Subversion Repositories ALCASAR

Rev

Rev 520 | Rev 573 | Go to most recent revision | Only display areas with differences | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 520 Rev 568
1 
#!/bin/sh
 1 
#!/bin/sh
2 
# $Id: alcasar-iptables.sh 520 2011-03-27 20:55:05Z richard $
 2 
# $Id: alcasar-iptables.sh 568 2011-04-10 21:11:27Z richard $
3 
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
 3 
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
- 
 
 4 
# This script write the netfilter rules for ALCASAR
4 
# Rexy - 3abtux - CPN
 5 
# Rexy - 3abtux - CPN
5 
# there are three channels for log :
 6 
# There are three channels for log :
6 
#	1 (default) for tracability;
 7 
#	1 (default) for tracability;
7 
#	2 for secure admin (ssh);
 8 
#	2 for secure admin (ssh);
8 
#	3 for exterior access attempts.
 9 
#	3 for exterior access attempts.
- 
 
 10 
# The French Security Agency (ANSSI) rules was applied by 'alcasar.sh' script
9 
 
 11 
 
10 
IPTABLES="/sbin/iptables"
 12 
IPTABLES="/sbin/iptables"
11 
PROTO_FILTERING="no"
 13 
PROTO_FILTERING="no"
12 
DNS_FILTERING="no"
 14 
DNS_FILTERING="no"
13 
QOS="no"
 15 
QOS="no"
14 
EXTIF="eth0"
 16 
EXTIF="eth0"
15 
INTIF="eth1"
 17 
INTIF="eth1"
16 
TUNIF="tun0"
 18 
TUNIF="tun0"
17 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
 19 
PRIVATE_NETWORK_MASK="192.168.182.0/24"
18 
PRIVATE_IP="192.168.182.1"
 20 
PRIVATE_IP="192.168.182.1"
19 
DNSSERVERS="208.67.220.220,208.67.222.222"
 21 
DNSSERVERS="208.67.220.220,208.67.222.222"
20 
 
 22 
 
21 
# Effacement des règles existantes
 23 
# Effacement des règles existantes
22 
# Flush all existing rules
 24 
# Flush all existing rules
23 
$IPTABLES -F
 25 
$IPTABLES -F
24 
$IPTABLES -t nat -F
 26 
$IPTABLES -t nat -F
25 
$IPTABLES -t mangle -F
 27 
$IPTABLES -t mangle -F
26 
$IPTABLES -F INPUT
 28 
$IPTABLES -F INPUT
27 
$IPTABLES -F FORWARD
 29 
$IPTABLES -F FORWARD
28 
$IPTABLES -F OUTPUT
 30 
$IPTABLES -F OUTPUT
29 
 
 31 
 
30 
# Suppression des chaines utilisateurs sur les tables filter et nat
 32 
# Suppression des chaines utilisateurs sur les tables filter et nat
31 
# Flush non default rules on filter and nat tables
 33 
# Flush non default rules on filter and nat tables
32 
$IPTABLES -X
 34 
$IPTABLES -X
33 
$IPTABLES -t nat -X
 35 
$IPTABLES -t nat -X
34 
 
 36 
 
35 
# Stratégies par défaut
 37 
# Stratégies par défaut
36 
# Default policies
 38 
# Default policies
37 
$IPTABLES -P INPUT DROP
 39 
$IPTABLES -P INPUT DROP
38 
$IPTABLES -P FORWARD DROP
 40 
$IPTABLES -P FORWARD DROP
39 
$IPTABLES -P OUTPUT DROP
 41 
$IPTABLES -P OUTPUT DROP
40 
$IPTABLES -t nat -P PREROUTING ACCEPT
 42 
$IPTABLES -t nat -P PREROUTING ACCEPT
41 
$IPTABLES -t nat -P POSTROUTING ACCEPT
 43 
$IPTABLES -t nat -P POSTROUTING ACCEPT
42 
$IPTABLES -t nat -P OUTPUT ACCEPT
 44 
$IPTABLES -t nat -P OUTPUT ACCEPT
43 
 
