WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables-bypass.sh


#!/bin/bash
# $Id: alcasar-iptables-bypass.sh 3100 2022-12-29 14:45:06Z rexy $
 
# alcasar-iptables-bypass.sh
# by Rexy - 3abtux
# This script is distributed under the Gnu General Public License (GPL)
 
# Applique les regles du parefeu en mode ByPass
# Set the firewall rules in 'ByPass' mode
 
CONF_FILE="/usr/local/etc/alcasar.conf"
private_ip_mask=`grep ^PRIVATE_IP= $CONF_FILE|cut -d"=" -f2`
private_ip_mask=${private_ip_mask:=192.168.182.1/24}
private_network=`/bin/ipcalc -n $private_ip_mask|cut -d"=" -f2`		# LAN IP address (ie.: 192.168.182.0)
private_prefix=`/bin/ipcalc -p $private_ip_mask|cut -d"=" -f2`		# LAN prefix (ie. 24)
IPTABLES="/sbin/iptables"
EXTIF=`grep ^EXTIF= $CONF_FILE|cut -d"=" -f2`				# EXTernal InterFace
INTIF=`grep ^INTIF= $CONF_FILE|cut -d"=" -f2`				# INTernal InterFace
TUNIF="tun0"								# listen device for chilli daemon
PRIVATE_NETWORK_MASK=$private_network/$private_prefix			# Lan IP address + prefix (192.168.182.0/24)
PRIVATE_IP=`echo $private_ip_mask | cut -d"/" -f1`			# ALCASAR LAN IP address
public_ip_mask=`grep ^PUBLIC_IP= $CONF_FILE|cut -d"=" -f2`		# ALCASAR WAN IP address
if [[ "$public_ip_mask" == "dhcp" ]]
then
	PTN="\b(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\/([012]?[0-9]|3[0-2])\b"
	public_ip_mask=`ip addr show $EXTIF | egrep -o $PTN`
fi
PUBLIC_IP=`echo $public_ip_mask | cut -d"/" -f1`
SSH_LAN=`grep ^SSH_LAN= $CONF_FILE|cut -d"=" -f2`			# SSH LAN port
SSH_LAN=${SSH_LAN:=0}
SSH_WAN=`grep ^SSH_WAN= $CONF_FILE|cut -d"=" -f2`		# SSH WAN port
SSH_WAN=${SSH_WAN:=0}
SSH_WAN_ADMIN_FROM=`grep ^SSH_ADMIN_FROM= $CONF_FILE|cut -d"=" -f2|cut -d"/" -f2`
SSH_WAN_ADMIN_FROM=${SSH_WAN_ADMIN_FROM:="0.0.0.0"}
SSH_WAN_ADMIN_FROM=$([ "$SSH_WAN_ADMIN_FROM" == "0.0.0.0" ] && echo "0.0.0.0/0" || echo "$SSH_WAN_ADMIN_FROM" )
SSH_LAN_ADMIN_FROM=`grep ^SSH_ADMIN_FROM= $CONF_FILE|cut -d"=" -f2|cut -d"/" -f1`
SSH_LAN_ADMIN_FROM=${SSH_LAN_ADMIN_FROM:="0.0.0.0"}
SSH_LAN_ADMIN_FROM=$([ "$SSH_LAN_ADMIN_FROM" == "0.0.0.0" ] && echo "$PRIVATE_NETWORK_MASK" || echo "$SSH_LAN_ADMIN_FROM" )
interlan=`grep ^INTERLAN= $CONF_FILE|cut -d"=" -f2`
interlan=${interlan:=off}
 
# On vide (flush) toutes les règles existantes
# Flush all existing rules
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# On indique les politiques par défaut
# Default policies
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
 
# On efface toutes les chaînes qui ne sont pas par défaut dans les tables filter et nat
# Flush non default rules on filter and nat tables
$IPTABLES -X
$IPTABLES -t nat -X
 
