Subversion Repositories ALCASAR

Rev

Rev 519 | Rev 568 | Go to most recent revision | Show entire file | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 519 Rev 520
Line 1... Line 1...
1 
#!/bin/sh
 1 
#!/bin/sh
2 
# $Id: alcasar-iptables.sh 519 2011-03-25 16:30:32Z stephane $
 2 
# $Id: alcasar-iptables.sh 520 2011-03-27 20:55:05Z richard $
3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
 3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
4 
# Rexy - 3abtux - CPN
 4 
# Rexy - 3abtux - CPN
5 
# there are three channels for log :
 5 
# there are three channels for log :
6 
#	1 (default) for tracability;
 6 
#	1 (default) for tracability;
7 
#	2 for secure admin (ssh);
 7 
#	2 for secure admin (ssh);
8 
#	3 for exterior access attempts.
 8 
#	3 for exterior access attempts.
9 
 
 9 
 
10 
 
 - 
 
11 
IPTABLES="/sbin/iptables"
 10 
IPTABLES="/sbin/iptables"
- 
 
 11 
PROTO_FILTERING="no"
12 
FILTERING="no"
 12 
DNS_FILTERING="no"
13 
QOS="no"
 13 
QOS="no"
14 
EXTIF="eth0"
 14 
EXTIF="eth0"
15 
INTIF="eth1"
 15 
INTIF="eth1"
16 
TUNIF="tun0"
 16 
TUNIF="tun0"
17 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
 17 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
Line 39... Line 39...
39 
$IPTABLES -P OUTPUT DROP
 39 
$IPTABLES -P OUTPUT DROP
40 
$IPTABLES -t nat -P PREROUTING ACCEPT
 40 
$IPTABLES -t nat -P PREROUTING ACCEPT
41 
$IPTABLES -t nat -P POSTROUTING ACCEPT
 41 
$IPTABLES -t nat -P POSTROUTING ACCEPT
42 
$IPTABLES -t nat -P OUTPUT ACCEPT
 42 
$IPTABLES -t nat -P OUTPUT ACCEPT
43 
 
 43 
 
44 
# Création des chaînes utilisateur
 - 
 
45 
# User defined chains
 - 
 
46 
$IPTABLES -N SYN-FLOOD
 - 
 
47 
 
 - 
 
48 
# Tout passe sur loopback
 44 
# Tout passe sur loopback
49 
# accept all on loopback
 45 
# accept all on loopback
50 
$IPTABLES -A INPUT -i lo -j ACCEPT
 46 
$IPTABLES -A INPUT -i lo -j ACCEPT
51 
 
 - 
 
52 
# Blocage des tentatives de spoofing de l'adresse de loopback
- 
 
53 
# Block all attempts to spoof the loopback address
 - 
 
54 
$IPTABLES -A INPUT -s 127.0.0.0/8 -j DROP
 - 
 
55 
$IPTABLES -A INPUT -d 127.0.0.0/8 -j DROP
 - 
 
56 
 
 - 
 
57 
# Blocage des tentatives de spoofing de l'adresse IP côté interne
- 
 
58 
# Block all attempts to spoof the local IP address
 - 
 
59 
$IPTABLES -A INPUT -s $PRIVATE_IP -j DROP
 - 
 
60
47
61 
# Blocage des attaques de type SYN FLOOD
- 
 
62 
# Block Syn Flood attacks
 - 
 
63 
#$IPTABLES -A INPUT -p tcp -m tcp --syn -j SYN-FLOOD
 - 
 
64 
#$IPTABLES -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN
 - 
 
65 
#$IPTABLES -A SYN-FLOOD -j DROP
 - 
 
66 
 
 - 
 
67 
# On élimine les paquets "NEW not SYN"
 48 
# On élimine les paquets "NEW not SYN"
68 
# Ensure that TCP connections start with syn packets
 49 
# Ensure that TCP connections start with syn packets
69 
$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
 50 
$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
70 
 
 51 
 
71 
#############################
 52 
#############################
Line 92... Line 73...
92 
 
 73 
 
93 
# On stoppe les broadcasts et multicast
 74 
# On stoppe les broadcasts et multicast
94 
# Drop broadcast & multicast
 75 
# Drop broadcast & multicast
95 
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 76 
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
96 
 
