/alcasar.sh |
---|
13,10 → 13,10 |
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes |
# Options : |
# -install |
# -uninstall |
# -i or --install |
# -u or --uninstall |
# Funtions : |
# Functions : |
# testing : Tests de connectivité et de téléchargement avant installation |
# init : Installation des RPM et des scripts |
# network : Paramètrage du réseau |
34,6 → 34,7 |
# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours |
# BL : Configuration de la BlackList |
# cron : Mise en place des exports de logs (+ chiffrement) |
# post_install : Finalisation environnement ( CA, bannières, rotatoin logs, ...) |
VERSION=`cat VERSION` |
1188,6 → 1189,8 |
post_install() |
{ |
# adaptation du script "chien de garde" (watchdog) |
$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh |
$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh |
$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh |
# création de la bannière locale |
[ -e /etc/mandriva-release.default ] || cp /etc/mandriva-release /etc/mandriva-release.default |
/scripts/alcasar-iptables.sh |
---|
12,12 → 12,12 |
# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE" |
IPTABLES="/sbin/iptables" |
FILTERING="yes" |
FILTERING="no" |
EXTIF="eth0" |
INTIF="eth1" |
TUNIF="tun0" |
PRIVATE_NETWORK_MASK="182.168.180.0/24" |
PRIVATE_IP="182.168.180.1" |
PRIVATE_NETWORK_MASK="182.168.182.0/24" |
PRIVATE_IP="182.168.182.1" |
# On vide (flush) toutes les règles existantes |
$IPTABLES -F |
49,7 → 49,7 |
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT " |
$IPTABLES -A INPUT -i $INTIF -j REJECT |
## On drop les scans XMAS et NULL (à voir ...) |
## On drop les scans XMAS et NULL (à voir si utile ...) |
#$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP |
#$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP |
#$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP |
/scripts/etc/alcasar-services |
---|
2,5 → 2,8 |
#ssh 22 |
#smtp 25 |
#pop 110 |
#https 443 |
#pop3s 995 |
#imap2 143 |
#imap3 220 |
#imaps 993 |
#https 443 |
/scripts/etc/alcasar-iptables-local.sh |
---|
2,7 → 2,7 |
# $Id$ |
# script de mise en place des regles personnalisées du parefeu d'Alcasar |
# Rexy - 3abtux - CPN |
# version 2.0 (11/2010) |
# version 2.0 (12/2010) |
# changelog : |
# + autorisation de l'ICMP vers eth0 |
# + autorisation de SSH par eth0 |
13,7 → 13,7 |
#$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT |
#$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT |
# règle permettant d'autoriser l'administration à distance |
# Règles permettant d'autoriser l'administration à distance ( modifier également /etc/ssh/sshd_config et /etc/hosts.allow ) |
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW --syn -j ULOG --ulog-prefix "RULE AdminSSH-ACCEPT" |
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW,ESTABLISHED -j ACCEPT |
/scripts/sbin/alcasar-load_balancing.sh |
---|
7,7 → 7,7 |
# |
# by Author: BOUIJOUX Franck (3abTux) <3abtux@free.fr> |
# en cours d'expérimentation et d'écriture |
# À optimiser pour une écriture plus |
# À optimiser |
# Définion des poids des routes : même poids --> alternance des connexions |
# sinon le poids le plus faible est prioritaire |
18,7 → 18,7 |
# Définition des interfaces : |
DEV1=${1-eth0} # defaut eth0 |
DEV2=${2-eth0} # defaut eth0 mais peut être autre chose :-) |
DEV3=${3-eth0} # defaut eth0 mais peut être autre chose :-) |
#DEV3=${3-eth0} # defaut eth0 mais peut être autre chose :-) |
# Trouver les adresses pour chaque interface |
IP1=`ifconfig $DEV1 | grep inet | awk '{ print $2 }' | awk -F: '{ print $2 }'` |
28,8 → 28,8 |
# Trouver les passerelles pour chaque interface { ne fonctionne pas bien avec une seule interface } --> forcer les passerelles ! |
#GW1=`route -n | grep $DEV1 | grep '^0.0.0.0' | awk '{ print $2 }'` |
#GW2=`route -n | grep $DEV2 | grep '^0.0.0.0' | awk '{ print $2 }'` |
GW1=192.168.1.6 |
GW2=192.168.1.1 |
GW1=192.168.1.1 |
GW2=192.168.1.6 |
#GW3=192.168.1.6 |
echo "Acces internet depuis $DEV1: IP=$IP1 par la GW=$GW1" |
/scripts/alcasar-log-export.sh |
---|
4,7 → 4,7 |
# by Franck BOUIJOUX |
# This script is distributed under the Gnu General Public License (GPL) |
# Script permettant d'exporter des logs des répertoires /var/log/(squid-firewall-httpd ) à des fins d'archivages. |
# Script permettant d'exporter des logs des répertoires /var/log/{squid-firewall-httpd} à des fins d'archivages. |
# Une fonction EXPERIMENTALE de chiffrement et de signature des logs a été implémentée dans ce script. Son activation par la mise à '1' de la variable 'CHIFFREMENT' et/ou 'SIGNATURE' permet de chiffrer-signer ou signer les logs contenus dans /var/Save/logs/. |
# Il est nécessaire de détenir la passphrase de la clé privée de l'utilisateur 'admin-chillispot' pour rendre ces logs lisibles (la passphrase est actuellement détenue par l'équipe projet. |
14,7 → 14,7 |
date=`date +%F` |
TO_SAVE="/var/Save/logs" # répertoire accessible par webs |
REP_SAVE="/var/log" # répertoire local des logs |
REP_SERVICE="squid httpd firewall" # liste des répertoires contenant des logs à exporter |
REP_SERVICE="squid httpd firewall" # liste des répertoires contenant des logs utiles à exporter |
CHIFFREMENT="0" # chiffrement des logs ( 0=non / 1=oui ) |
GPG_USER="" # utilisateur autorisé à déchiffrer les logs. Son biclé est inclus dans le portefeuille gnupg de root (/root/.gnupg) |
/scripts/alcasar-watchdog.sh |
---|
3,7 → 3,7 |
# by rexy |
# Ce script prévient les usagers de l'indisponibilité de l'accès Internet |
# il déconnecte les usagers dont |
# - les équipementis réseau ne répondent plus |
# - les équipements réseau ne répondent plus |
# - les adresses MAC sont usurpées |
# This script tells users that Internet access is down |
# it logs out users whose |