# On autorise tout sur loopback
# accept all on loopback
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
 
#############################
#         INPUT             #
#############################
# SSHD rules if activate
if [ $SSH_LAN -gt 0 ]
	then
	$IPTABLES -A INPUT -i $INTIF -s $SSH_LAN_ADMIN_FROM -d $PRIVATE_IP -p tcp --dport $SSH_LAN -m conntrack --ctstate NEW -j NFLOG --nflog-group 2 --nflog-prefix "RULE ssh-from-LAN -- ACCEPT"
	$IPTABLES -A INPUT -i $INTIF -s $SSH_LAN_ADMIN_FROM -d $PRIVATE_IP -p tcp --dport $SSH_LAN -j ACCEPT
fi
if [ $SSH_WAN -gt 0 ]
	then
	$IPTABLES -A INPUT -i $EXTIF -s $SSH_WAN_ADMIN_FROM -d $PUBLIC_IP -p tcp --dport $SSH_WAN -m conntrack --ctstate NEW --syn -j NFLOG --nflog-group 2 --nflog-prefix "RULE ssh-from-WAN -- ACCEPT"
	$IPTABLES -A INPUT -i $EXTIF -s $SSH_WAN_ADMIN_FROM -d $PUBLIC_IP -p tcp --dport $SSH_WAN -j ACCEPT
fi
 
# Insertion de règles locales
# Here, we add local rules (i.e. VPN from Internet)
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
	. /usr/local/etc/alcasar-iptables-local.sh
fi
 
# on autorise les requêtes dhcp
# accept dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On drop le broadcast et le multicast sur les interfaces (sans Log)
# Drop broadcast & multicast
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 
# On autorise l'accès aux services internes
# Allow Internal access
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport domain -j ACCEPT	# DNS
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport domain -j ACCEPT	# DNS
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p icmp --icmp-type 8 -j ACCEPT	# Réponse ping # ping responce
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p icmp --icmp-type 0 -j ACCEPT	# Requête  ping # ping request
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport https -j ACCEPT	# ACC
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport http -j ACCEPT	# ACC
$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT	# Serveur local de temps # local time server
 
# On autorise le retour des connexions entrante déjà acceptées
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On interdit et on log le reste sur les 2 interfaces d'accès
$IPTABLES -A INPUT -i $INTIF -j NFLOG --nflog-group 1 --nflog-prefix "RULE rej-int -- REJECT "
$IPTABLES -A INPUT -i $EXTIF -j NFLOG --nflog-group 1 --nflog-prefix "RULE rej-ext -- REJECT "
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
 
#############################
#        FORWARD            #
#############################
# On autorise les retours de connexions légitimes par FORWARD
# Conntrack on forward
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On autorise (ou pas) les utilisateurs à accéder au réseau situé entre ALCASAR et le routeur Internet
# Users are allowed (or not allowed) to access the network between ALCASAR and the Internet router
if [ "$interlan" != "on" ]
then
	$IPTABLES -A FORWARD -i $TUNIF -d $public_ip_mask -j DROP
fi
 
# Insertion de règles de blocage
# Here, we add block rules
if [ -s /usr/local/etc/alcasar-ip-blocked ]; then
	while read ip_line
	do
		ip_on=`echo $ip_line|cut -b1`
		if [ $ip_on != "#" ]
		then	
			ip_blocked=`echo $ip_line|cut -d" " -f1`
			$IPTABLES -A FORWARD -d $ip_blocked -j NFLOG --nflog-group 1 --nflog-prefix "RULE IP-blocked -- REJECT "
			$IPTABLES -A FORWARD -d $ip_blocked -j REJECT
		fi
	done < /usr/local/etc/alcasar-ip-blocked
fi
 
# On autorise les demandes de connexions sortantes
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j NFLOG --nflog-group 1 --nflog-prefix "RULE Transfert -- ACCEPT "
$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT
 
#############################
#       POSTROUTING         #
#############################
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
# on ne sauvegarde pas les règles. En cas de reboot, on repasse ainsi automatiquement en mode normal (bypass -off)
# Fin du script des regles du parefeu
 
 
Generated by GNU Enscript 1.6.6.
 
 
 

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables-bypass.sh @ 913 – Rev 3046 → 3100

