Subversion Repositories ALCASAR

Compare Revisions

Ignore whitespace Rev 375 → Rev 376

/alcasar.sh
13,10 → 13,10
# Coovachilli (a fork of chillispot), freeradius, mysql, apache, netfilter, squid, dansguardian, mondo, mindi, dialupadmin, awstat, ntpd, openssl, dnsmasq, havp, libclamav and firewalleyes
 
# Options :
# -install
# -uninstall
# -i or --install
# -u or --uninstall
 
# Funtions :
# Functions :
# testing : Tests de connectivité et de téléchargement avant installation
# init : Installation des RPM et des scripts
# network : Paramètrage du réseau
34,6 → 34,7
# dnsmasq : Configuration du serveur de noms et du serveur dhcp de secours
# BL : Configuration de la BlackList
# cron : Mise en place des exports de logs (+ chiffrement)
# post_install : Finalisation environnement ( CA, bannières, rotatoin logs, ...)
 
 
VERSION=`cat VERSION`
1188,6 → 1189,8
post_install()
{
# adaptation du script "chien de garde" (watchdog)
$SED "s?^EXTIF=.*?EXTIF=\"$EXTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
$SED "s?^INTIF=.*?INTIF=\"$INTIF\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
$SED "s?^PRIVATE_IP=.*?PRIVATE_IP=\"$PRIVATE_IP\"?g" $DIR_DEST_BIN/alcasar-watchdog.sh
# création de la bannière locale
[ -e /etc/mandriva-release.default ] || cp /etc/mandriva-release /etc/mandriva-release.default
/scripts/alcasar-iptables.sh
12,12 → 12,12
# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="yes"
FILTERING="no"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="182.168.180.0/24"
PRIVATE_IP="182.168.180.1"
PRIVATE_NETWORK_MASK="182.168.182.0/24"
PRIVATE_IP="182.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
49,7 → 49,7
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
## On drop les scans XMAS et NULL (à voir ...)
## On drop les scans XMAS et NULL (à voir si utile ...)
#$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
#$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
/scripts/etc/alcasar-services
2,5 → 2,8
#ssh 22
#smtp 25
#pop 110
#https 443
 
#pop3s 995
#imap2 143
#imap3 220
#imaps 993
#https 443
/scripts/etc/alcasar-iptables-local.sh
2,7 → 2,7
# $Id$
# script de mise en place des regles personnalisées du parefeu d'Alcasar
# Rexy - 3abtux - CPN
# version 2.0 (11/2010)
# version 2.0 (12/2010)
# changelog :
# + autorisation de l'ICMP vers eth0
# + autorisation de SSH par eth0
13,7 → 13,7
#$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
#$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
# règle permettant d'autoriser l'administration à distance
# Règles permettant d'autoriser l'administration à distance ( modifier également /etc/ssh/sshd_config et /etc/hosts.allow )
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW --syn -j ULOG --ulog-prefix "RULE AdminSSH-ACCEPT"
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -s $Admin_from_IP -m state --state NEW,ESTABLISHED -j ACCEPT
 
/scripts/sbin/alcasar-load_balancing.sh
7,7 → 7,7
#
# by Author: BOUIJOUX Franck (3abTux) <3abtux@free.fr>
# en cours d'expérimentation et d'écriture
# À optimiser pour une écriture plus
# À optimiser
 
# Définion des poids des routes : même poids --> alternance des connexions
# sinon le poids le plus faible est prioritaire
18,7 → 18,7
# Définition des interfaces :
DEV1=${1-eth0} # defaut eth0
DEV2=${2-eth0} # defaut eth0 mais peut être autre chose :-)
DEV3=${3-eth0} # defaut eth0 mais peut être autre chose :-)
#DEV3=${3-eth0} # defaut eth0 mais peut être autre chose :-)
 
# Trouver les adresses pour chaque interface
IP1=`ifconfig $DEV1 | grep inet | awk '{ print $2 }' | awk -F: '{ print $2 }'`
28,8 → 28,8
# Trouver les passerelles pour chaque interface { ne fonctionne pas bien avec une seule interface } --> forcer les passerelles !
#GW1=`route -n | grep $DEV1 | grep '^0.0.0.0' | awk '{ print $2 }'`
#GW2=`route -n | grep $DEV2 | grep '^0.0.0.0' | awk '{ print $2 }'`
GW1=192.168.1.6
GW2=192.168.1.1
GW1=192.168.1.1
GW2=192.168.1.6
#GW3=192.168.1.6
 
echo "Acces internet depuis $DEV1: IP=$IP1 par la GW=$GW1"
/scripts/alcasar-log-export.sh
4,7 → 4,7
# by Franck BOUIJOUX
# This script is distributed under the Gnu General Public License (GPL)
 
# Script permettant d'exporter des logs des répertoires /var/log/(squid-firewall-httpd ) à des fins d'archivages.
# Script permettant d'exporter des logs des répertoires /var/log/{squid-firewall-httpd} à des fins d'archivages.
# Une fonction EXPERIMENTALE de chiffrement et de signature des logs a été implémentée dans ce script. Son activation par la mise à '1' de la variable 'CHIFFREMENT' et/ou 'SIGNATURE' permet de chiffrer-signer ou signer les logs contenus dans /var/Save/logs/.
# Il est nécessaire de détenir la passphrase de la clé privée de l'utilisateur 'admin-chillispot' pour rendre ces logs lisibles (la passphrase est actuellement détenue par l'équipe projet.
 
14,7 → 14,7
date=`date +%F`
TO_SAVE="/var/Save/logs" # répertoire accessible par webs
REP_SAVE="/var/log" # répertoire local des logs
REP_SERVICE="squid httpd firewall" # liste des répertoires contenant des logs à exporter
REP_SERVICE="squid httpd firewall" # liste des répertoires contenant des logs utiles à exporter
CHIFFREMENT="0" # chiffrement des logs ( 0=non / 1=oui )
GPG_USER="" # utilisateur autorisé à déchiffrer les logs. Son biclé est inclus dans le portefeuille gnupg de root (/root/.gnupg)
 
/scripts/alcasar-watchdog.sh
3,7 → 3,7
# by rexy
# Ce script prévient les usagers de l'indisponibilité de l'accès Internet
# il déconnecte les usagers dont
# - les équipementis réseau ne répondent plus
# - les équipements réseau ne répondent plus
# - les adresses MAC sont usurpées
# This script tells users that Internet access is down
# it logs out users whose