Rev 1581 | Rev 1627 | Go to most recent revision | Blame | Compare with Previous | Last modification | View Log
#!/bin/sh
# $Id: alcasar-iptables-local.sh 1618 2015-04-14 20:02:59Z franck $
# script de mise en place des regles personnalisées du parefeu d'Alcasar
# Rexy - 3abtux - CPN
# version 2.1 (12/2014)
# changelog :
# + autorisation de l'ICMP vers EXTIF
# + autorisation SMTP vers serveur extérieur (SMTP_IP)
# + autorisation PAT depuis l'extérieur
# List of MAC filtered in /usr/local/etc/alcasar-iptables-local-filtered ; format : aa:09:23:2f:4d:ee
CONF_FILE="/usr/local/etc/alcasar.conf"
EXTIF=`grep ^EXTIF= $CONF_FILE|cut -d"=" -f2` # EXTernal InterFace
INTIF=`grep ^INTIF= $CONF_FILE|cut -d"=" -f2` # INTernal InterFace
# filtrage particulier ciblés
if [ -s /usr/local/etc/alcasar-iptables-local-filtered ]; then
while read mac_line
do
ip_on=`echo $mac_line|cut -b1`
if [ $ip_on != "#" ]
then
mac_filtered=`echo $mac_line|cut -d" " -f1`
echo "MAC filtered = $mac_filtered"
$IPTABLES -A FORWARD -i $INTIF -m mac --mac-source $mac_filtered -j ULOG --ulog-prefix "$mac_filtered -- Filt_DROP"
$IPTABLES -A FORWARD -i $INTIF -p tcp -m mac --mac-source $mac_filtered -j DROP
$IPTABLES -A FORWARD -i $INTIF -p udp -m mac --mac-source $mac_filtered -j DROP
$IPTABLES -A FORWARD -i $INTIF -m mac --mac-source $mac_filtered -j DROP
fi
done < /usr/local/etc/alcasar-iptables-local-filtered
fi
# On autorise le ping (echo & request) (icmp N°0 & 8) en provenance de l'extérieur vers ALCASAR
# ping (echo & request) (icmp N°0 & 8) is allowed on EXTIF
#$IPTABLES -A INPUT -i $EXTIF -s $Admin_from_IP -p icmp --icmp-type 8 -j ACCEPT
#$IPTABLES -A OUTPUT -o $EXTIF -d $Admin_from_IP -p icmp --icmp-type 0 -j ACCEPT
# On autorise l'accès à un serveur MAIL (SMTP) pour l'envoie de rapports, alertes (logwatch, etc.)
#SMTP_IP=0.0.0.0 # renseigner l'@IP du serveur SMTP
#$IPTABLES -A OUTPUT -p tcp -d $SMTP_IP --dport smtp -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPTABLES -A INPUT -p tcp -s $SMTP_IP --sport smtp -m state --state ESTABLISHED -j ACCEPT
# On autorise du PAT (Port Adresse Translation) afin de pouvoir joindre des équipements du LAN depuis Internet
#m_ports=5000,5001
#to_ip=192.168.182.3
#$IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $m_ports -j DNAT --to $to_ip
#$IPTABLES -A FORWARD -i $EXTIF -p tcp -d $to_ip -m multiport --dports $m_ports -j ACCEPT
# Fin du script des règles du parefeu