Rev 3046		Rev 3100
1	`#!/bin/bash`	1	`#!/bin/bash`
2	`# $Id: alcasar-iptables-bypass.sh 3046 2022-07-30 22:07:33Z rexy $`	2	`# $Id: alcasar-iptables-bypass.sh 3100 2022-12-29 14:45:06Z rexy $`
3		3
4	`# alcasar-iptables-bypass.sh`	4	`# alcasar-iptables-bypass.sh`
5	`# by Rexy - 3abtux`	5	`# by Rexy - 3abtux`
6	`# This script is distributed under the Gnu General Public License (GPL)`	6	`# This script is distributed under the Gnu General Public License (GPL)`
7		7
8	`# Applique les regles du parefeu en mode ByPass`	8	`# Applique les regles du parefeu en mode ByPass`
9	`# Set the firewall rules in 'ByPass' mode`	9	`# Set the firewall rules in 'ByPass' mode`
10		10
11	`CONF_FILE="/usr/local/etc/alcasar.conf"`	11	`CONF_FILE="/usr/local/etc/alcasar.conf"`
12	private_ip_mask=`grep ^PRIVATE_IP= $CONF_FILE\|cut -d"=" -f2`	12	private_ip_mask=`grep ^PRIVATE_IP= $CONF_FILE\|cut -d"=" -f2`
13	`private_ip_mask=${private_ip_mask:=192.168.182.1/24}`	13	`private_ip_mask=${private_ip_mask:=192.168.182.1/24}`
14	private_network=`/bin/ipcalc -n $private_ip_mask\|cut -d"=" -f2` # LAN IP address (ie.: 192.168.182.0)	14	private_network=`/bin/ipcalc -n $private_ip_mask\|cut -d"=" -f2` # LAN IP address (ie.: 192.168.182.0)
15	private_prefix=`/bin/ipcalc -p $private_ip_mask\|cut -d"=" -f2` # LAN prefix (ie. 24)	15	private_prefix=`/bin/ipcalc -p $private_ip_mask\|cut -d"=" -f2` # LAN prefix (ie. 24)
16	`IPTABLES="/sbin/iptables"`	16	`IPTABLES="/sbin/iptables"`
17	EXTIF=`grep ^EXTIF= $CONF_FILE\|cut -d"=" -f2` # EXTernal InterFace	17	EXTIF=`grep ^EXTIF= $CONF_FILE\|cut -d"=" -f2` # EXTernal InterFace
18	INTIF=`grep ^INTIF= $CONF_FILE\|cut -d"=" -f2` # INTernal InterFace	18	INTIF=`grep ^INTIF= $CONF_FILE\|cut -d"=" -f2` # INTernal InterFace
-		19	`TUNIF="tun0" # listen device for chilli daemon`
19	`PRIVATE_NETWORK_MASK=$private_network/$private_prefix # Lan IP address + prefix (192.168.182.0/24)`	20	`PRIVATE_NETWORK_MASK=$private_network/$private_prefix # Lan IP address + prefix (192.168.182.0/24)`
20	PRIVATE_IP=`echo $private_ip_mask \| cut -d"/" -f1` # ALCASAR LAN IP address	21	PRIVATE_IP=`echo $private_ip_mask \| cut -d"/" -f1` # ALCASAR LAN IP address
21	public_ip_mask=`grep ^PUBLIC_IP= $CONF_FILE\|cut -d"=" -f2` # ALCASAR WAN IP address	22	public_ip_mask=`grep ^PUBLIC_IP= $CONF_FILE\|cut -d"=" -f2` # ALCASAR WAN IP address
22	`if [[ "$public_ip_mask" == "dhcp" ]]`	23	`if [[ "$public_ip_mask" == "dhcp" ]]`
23	`then`	24	`then`
24	`PTN="\b(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\.(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\.(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\.(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\/([012]?[0-9]\|3[0-2])\b"`	25	`PTN="\b(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\.(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\.(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\.(25[0-5]\|2[0-4][0-9]\|[01]?[0-9][0-9]?)\/([012]?[0-9]\|3[0-2])\b"`
25	public_ip_mask=`ip addr show $EXTIF \| egrep -o $PTN`	26	public_ip_mask=`ip addr show $EXTIF \| egrep -o $PTN`
26	`fi`	27	`fi`
27	PUBLIC_IP=`echo $public_ip_mask \| cut -d"/" -f1`	28	PUBLIC_IP=`echo $public_ip_mask \| cut -d"/" -f1`
28	SSH_LAN=`grep ^SSH_LAN= $CONF_FILE\|cut -d"=" -f2` # SSH LAN port	29	SSH_LAN=`grep ^SSH_LAN= $CONF_FILE\|cut -d"=" -f2` # SSH LAN port
