WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh

 #!/bin/sh
-# $Id: alcasar-iptables.sh 790 2012-01-12 23:23:59Z richard $
+# $Id: alcasar-iptables.sh 791 2012-01-13 21:31:36Z richard $
 # Script de mise en place des regles du parefeu d'Alcasar (mode normal)
 # This script write the netfilter rules for ALCASAR
 # Rexy - 3abtux - CPN
+#
 # Reminders
 $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 # On interdit les connexions directes au port utilisé par DansGuardian (8080). Les packets concernés ont été marqués dans la table mangle (PREROUTING)
 # Deny direct connections on DansGuardian port (8080). The concerned paquets are marked in mangle table (PREROUTING)
 $IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j REJECT --reject-with tcp-reset
+# Filtrage de l'accès au LAN connecté sur EXTIF (eth0)
+# EXTIF (eth0) connected LAN filtering
+if [ $EXT_LAN_FILTERING = on ]; then
+$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $public_ip_mask -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
+else
 # Autorisation des connexions légitimes à DansGuardian
 # Allow connections for DansGuardian
 $IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
+fi
 # On interdit les connexions directes au port UDP 54. Les packets concernés ont été marqués dans la table mangle (PREROUTING)
 # Deny direct connections on UDP 54. The concerned paquets are marked in mangle table (PREROUTING)
 $IPTABLES -A INPUT -i $TUNIF -p udp --dport 54 -m mark --mark 2 -j REJECT --reject-with icmp-port-unreachable
 # autorisation des connexion légitime à DNSMASQ (avec blackhole)
 # Allow connections for DNSMASQ (with blackhole)
 $IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport 54 -j ACCEPT
 # Accès direct aux services internes
 $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
 #############################
 #        FORWARD            #
 #############################
-# Autorisation des retours de connexions légitimes
-# Allow conntrack
-$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 # Rejet des requêtes DNS vers Internet
 # Deny forward DNS
 $IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
 $IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 	$IPTABLES -A FORWARD -i $TUNIF -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
 	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
 	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
 	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
 fi
+# Autorisation des retours de connexions légitimes
+# Allow conntrack
+$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-########################
 #  If QOS is activate  #
-########################
 if [ $QOS = on ] && [ -e /usr/local/etc/alcasar-iptables-qos.sh ]; then
 	. /usr/local/etc/alcasar-iptables-qos.sh
 fi
 # Autorisation des connections sortant du LAN

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh – Rev 790 → 791