Subversion Repositories ALCASAR

#!/bin/sh

# $Id: alcasar-iptables-bypass.sh 321 2010-11-16 21:48:38Z franck $

# script d'initialisation des regles du parefeu en mode ByPass

# Rexy - 3abtux

# version 2.0 - 12/2010

# changelog :

#	+ Prise en compte de regles locales

# 	+ prise en compte optionnelle d'un fichier iptables 'personnel' permettant de bloquer certains flux/services

#	+ suppression log vers syslog

#	+ suppression du broadcast et du multicast sur les interfaces

IPTABLES="/sbin/iptables"

EXTIF="eth0"

INTIF="eth1"

PRIVATE_NETWORK_MASK="192.168.182.0/24"

# On vide (flush) toutes les règles existantes

$IPTABLES -F

$IPTABLES -t nat -F

$IPTABLES -F INPUT

$IPTABLES -F FORWARD

$IPTABLES -F OUTPUT

# On indique les politiques par défaut

$IPTABLES -P INPUT DROP

$IPTABLES -P FORWARD DROP

$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -t nat -P PREROUTING ACCEPT

$IPTABLES -t nat -P POSTROUTING ACCEPT

$IPTABLES -t nat -P OUTPUT ACCEPT

# On efface toutes les chaînes qui ne sont pas par défaut dans les tables filter et nat

$IPTABLES -X

$IPTABLES -t nat -X

# On autorise tout sur loopback

$IPTABLES -A INPUT -i lo -j ACCEPT

# on autorise les requêtes dhcp

$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT

#  On ajoute ici les règles spécifiques de filtrage réseau

if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then

        . /usr/local/etc/alcasar-iptables-local.sh

fi

# Règles d'antispoofing

$IPTABLES -A INPUT -i $INTIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "

$IPTABLES -A INPUT -i $INTIF ! -s $PRIVATE_NETWORK_MASK -j DROP

$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "

$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP

# On drop le broadcast et le multicasat sur les interfaces (sans Log)

$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP

# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN

$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT

# On autorise le tranfert des requête DNS (sans LOG)

$IPTABLES -A FORWARD -i $INTIF -p udp --dport  domain -j ACCEPT

# On autorise le flux dans les deux sens (avec Log sur les demandes de connexion).

$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT "

$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -i $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A FORWARD -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT

# On autorise les flux entrant ntp et ssh via INTIF

$IPTABLES -A INPUT -i $INTIF -p udp --dport ntp -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -p tcp --dport ssh -j ACCEPT

# On autorise les flux entrant des connexions déjà établies (ping à partir du portail par exemple)

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# On interdit et on log le reste sur les 2 interfaces d'accès

$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "

$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "

$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset

$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable

# On active le masquage d'adresse par translation (NAT)

$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE

/etc/init.d/iptables save

# Fin du script des regles du parefeu