 77 
 
97 
# Règles d'antispoofing
- 
 
98 
# Antispoofing rules with log
 - 
 
99 
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
 - 
 
100 
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
 - 
 
101 
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
 - 
 
102 
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
 - 
 
103 
 
 - 
 
104 
# On laisse passer les ICMP echo-request et echo-reply en provenance du LAN
 78 
# On laisse passer les ICMP echo-request et echo-reply en provenance du LAN
105 
# Allow ping (icmp N°0 & 8) from LAN
 79 
# Allow ping (icmp N°0 & 8) from LAN
106 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
 80 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
107 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 81 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
108 
 
 82 
 
Line 119... Line 93...
119 
 
 93 
 
120 
# On autorise les retours de connexions légitimes par FORWARD
 94 
# On autorise les retours de connexions légitimes par FORWARD
121 
# Conntrack on forward
 95 
# Conntrack on forward
122 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 96 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
123 
 
 97 
 
- 
 
 98 
###############################
- 
 
 99 
#  If DNS filter is activate  #
- 
 
 100 
###############################
- 
 
 101 
# Redirection des flux DNS vers le port 54 (dns+blackhole) sauf pour les IP en exceptions
- 
 
 102 
if [ $DNS_FILTERING = "yes" ]; then
- 
 
 103 
	# Compute exception IP
- 
 
 104 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
- 
 
 105 
	if [ $nb_exceptions != "0" ]
- 
 
 106 
	then
- 
 
 107 
		while read ip_exception
- 
 
 108 
		do
- 
 
 109 
			$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -s $ip_exception -d $PRIVATE_IP --dport domain -j ACCEPT
- 
 
 110 
		done < /usr/local/etc/alcasar-filter-exceptions
- 
 
 111 
	fi
- 
 
 112 
		$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -d $PRIVATE_IP --dport domain -j REDIRECT --to-port 54
- 
 
 113 
fi
124 
#####################################
 114 
#####################################
125 
#  If protocols filter is activate  #
 115 
#  If protocols filter is activate  #
126 
#####################################
 116 
#####################################
- 
 
 117 
# filtrage de protocoles sauf pour les IP en exceptions
127 
if [ $FILTERING = "yes" ]; then
 118 
if [ $PROTO_FILTERING = "yes" ]; then
128 
	# Mise en place des exceptions (adresses IP des machines ne faisant pas l'objet de filtrage)
 - 
 
129 
	# Compute exception IP
 119 
	# Compute exception IP
130 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
 120 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
131 
	if [ $nb_exceptions != "0" ]
 121 
	if [ $nb_exceptions != "0" ]
132 
	then
 122 
	then
133 
		while read ip_exception
123 
		while read ip_exception
134 
		do
 124 
		do
135 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
 125 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
136 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
 126 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
137 
			$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -s $ip_exception -d $PRIVATE_IP --dport domain -j REDIRECT --to-port 54
 - 
 
138 
		done < /usr/local/etc/alcasar-filter-exceptions
 127 
		done < /usr/local/etc/alcasar-filter-exceptions
139 
	fi
 128 
	fi
140 
	# Autorisation de protocoles non commentés
 129 
	# Autorisation des protocoles non commentés
141 
	# Allow non comment protocols
 130 
	# Allow non comment protocols
142 
	while read svc_line
 131 
	while read svc_line
143 
	do
 132 
	do
144 
		svc_on=`echo $svc_line|cut -b1`
 133 
		svc_on=`echo $svc_line|cut -b1`
145 
		if [ $svc_on != "#" ]
 134 
		if [ $svc_on != "#" ]
Line 176... Line 165...
176 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
 165 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
177 
 
 166 
 
178 
###########################################################################################
 167 
###########################################################################################
179 
#  Direct input from local network (dns, ntp, https, http, ssh and 3990 (user disconnect) #
 168 
#  Direct input from local network (dns, ntp, https, http, ssh and 3990 (user disconnect) #
180 
###########################################################################################
 169 
###########################################################################################
181 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT # dnsmasq pour tous
 170 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT # dnsmasq without forward
- 
 
 171 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport 54 -j ACCEPT # dnsmasq with blackhole
182 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
 172 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
183 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
 173 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
184 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
 174 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
185 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-LAN -- ACCEPT"
 175 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-LAN -- ACCEPT"
186 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
 176 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
Line 188... Line 178...
188 
 