29	`SSH_LAN=${SSH_LAN:=0}`	30	`SSH_LAN=${SSH_LAN:=0}`
30	SSH_WAN=`grep ^SSH_WAN= $CONF_FILE\|cut -d"=" -f2` # SSH WAN port	31	SSH_WAN=`grep ^SSH_WAN= $CONF_FILE\|cut -d"=" -f2` # SSH WAN port
31	`SSH_WAN=${SSH_WAN:=0}`	32	`SSH_WAN=${SSH_WAN:=0}`
32	SSH_WAN_ADMIN_FROM=`grep ^SSH_ADMIN_FROM= $CONF_FILE\|cut -d"=" -f2\|cut -d"/" -f2`	33	SSH_WAN_ADMIN_FROM=`grep ^SSH_ADMIN_FROM= $CONF_FILE\|cut -d"=" -f2\|cut -d"/" -f2`
33	`SSH_WAN_ADMIN_FROM=${SSH_WAN_ADMIN_FROM:="0.0.0.0"}`	34	`SSH_WAN_ADMIN_FROM=${SSH_WAN_ADMIN_FROM:="0.0.0.0"}`
34	`SSH_WAN_ADMIN_FROM=$([ "$SSH_WAN_ADMIN_FROM" == "0.0.0.0" ] && echo "0.0.0.0/0" \|\| echo "$SSH_WAN_ADMIN_FROM" )`	35	`SSH_WAN_ADMIN_FROM=$([ "$SSH_WAN_ADMIN_FROM" == "0.0.0.0" ] && echo "0.0.0.0/0" \|\| echo "$SSH_WAN_ADMIN_FROM" )`
35	SSH_LAN_ADMIN_FROM=`grep ^SSH_ADMIN_FROM= $CONF_FILE\|cut -d"=" -f2\|cut -d"/" -f1`	36	SSH_LAN_ADMIN_FROM=`grep ^SSH_ADMIN_FROM= $CONF_FILE\|cut -d"=" -f2\|cut -d"/" -f1`
36	`SSH_LAN_ADMIN_FROM=${SSH_LAN_ADMIN_FROM:="0.0.0.0"}`	37	`SSH_LAN_ADMIN_FROM=${SSH_LAN_ADMIN_FROM:="0.0.0.0"}`
37	`SSH_LAN_ADMIN_FROM=$([ "$SSH_LAN_ADMIN_FROM" == "0.0.0.0" ] && echo "$PRIVATE_NETWORK_MASK" \|\| echo "$SSH_LAN_ADMIN_FROM" )`	38	`SSH_LAN_ADMIN_FROM=$([ "$SSH_LAN_ADMIN_FROM" == "0.0.0.0" ] && echo "$PRIVATE_NETWORK_MASK" \|\| echo "$SSH_LAN_ADMIN_FROM" )`
38	interlan=`grep ^INTERLAN= $CONF_FILE\|cut -d"=" -f2`	39	interlan=`grep ^INTERLAN= $CONF_FILE\|cut -d"=" -f2`
39	`interlan=${interlan:=off}`	40	`interlan=${interlan:=off}`
40		41
41	`# On vide (flush) toutes les règles existantes`	42	`# On vide (flush) toutes les règles existantes`
42	`# Flush all existing rules`	43	`# Flush all existing rules`
43	`$IPTABLES -F`	44	`$IPTABLES -F`
44	`$IPTABLES -t nat -F`	45	`$IPTABLES -t nat -F`
45	`$IPTABLES -F INPUT`	46	`$IPTABLES -F INPUT`
46	`$IPTABLES -F FORWARD`	47	`$IPTABLES -F FORWARD`
47	`$IPTABLES -F OUTPUT`	48	`$IPTABLES -F OUTPUT`
48		49
49	`# On indique les politiques par défaut`	50	`# On indique les politiques par défaut`
50	`# Default policies`	51	`# Default policies`
51	`$IPTABLES -P INPUT DROP`	52	`$IPTABLES -P INPUT DROP`
52	`$IPTABLES -P FORWARD DROP`	53	`$IPTABLES -P FORWARD DROP`
53	`$IPTABLES -P OUTPUT ACCEPT`	54	`$IPTABLES -P OUTPUT ACCEPT`
54	`$IPTABLES -t nat -P PREROUTING ACCEPT`	55	`$IPTABLES -t nat -P PREROUTING ACCEPT`
55	`$IPTABLES -t nat -P POSTROUTING ACCEPT`	56	`$IPTABLES -t nat -P POSTROUTING ACCEPT`
56	`$IPTABLES -t nat -P OUTPUT ACCEPT`	57	`$IPTABLES -t nat -P OUTPUT ACCEPT`
57		58
58	`# On efface toutes les chaînes qui ne sont pas par défaut dans les tables filter et nat`	59	`# On efface toutes les chaînes qui ne sont pas par défaut dans les tables filter et nat`
59	`# Flush non default rules on filter and nat tables`	60	`# Flush non default rules on filter and nat tables`
60	`$IPTABLES -X`	61	`$IPTABLES -X`
61	`$IPTABLES -t nat -X`	62	`$IPTABLES -t nat -X`
62		63
63	`# On autorise tout sur loopback`	64	`# On autorise tout sur loopback`
64	`# accept all on loopback`	65	`# accept all on loopback`
65	`$IPTABLES -A OUTPUT -o lo -j ACCEPT`	66	`$IPTABLES -A OUTPUT -o lo -j ACCEPT`
66	`$IPTABLES -A INPUT -i lo -j ACCEPT`	67	`$IPTABLES -A INPUT -i lo -j ACCEPT`
67		68
68	`#############################`	69	`#############################`
69	`# INPUT #`	70	`# INPUT #`
70	`#############################`	71	`#############################`