 45 
 
44 
# Tout passe sur loopback
 46 
# Tout passe sur loopback
45 
# accept all on loopback
 47 
# accept all on loopback
46 
$IPTABLES -A INPUT -i lo -j ACCEPT
 48 
$IPTABLES -A INPUT -i lo -j ACCEPT
47
49
48 
# On élimine les paquets "NEW not SYN"
 50 
# On élimine les paquets "NEW not SYN"
49 
# Ensure that TCP connections start with syn packets
 51 
# Ensure that TCP connections start with syn packets
50 
$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
 52 
$IPTABLES -A INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
51 
 
 53 
 
52 
#############################
 54 
#############################
53 
#       INTIF rules         #
 55 
#       INTIF rules         #
54 
#############################
 56 
#############################
55 
# les requètes dhcp entrantes sont acceptées
 57 
# les requètes dhcp entrantes sont acceptées
56 
# accept dhcp
 58 
# accept dhcp
57 
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 59 
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
58 
 
 60 
 
59 
# La règle suivante interdit la sortie par INTIF. Elle n'est utile que lorsque chilli est arrêté.
 61 
# La règle suivante interdit la sortie par INTIF. Elle n'est utile que lorsque chilli est arrêté.
60 
# INTIF is closed (all by TUNIF)
 62 
# INTIF is closed (all by TUNIF)
61 
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
 63 
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
62 
$IPTABLES -A INPUT -i $INTIF -j REJECT
 64 
$IPTABLES -A INPUT -i $INTIF -j REJECT
63 
 
 65 
 
64 
#############################
 66 
#############################
65 
#  Local protection rules   #
 67 
#  Local protection rules   #
66 
#############################
 68 
#############################
67 
# On stoppe les tentatives de NULLSCAN et XMAS (tous flags à 1)
 69 
# On stoppe les tentatives de NULLSCAN et XMAS (tous flags à 1)
68 
# Drop XMAS & NULLscans
70 
# Drop XMAS & NULLscans
69 
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
 71 
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
70 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
 72 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
71 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
 73 
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
72 
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 74 
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
73 
 
 75 
 
74 
# On stoppe les broadcasts et multicast
 76 
# On stoppe les broadcasts et multicast
75 
# Drop broadcast & multicast
 77 
# Drop broadcast & multicast
76 
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 78 
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
77 
 
 79 
 
78 
# On laisse passer les ICMP echo-request et echo-reply en provenance du LAN
 80 
# On laisse passer les ICMP echo-request et echo-reply en provenance du LAN
79 
# Allow ping (icmp N°0 & 8) from LAN
 81 
# Allow ping (icmp N°0 & 8) from LAN
80 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
 82 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
81 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 83 
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
82 
 
 84 
 
83 
# Insertion de règles locales
 85 
# Insertion de règles locales
84 
# Here, we add local rules (i.e. ssh from Internet)
 86 
# Here, we add local rules (i.e. ssh from Internet)
85 
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
 87 
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
86 
        . /usr/local/etc/alcasar-iptables-local.sh
 88 
        . /usr/local/etc/alcasar-iptables-local.sh
87 
fi
 89 
fi
88 
 
 90 
 
89 
# Rejet des tentatives de création de tunnels DNS (même pour les utilisateurs authentifiés)
91 
# Rejet des tentatives de création de tunnels DNS (même pour les utilisateurs authentifiés)
90 
# Deny forward DNS (even for authenticated users ...)
 92 
# Deny forward DNS (even for authenticated users ...)
91 
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
 93 
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
92 
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 94 
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
93 
 
 95 
 
94 
# On autorise les retours de connexions légitimes par FORWARD
 96 
# On autorise les retours de connexions légitimes par FORWARD
95 
# Conntrack on forward
 97 
# Conntrack on forward
96 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 98 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
97 
 
