/scripts/alcasar-iptables-bypass.sh |
---|
8,6 → 8,7 |
# + Prise en compte de regles locales |
# + prise en compte optionnelle d'un fichier iptables 'personnel' permettant de bloquer certains flux/services |
# + suppression du broadcast et du multicast sur les interfaces |
# + adaptation dnsmasq |
IPTABLES="/sbin/iptables" |
58,16 → 59,14 |
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then |
. /usr/local/etc/alcasar-iptables-local.sh |
fi |
# On interdit le tranfert des requête DNS (sans LOG) |
$IPTABLES -A FORWARD -i $INTIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable |
$IPTABLES -A FORWARD -i $INTIF -p tcp --dport domain -j REJECT --reject-with tcp-reset |
# On autorise le flux dans les deux sens (avec Log sur les demandes de connexion). |
# On autorise en FORWARD les connexions déjà établies |
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT |
$IPTABLES -A FORWARD -o $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT " |
$IPTABLES -A FORWARD -j ACCEPT |
#$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT |
# On autorise les demandes de connexions sortantes |
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert -- ACCEPT " |
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT |
# On autorise les flux entrant ntp, dns et ssh via INTIF |
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT |
$IPTABLES -A INPUT -i $INTIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT |
/scripts/alcasar-iptables.sh |
---|
12,12 → 12,12 |
# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE" |
IPTABLES="/sbin/iptables" |
FILTERING="no" |
FILTERING="yes" |
EXTIF="eth0" |
INTIF="eth1" |
TUNIF="tun0" |
PRIVATE_NETWORK_MASK="182.168.182.0/24" |
PRIVATE_IP="182.168.182.1" |
PRIVATE_NETWORK_MASK="192.168.182.0/24" |
PRIVATE_IP="192.168.182.1" |
# On vide (flush) toutes les règles existantes |
$IPTABLES -F |
77,7 → 77,7 |
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable |
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset |
# On autorise les connexions déjà établies |
# On autorise en FORWARD les connexions déjà établies |
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT |
# Si filtrage de protocoles réseau |
116,9 → 116,9 |
$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable |
$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT |
fi |
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes) |
# On autorise les demandes de connexions sortantes (avec log) |
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT " |
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT |
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT |
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT |
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT |
/scripts/alcasar-conf.sh |
---|
35,7 → 35,7 |
cp -f /etc/pki/CA/alcasar-ca.crt $DIR_UPDATE |
cp -f /etc/pki/CA/private/alcasar-ca.key $DIR_UPDATE |
# Sauvegarde de la base des usagers |
/usr/local/sbin/alcasar-mysql.sh --dump |
/usr/local/sbin/alcasar-mysql.sh -dump |
cp /var/Save/base/`ls /var/Save/base|tail -1` $DIR_UPDATE |
# Sauvegarde des comptes de gestion |
if [ -e $DIR_WEB/digest ] |