| Line 1... |
Line 1... |
| 1 |
#!/bin/sh
|
1 |
#!/bin/sh
|
| 2 |
# $Id: alcasar-iptables.sh 694 2011-08-03 04:38:09Z franck $
|
2 |
# $Id: alcasar-iptables.sh 726 2011-10-04 20:36:38Z franck $
|
| 3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
| 4 |
# This script write the netfilter rules for ALCASAR
|
4 |
# This script write the netfilter rules for ALCASAR
|
| 5 |
# Rexy - 3abtux - CPN
|
5 |
# Rexy - 3abtux - CPN
|
| 6 |
#
|
6 |
#
|
| 7 |
# Reminders
|
7 |
# Reminders
|
| Line 229... |
Line 229... |
| 229 |
# Journalisation et marquage des paquets qui tentent d'accéder directement à DansGuardian
|
229 |
# Journalisation et marquage des paquets qui tentent d'accéder directement à DansGuardian
|
| 230 |
# pour pouvoir les supprimer en INPUT (voir plus haut)
|
230 |
# pour pouvoir les supprimer en INPUT (voir plus haut)
|
| 231 |
# Mark the dansguardian bypass attempts
|
231 |
# Mark the dansguardian bypass attempts
|
| 232 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
|
232 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
|
| 233 |
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
|
233 |
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
|
| - |
|
234 |
# On redirige les requêtes NTP vers le serveur NTP local
|
| - |
|
235 |
# Redirect NTP request in local NTP server
|
| - |
|
236 |
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport ntp -j REDIRECT --to-port 123
|
| 234 |
|
237 |
|
| 235 |
# Journalisation et rejet des connexions (autres que celles autorisées) effectuées depuis le LAN
|
238 |
# Journalisation et rejet des connexions (autres que celles autorisées) effectuées depuis le LAN
|
| 236 |
# Deny and log on INPUT from the LAN
|
239 |
# Deny and log on INPUT from the LAN
|
| 237 |
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
|
240 |
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
|
| 238 |
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
|
241 |
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
|