 99 
 
98 
###############################
 100 
###############################
99 
#  If DNS filter is activate  #
 101 
#  If DNS filter is activate  #
100 
###############################
 102 
###############################
101 
# Redirection des flux DNS vers le port 54 (dns+blackhole) sauf pour les IP en exceptions
103 
# Redirection des flux DNS vers le port 54 (dns+blackhole) sauf pour les IP en exceptions
102 
if [ $DNS_FILTERING = "yes" ]; then
 104 
if [ $DNS_FILTERING = "yes" ]; then
103 
	# Compute exception IP
 105 
	# Compute exception IP
104 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
 106 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
105 
	if [ $nb_exceptions != "0" ]
 107 
	if [ $nb_exceptions != "0" ]
106 
	then
 108 
	then
107 
		while read ip_exception
109 
		while read ip_exception
108 
		do
 110 
		do
109 
			$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -s $ip_exception -d $PRIVATE_IP --dport domain -j ACCEPT
 111 
			$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -s $ip_exception -d $PRIVATE_IP --dport domain -j ACCEPT
110 
		done < /usr/local/etc/alcasar-filter-exceptions
 112 
		done < /usr/local/etc/alcasar-filter-exceptions
111 
	fi
 113 
	fi
112 
		$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -d $PRIVATE_IP --dport domain -j REDIRECT --to-port 54
 114 
		$IPTABLES -A PREROUTING -t nat -i $TUNIF -p udp -d $PRIVATE_IP --dport domain -j REDIRECT --to-port 54
113 
fi
 115 
fi
114 
#####################################
 116 
#####################################
115 
#  If protocols filter is activate  #
 117 
#  If protocols filter is activate  #
116 
#####################################
 118 
#####################################
117 
# filtrage de protocoles sauf pour les IP en exceptions
119 
# filtrage de protocoles sauf pour les IP en exceptions
118 
if [ $PROTO_FILTERING = "yes" ]; then
 120 
if [ $PROTO_FILTERING = "yes" ]; then
119 
	# Compute exception IP
 121 
	# Compute exception IP
120 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
 122 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
121 
	if [ $nb_exceptions != "0" ]
 123 
	if [ $nb_exceptions != "0" ]
122 
	then
 124 
	then
123 
		while read ip_exception
125 
		while read ip_exception
124 
		do
 126 
		do
125 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
 127 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
126 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
 128 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
127 
		done < /usr/local/etc/alcasar-filter-exceptions
 129 
		done < /usr/local/etc/alcasar-filter-exceptions
128 
	fi
 130 
	fi
129 
	# Autorisation des protocoles non commentés
 131 
	# Autorisation des protocoles non commentés
130 
	# Allow non comment protocols
 132 
	# Allow non comment protocols
131 
	while read svc_line
 133 
	while read svc_line
132 
	do
 134 
	do
133 
		svc_on=`echo $svc_line|cut -b1`
 135 
		svc_on=`echo $svc_line|cut -b1`
134 
		if [ $svc_on != "#" ]
 136 
		if [ $svc_on != "#" ]
135 
		then
137 
		then
136 
			svc_name=`echo $svc_line|cut -d" " -f1`
 138 
			svc_name=`echo $svc_line|cut -d" " -f1`
137 
			svc_port=`echo $svc_line|cut -d" " -f2`
 139 
			svc_port=`echo $svc_line|cut -d" " -f2`
138 
			if [ $svc_name = "icmp" ]
 140 
			if [ $svc_name = "icmp" ]
139 
			then
 141 
			then
140 
				$IPTABLES -A FORWARD -i $TUNIF -p icmp -j ACCEPT
142 
				$IPTABLES -A FORWARD -i $TUNIF -p icmp -j ACCEPT
141 
			else
 143 
			else
142 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "
 144 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "
143 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT
 145 
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT
144 
			fi
 146 
			fi
145 
		fi
 147 
		fi
146 
	done < /usr/local/etc/alcasar-services
 148 
	done < /usr/local/etc/alcasar-services
147 
	# Rejet explicite (vers le LAN) des autres protocoles
 149 
	# Rejet explicite (vers le LAN) des autres protocoles
148 
	# reject the others
 150 
	# reject the others
149 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
 151 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
150 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
 152 
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
151 
	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
 153 
	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
152 
	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
154 
	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT
153 
fi
 155 
fi
154 
 
