WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh


#!/bin/sh
# $Id: alcasar-iptables.sh 303 2010-10-09 16:41:23Z richard $
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
# Rexy - 3abtux - CPN
# version 2.0 (10/2010)
# changelog :
#	+ déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh
#	+ prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh
# 	+ prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)
#	+ suppression log vers syslog
#	+ suppression des broadcast sur EXTIF et INTIF
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="no"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# On indique les politiques par défaut
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
 
# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat
$IPTABLES -X
$IPTABLES -t nat -X
 
# On autorise tout sur loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
 
# on autorise les requêtes dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On ferme INTIF (tout passe par TUNIF)
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
# Règles d'antispoofing
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
 
# On drop le broadcast et le multicast sur les interfaces (sans Log)
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
#  On ajoute ici les règles spécifiques de filtrage réseau
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
        . /usr/local/etc/alcasar-iptables-local.sh
fi
 
#  On ajoute ici les règles de filtrage réseau
if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then
        . /usr/local/bin/alcasar-iptables-filter.sh
fi
# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport http -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT
################## FILTRAGE PARTICULIER ##################
# Administration à distance par exemple :
##  Autoriser SSH depuis l'extérieur sur le port 12222 ####
##  Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow 
# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )
# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22
 
# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"
# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT
##########################################################
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT
 
# On autorise le retour des connexions sortantes (politique ouput accept)
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On redirige les requêtes DNS sortantes sur BIND local
# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain
 
# On interdit les connexions directes sur le port de DansGuardian (8080)
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
# On autorise les connexions sur DansGuardian
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 
# On log les requêtes HTTP sortantes (demande de connexion seulement)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "
# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 
# On interdit et on log le reste sur les 2 interfaces d'accès
$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
 
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
# On sauvegarde les règles
/etc/init.d/iptables save
 
# On ne log pas les Log_martians (pour la mdv 2009 seulement)
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 
# Fin du script des règles du parefeu
 
 