 178 
 
189 
# On autorise les retours de connexions légitimes par INPUT
 179 
# On autorise les retours de connexions légitimes par INPUT
190 
# Conntrack on INPUT
 180 
# Conntrack on INPUT
191 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 181 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
192 
 
 182 
 
193 
# On interdit les connexions directes au port utilisé par DansGuardian (8080) et par dnsmasq-forward (54)
 183 
# On interdit les connexions directes au port utilisé par DansGuardian (8080)
194 
# Les packets concernés ont fait l'objet d'un marquage dans la table mangle
184 
# Les packets concernés ont fait l'objet d'un marquage dans la table mangle
195 
# lors d'une règle de PREROUTING (voir plus bas)
 185 
# lors d'une règle de PREROUTING (voir plus bas)
196 
# Deny direct connections on DansGuardian port (8080) and on dnsmasq-forward port (54)
 186 
# Deny direct connections on DansGuardian port (8080)
197 
# The concerned paquets are marked by a pre-routing rule (see further)
 187 
# The concerned paquets are marked by a pre-routing rule (see further)
198 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
 188 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
199 
$IPTABLES -A INPUT -i $TUNIF -p udp --dport 54 -m mark --mark 1 -j DROP
 - 
 
200 
# Autorisation des connexions à DansGuardian et dnsmasq-forward
 189 
# Autorisation des connexions à DansGuardian
201 
# Allow connections for DansGuardian and forward-mode dnsmasq
 190 
# Allow connections for DansGuardian
202 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 191 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
203 
$IPTABLES -A INPUT -i $TUNIF -p udp --dport 54 -j ACCEPT
 - 
 
204 
 
 192 
 
205 
# Journalisation des requètes HTTP (seulement des paquets SYN)
 193 
# Journalisation des requètes HTTP (seulement des paquets SYN)
206 
# Log HTTP requests (only syn)
 194 
# Log HTTP requests (only syn)
207 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE F_http -- ACCEPT "
 195 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE F_http -- ACCEPT "
208 
# On redirige les requêtes HTTP vers DansGuardian (transparent pour les utilisateurs)
 196 
# On redirige les requêtes HTTP vers DansGuardian (transparent pour les utilisateurs)
209 
# Redirect HTTP request in DansGuardian (transparent proxy)
 197 
# Redirect HTTP request in DansGuardian (transparent proxy)
210 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
 198 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
211 
# Journalisation et marquage des paquets qui tentent d'accéder directement à DansGuardian et à dnsmasq-forward
 199 
# Journalisation et marquage des paquets qui tentent d'accéder directement à DansGuardian
212 
# pour pouvoir les supprimer en INPUT (voir plus haut)
 200 
# pour pouvoir les supprimer en INPUT (voir plus haut)
213 
# Mark the dansguardian or dnsmasq bypass attempts
 201 
# Mark the dansguardian bypass attempts
214 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
 202 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
215 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -d $PRIVATE_IP -m udp --dport 54 -j ULOG --ulog-prefix "RULE direct-dns -- DENY "
 - 
 
216 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 203 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
217 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p udp -d $PRIVATE_IP -m udp --dport 54 -j MARK --set-mark 1
 - 
 
218 
 
 204 
 
219 
# Journalisation et rejet des connexions (autres que celles autorisées) effectuées depuis le LAN
 205 
# Journalisation et rejet des connexions (autres que celles autorisées) effectuées depuis le LAN
220 
# Deny and log on INPUT from the LAN
 206 
# Deny and log on INPUT from the LAN
221 
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
 207 
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
222 
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
 208 
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
Line 230... Line 216...
230 
# filtering outside OUTPUT. #
 216 
# filtering outside OUTPUT. #
231 
#############################
 217 
#############################
232 
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
 218 
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
233 
# Everything is allowed but traffic through outside network interface
 219 
# Everything is allowed but traffic through outside network interface
234 
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
 220 
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
- 
 
 221 
 
235 
# On autorise les requêtes DNS vers les serveurs DNS identifiés
222 
# On autorise les requêtes DNS vers les serveurs DNS identifiés
236 
# Allow DNS requests to identified DNS servers
 223 
# Allow DNS requests to identified DNS servers
237 
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
 224 
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
238 
# On autorise les requêtes http sortantes
 225 
# On autorise les requêtes http sortantes
239 
# HTTP requests are allowed
 226 
# HTTP requests are allowed