 156 
 
155 
########################
 157 
########################
156 
#  If QOS is activate  #
 158 
#  If QOS is activate  #
157 
########################
 159 
########################
158 
if [ $QOS = "yes" ] && [ -e /usr/local/etc/alcasar-iptables-qos.sh ]; then
 160 
if [ $QOS = "yes" ] && [ -e /usr/local/etc/alcasar-iptables-qos.sh ]; then
159 
	. /usr/local/etc/alcasar-iptables-qos.sh
161 
	. /usr/local/etc/alcasar-iptables-qos.sh
160 
fi
 162 
fi
161 
 
 163 
 
162 
# Autorisation des connections sortant du LAN
164 
# Autorisation des connections sortant du LAN
163 
# Allow forward connections with log
 165 
# Allow forward connections with log
164 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE F_all -- ACCEPT "
 166 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE F_all -- ACCEPT "
165 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
 167 
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
166 
 
 168 
 
167 
###########################################################################################
 169 
###########################################################################################
168 
#  Direct input from local network (dns, ntp, https, http, ssh and 3990 (user disconnect) #
 170 
#  Direct input from local network (dns, ntp, https, http, ssh and 3990 (user disconnect) #
169 
###########################################################################################
 171 
###########################################################################################
170 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT # dnsmasq without forward
 172 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT # dnsmasq without forward
171 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport 54 -j ACCEPT # dnsmasq with blackhole
 173 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport 54 -j ACCEPT # dnsmasq with blackhole
172 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
 174 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
173 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
 175 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
174 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
 176 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
175 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-LAN -- ACCEPT"
 177 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -m state --state NEW -j ULOG --ulog-nlgroup 2 --ulog-prefix "RULE ssh-from-LAN -- ACCEPT"
176 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
 178 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
177 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
 179 
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
178 
 
 180 
 
179 
# On autorise les retours de connexions légitimes par INPUT
 181 
# On autorise les retours de connexions légitimes par INPUT
180 
# Conntrack on INPUT
 182 
# Conntrack on INPUT
181 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 183 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
182 
 
 184 
 
183 
# On interdit les connexions directes au port utilisé par DansGuardian (8080)
 185 
# On interdit les connexions directes au port utilisé par DansGuardian (8080)
184 
# Les packets concernés ont fait l'objet d'un marquage dans la table mangle
186 
# Les packets concernés ont fait l'objet d'un marquage dans la table mangle
185 
# lors d'une règle de PREROUTING (voir plus bas)
 187 
# lors d'une règle de PREROUTING (voir plus bas)
186 
# Deny direct connections on DansGuardian port (8080)
 188 
# Deny direct connections on DansGuardian port (8080)
187 
# The concerned paquets are marked by a pre-routing rule (see further)
 189 
# The concerned paquets are marked by a pre-routing rule (see further)
188 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
 190 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
189 
# Autorisation des connexions à DansGuardian
191 
# Autorisation des connexions à DansGuardian
190 
# Allow connections for DansGuardian
 192 
# Allow connections for DansGuardian
191 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 193 
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
192 
 
 194 
 
193 
# Journalisation des requètes HTTP (seulement des paquets SYN)
 195 
# Journalisation des requètes HTTP (seulement des paquets SYN)
194 
# Log HTTP requests (only syn)
 196 
# Log HTTP requests (only syn)
195 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE F_http -- ACCEPT "
 197 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE F_http -- ACCEPT "
196 
# On redirige les requêtes HTTP vers DansGuardian (transparent pour les utilisateurs)
 198 
# On redirige les requêtes HTTP vers DansGuardian (transparent pour les utilisateurs)
197 
# Redirect HTTP request in DansGuardian (transparent proxy)
 199 
# Redirect HTTP request in DansGuardian (transparent proxy)
198 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
 200 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
199 
# Journalisation et marquage des paquets qui tentent d'accéder directement à DansGuardian
201 
# Journalisation et marquage des paquets qui tentent d'accéder directement à DansGuardian
200 
# pour pouvoir les supprimer en INPUT (voir plus haut)
 202 
# pour pouvoir les supprimer en INPUT (voir plus haut)
201 
# Mark the dansguardian bypass attempts
 203 
# Mark the dansguardian bypass attempts
202 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
 204 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
203 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 205 
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
204 
 