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 316 – Rev 300 → 303

Rev 300		Rev 303
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar-iptables.sh 300 2010-10-07 21:55:55Z franck $`	2	`# $Id: alcasar-iptables.sh 303 2010-10-09 16:41:23Z richard $`
3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# Rexy - 3abtux - CPN`	4	`# Rexy - 3abtux - CPN`
5	`# version 2.0 (10/2010)`	5	`# version 2.0 (10/2010)`
6	`# changelog :`	6	`# changelog :`
7	`# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh`	7	`# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh`
8	`# + prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh`	8	`# + prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh`
9	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`	9	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`
10	`# + suppression log vers syslog`	10	`# + suppression log vers syslog`
11	`# + suppression des broadcast sur EXTIF et INTIF`	11	`# + suppression des broadcast sur EXTIF et INTIF`
12	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`	12	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`
13		13
14	`IPTABLES="/sbin/iptables"`	14	`IPTABLES="/sbin/iptables"`
15	`FILTERING="no"`	15	`FILTERING="no"`
16	`EXTIF="eth0"`	16	`EXTIF="eth0"`
17	`INTIF="eth1"`	17	`INTIF="eth1"`
18	`TUNIF="tun0"`	18	`TUNIF="tun0"`
19	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`	19	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`
20	`PRIVATE_IP="192.168.182.1"`	20	`PRIVATE_IP="192.168.182.1"`
21		21
22	`# On vide (flush) toutes les règles existantes`	22	`# On vide (flush) toutes les règles existantes`
23	`$IPTABLES -F`	23	`$IPTABLES -F`
24	`$IPTABLES -t nat -F`	24	`$IPTABLES -t nat -F`
25	`$IPTABLES -t mangle -F`	25	`$IPTABLES -t mangle -F`
26	`$IPTABLES -F INPUT`	26	`$IPTABLES -F INPUT`
27	`$IPTABLES -F FORWARD`	27	`$IPTABLES -F FORWARD`
28	`$IPTABLES -F OUTPUT`	28	`$IPTABLES -F OUTPUT`
29		29
30	`# On indique les politiques par défaut`	30	`# On indique les politiques par défaut`
31	`$IPTABLES -P INPUT DROP`	31	`$IPTABLES -P INPUT DROP`
32	`$IPTABLES -P FORWARD DROP`	32	`$IPTABLES -P FORWARD DROP`
33	`$IPTABLES -P OUTPUT ACCEPT`	33	`$IPTABLES -P OUTPUT ACCEPT`
34	`$IPTABLES -t nat -P PREROUTING ACCEPT`	34	`$IPTABLES -t nat -P PREROUTING ACCEPT`
35	`$IPTABLES -t nat -P POSTROUTING ACCEPT`	35	`$IPTABLES -t nat -P POSTROUTING ACCEPT`
36	`$IPTABLES -t nat -P OUTPUT ACCEPT`	36	`$IPTABLES -t nat -P OUTPUT ACCEPT`
37		37
38	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`	38	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`
39	`$IPTABLES -X`	39	`$IPTABLES -X`
40	`$IPTABLES -t nat -X`	40	`$IPTABLES -t nat -X`
41		41
42	`# On autorise tout sur loopback`	42	`# On autorise tout sur loopback`
43	`$IPTABLES -A INPUT -i lo -j ACCEPT`	43	`$IPTABLES -A INPUT -i lo -j ACCEPT`
44		44
45	`# on autorise les requêtes dhcp`	45	`# on autorise les requêtes dhcp`
46	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`	46	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`
47		47
48	`# On ferme INTIF (tout passe par TUNIF)`	48	`# On ferme INTIF (tout passe par TUNIF)`
49	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`	49	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`
50	`$IPTABLES -A INPUT -i $INTIF -j REJECT`	50	`$IPTABLES -A INPUT -i $INTIF -j REJECT`
51		51
52	`# Règles d'antispoofing`	52	`# Règles d'antispoofing`
53	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`	53	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`
54	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`	54	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`
55	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`	55	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`
56	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`	56	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`
57		57
58	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`	58	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`
59	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`	59	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`
60		60
61	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`	61	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`
62	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`	62	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`
63	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`	63	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`
64		64
65	`# On ajoute ici les règles spécifiques de filtrage réseau --> dans /usr/local/sbin/alcasar-iptables-local.sh`	65	`# On ajoute ici les règles spécifiques de filtrage réseau`
66	`if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then`	66	`if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then`
67	`. /usr/local/etc/alcasar-iptables-local.sh`	67	`. /usr/local/etc/alcasar-iptables-local.sh`
68	`fi`	68	`fi`
69	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`	-
70	`# On ajoute ici les règles de filtrage réseau`	69	`# On ajoute ici les règles de filtrage réseau`
71	`if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then`	70	`if [ -f /usr/local/bin/alcasar-iptables-filter.sh ]; then`
72	`. /usr/local/bin/alcasar-iptables-filter.sh`	71	`. /usr/local/bin/alcasar-iptables-filter.sh`
73	`fi`	72	`fi`
74	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`	73	`# On autorise le transfert de flux dans les deux sens (avec log sur les demandes de connexion sortantes)`
75	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`	74	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`
76	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`	75	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`
77	`$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`	76	`$IPTABLES -A FORWARD -o $TUNIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT`
78		77
79	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`	78	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`
80	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT`	79	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport domain -j ACCEPT`
81	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT`	80	`$IPTABLES -A INPUT -i $TUNIF -p udp --dport ntp -j ACCEPT`
82	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT`	81	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport https -j ACCEPT`
-		82	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport http -j ACCEPT`
83	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT`	83	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport ssh -j ACCEPT`
84	`################## FILTRAGE PARTICULIER ##################`	84	`################## FILTRAGE PARTICULIER ##################`
85	`# Administration à distance par exemple :`	85	`# Administration à distance par exemple :`
86	`## Autoriser SSH depuis l'extérieur sur le port 12222 ####`	86	`## Autoriser SSH depuis l'extérieur sur le port 12222 ####`
87	`## Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow`	87	`## Ne pas oublier la règle de PAT sur le modem/routeur (box ADSL) ! ainsi que l'adresse IP de votre machine distante dans /etc/hosts.allow`
88	`# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )`	88	`# règle nécessaire en cas de redirection d'@IP sans PAT (par exemple 12222 (port d'accès sur le modem/routeur) --> 22 )`
89	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22`	89	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport 12222 -j REDIRECT --to-port 22`
90		90
91	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"`	91	`# $IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-prefix "RULE AdminSSH -- ACCEPT"`
92	`# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT`	92	`# $IPTABLES -A INPUT -i $EXTIF -p tcp --dport ssh -m state --state NEW,ESTABLISHED -j ACCEPT`
93	`##########################################################`	93	`##########################################################`
94	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT`	94	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 3990 -j ACCEPT`
95		95
96	`# On autorise le retour des connexions sortantes (politique ouput accept)`	96	`# On autorise le retour des connexions sortantes (politique ouput accept)`
97	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`	97	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`
98		98
99	`# On redirige les requêtes DNS sortantes sur BIND local`	99	`# On redirige les requêtes DNS sortantes sur BIND local`
100	`# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log`	100	`# log DNS query present dans log du service BIND query.log --> pas de log dans firewall.log`
101	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`	101	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP -m udp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`
102	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`	102	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`
103	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`	103	`#$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP -m tcp --dport domain -j ULOG --ulog-prefix "RULE direct-DNS -- REDIRECT "`
104	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`	104	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport domain -j REDIRECT --to-port domain`
105		105
106	`# On interdit les connexions directes sur le port de DansGuardian (8080)`	106	`# On interdit les connexions directes sur le port de DansGuardian (8080)`
107	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`	107	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`
108	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`	108	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`
109	`# On autorise les connexions sur DansGuardian`	109	`# On autorise les connexions sur DansGuardian`
110	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`	110	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`
111		111
112	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`	112	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`
113	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`	113	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`
114	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`	114	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`
115	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`	115	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`
116	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`	116	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`
117	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`	117	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`
118	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`	118	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`
119		119
120	`# On interdit et on log le reste sur les 2 interfaces d'accès`	120	`# On interdit et on log le reste sur les 2 interfaces d'accès`
121	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`	121	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`
122	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`	122	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`
123	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`	123	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`
124	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`	124	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`
125		125
126	`# On active le masquage d'adresse par translation (NAT)`	126	`# On active le masquage d'adresse par translation (NAT)`
127	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`	127	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`
128		128
129	`# On sauvegarde les règles`	129	`# On sauvegarde les règles`
130	`/etc/init.d/iptables save`	130	`/etc/init.d/iptables save`
131		131
132	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`	132	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`
133	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`	133	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`
134		134
135	`# Fin du script des règles du parefeu`	135	`# Fin du script des règles du parefeu`
136		136
137		137