WebSVN – ALCASAR – Path Comparison – / – /scripts/alcasar-iptables.sh Rev 790 and /scripts/alcasar-iptables.sh Rev 791

Ignore whitespace Rev 790 → Rev 791

 /scripts/alcasar-iptables.sh
 ,13 → 135,21
 # On interdit les connexions directes au port utilisé par DansGuardian (8080). Les packets concernés ont été marqués dans la table mangle (PREROUTING)
 # Deny direct connections on DansGuardian port (8080). The concerned paquets are marked in mangle table (PREROUTING)
 $IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j REJECT --reject-with tcp-reset
+# Filtrage de l'accès au LAN connecté sur EXTIF (eth0)
+# EXTIF (eth0) connected LAN filtering
+if [ $EXT_LAN_FILTERING = on ]; then
+$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $public_ip_mask -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
+else
 # Autorisation des connexions légitimes à DansGuardian
 # Allow connections for DansGuardian
 $IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
+fi
 # On interdit les connexions directes au port UDP 54. Les packets concernés ont été marqués dans la table mangle (PREROUTING)
 # Deny direct connections on UDP 54. The concerned paquets are marked in mangle table (PREROUTING)
 $IPTABLES -A INPUT -i $TUNIF -p udp --dport 54 -m mark --mark 2 -j REJECT --reject-with icmp-port-unreachable
 # autorisation des connexion légitime à DNSMASQ (avec blackhole)
 # Allow connections for DNSMASQ (with blackhole)
 $IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport 54 -j ACCEPT
 ,9 → 197,6
 #############################
 #        FORWARD            #
 #############################
-# Autorisation des retours de connexions légitimes
-# Allow conntrack
-$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 # Rejet des requêtes DNS vers Internet
 # Deny forward DNS
 ,10 → 261,11
         $IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
         $IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
 fi
+# Autorisation des retours de connexions légitimes
+# Allow conntrack
+$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-########################
 #  If QOS is activate  #
-########################
 if [ $QOS = on ] && [ -e /usr/local/etc/alcasar-iptables-qos.sh ]; then
         . /usr/local/etc/alcasar-iptables-qos.sh
 fi

Subversion Repositories ALCASAR

Compare Revisions

Ignore whitespace Rev 790 → Rev 791