 206 
 
205 
# Journalisation et rejet des connexions (autres que celles autorisées) effectuées depuis le LAN
 207 
# Journalisation et rejet des connexions (autres que celles autorisées) effectuées depuis le LAN
206 
# Deny and log on INPUT from the LAN
 208 
# Deny and log on INPUT from the LAN
207 
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
 209 
$IPTABLES -A INPUT -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
208 
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
 210 
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
209 
$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
 211 
$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
210 
 
 212 
 
211 
# Journalisation et rejet des connexions initiées depuis le réseau extérieur (test des effets du paramètre --limit en cours)
 213 
# Journalisation et rejet des connexions initiées depuis le réseau extérieur (test des effets du paramètre --limit en cours)
212 
# On EXTIF, the access attempts are log in channel 2 (we should test --limit option to avoid deny of service)
 214 
# On EXTIF, the access attempts are log in channel 2 (we should test --limit option to avoid deny of service)
213 
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
 215 
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
214 
 
 216 
 
215 
#############################
 217 
#############################
216 
# filtering outside OUTPUT. #
 218 
# filtering outside OUTPUT. #
217 
#############################
 219 
#############################
218 
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
 220 
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
219 
# Everything is allowed but traffic through outside network interface
 221 
# Everything is allowed but traffic through outside network interface
220 
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
 222 
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
221 
 
 223 
 
222 
# On autorise les requêtes DNS vers les serveurs DNS identifiés
224 
# On autorise les requêtes DNS vers les serveurs DNS identifiés
223 
# Allow DNS requests to identified DNS servers
 225 
# Allow DNS requests to identified DNS servers
224 
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
 226 
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
225 
# On autorise les requêtes http sortantes
 227 
# On autorise les requêtes http sortantes
226 
# HTTP requests are allowed
 228 
# HTTP requests are allowed
227 
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --dport http -j ACCEPT
 229 
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --dport http -j ACCEPT
228 
# On autorise les requêtes ntp
230 
# On autorise les requêtes ntp
229 
# NTP requests are allowed
 231 
# NTP requests are allowed
230 
$IPTABLES -A OUTPUT -o $EXTIF -p udp --dport ntp -j ACCEPT
 232 
$IPTABLES -A OUTPUT -o $EXTIF -p udp --dport ntp -j ACCEPT
231 
# On autorise les requêtes ICMP (ping)
233 
# On autorise les requêtes ICMP (ping)
232 
# ICMP (ping) requests are allowed
 234 
# ICMP (ping) requests are allowed
233 
$IPTABLES -A OUTPUT -o $EXTIF -p icmp --icmp-type 8 -j ACCEPT
 235 
$IPTABLES -A OUTPUT -o $EXTIF -p icmp --icmp-type 8 -j ACCEPT
234 
 
 236 
 
235 
# Traduction dynamique d'adresse en sortie
 237 
# Traduction dynamique d'adresse en sortie
236 
# Dynamic NAT on EXTIF
 238 
# Dynamic NAT on EXTIF
237 
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 239 
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
238 
 
 240 
 
239 
# Save all rules
 241 
# Save all rules
240 
/etc/init.d/iptables save
 242 
/etc/init.d/iptables save
241 
 
 243 
 
242 
# no martians log (for mdv2009 only)
 - 
 
243 
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 - 
 
244 
 
 - 
 
245 
# End of script
 244 
# End of script
246 
 
 245 
 
247 
 
 246