetes DNS des utilisateurs non connectés dans le DNS-Blackhole
|
- |
|
216 |
# Redirect users not connected DNS requests in DNS-Blackhole
|
- |
|
217 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p tcp --dport domain -j REDIRECT --to-port 56
|
- |
|
218 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p udp --dport domain -j REDIRECT --to-port 56
|
- |
|
219 |
|
- |
|
220 |
#############################
|
222 |
#############################
|
221 |
# INPUT #
|
223 |
# INPUT #
|
222 |
#############################
|
224 |
#############################
|
223 |
|
225 |
|
224 |
# Tout passe sur loopback
|
226 |
# Tout passe sur loopback
|