71	`# SSHD rules if activate`	72	`# SSHD rules if activate`
72	`if [ $SSH_LAN -gt 0 ]`	73	`if [ $SSH_LAN -gt 0 ]`
73	`then`	74	`then`
74	`$IPTABLES -A INPUT -i $INTIF -s $SSH_LAN_ADMIN_FROM -d $PRIVATE_IP -p tcp --dport $SSH_LAN -m conntrack --ctstate NEW -j NFLOG --nflog-group 2 --nflog-prefix "RULE ssh-from-LAN -- ACCEPT"`	75	`$IPTABLES -A INPUT -i $INTIF -s $SSH_LAN_ADMIN_FROM -d $PRIVATE_IP -p tcp --dport $SSH_LAN -m conntrack --ctstate NEW -j NFLOG --nflog-group 2 --nflog-prefix "RULE ssh-from-LAN -- ACCEPT"`
75	`$IPTABLES -A INPUT -i $INTIF -s $SSH_LAN_ADMIN_FROM -d $PRIVATE_IP -p tcp --dport $SSH_LAN -j ACCEPT`	76	`$IPTABLES -A INPUT -i $INTIF -s $SSH_LAN_ADMIN_FROM -d $PRIVATE_IP -p tcp --dport $SSH_LAN -j ACCEPT`
76	`fi`	77	`fi`
77	`if [ $SSH_WAN -gt 0 ]`	78	`if [ $SSH_WAN -gt 0 ]`
78	`then`	79	`then`
79	`$IPTABLES -A INPUT -i $EXTIF -s $SSH_WAN_ADMIN_FROM -d $PUBLIC_IP -p tcp --dport $SSH_WAN -m conntrack --ctstate NEW --syn -j NFLOG --nflog-group 2 --nflog-prefix "RULE ssh-from-WAN -- ACCEPT"`	80	`$IPTABLES -A INPUT -i $EXTIF -s $SSH_WAN_ADMIN_FROM -d $PUBLIC_IP -p tcp --dport $SSH_WAN -m conntrack --ctstate NEW --syn -j NFLOG --nflog-group 2 --nflog-prefix "RULE ssh-from-WAN -- ACCEPT"`
80	`$IPTABLES -A INPUT -i $EXTIF -s $SSH_WAN_ADMIN_FROM -d $PUBLIC_IP -p tcp --dport $SSH_WAN -j ACCEPT`	81	`$IPTABLES -A INPUT -i $EXTIF -s $SSH_WAN_ADMIN_FROM -d $PUBLIC_IP -p tcp --dport $SSH_WAN -j ACCEPT`
81	`fi`	82	`fi`
82		83
83	`# Insertion de règles locales`	84	`# Insertion de règles locales`
84	`# Here, we add local rules (i.e. VPN from Internet)`	85	`# Here, we add local rules (i.e. VPN from Internet)`
85	`if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then`	86	`if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then`
86	`. /usr/local/etc/alcasar-iptables-local.sh`	87	`. /usr/local/etc/alcasar-iptables-local.sh`
87	`fi`	88	`fi`
88		89
89	`# on autorise les requêtes dhcp`	90	`# on autorise les requêtes dhcp`
90	`# accept dhcp`	91	`# accept dhcp`
91	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`	92	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`
92		93
93	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`	94	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`
94	`# Drop broadcast & multicast`	95	`# Drop broadcast & multicast`
95	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`	96	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`
96		97
97	`# On autorise l'accès aux services internes`	98	`# On autorise l'accès aux services internes`
98	`# Allow Internal access`	99	`# Allow Internal access`
99	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport domain -j ACCEPT # DNS`	100	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport domain -j ACCEPT # DNS`
100	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport domain -j ACCEPT # DNS`	101	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport domain -j ACCEPT # DNS`
101	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p icmp --icmp-type 8 -j ACCEPT # Réponse ping # ping responce`	102	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p icmp --icmp-type 8 -j ACCEPT # Réponse ping # ping responce`
102	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p icmp --icmp-type 0 -j ACCEPT # Requête ping # ping request`	103	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p icmp --icmp-type 0 -j ACCEPT # Requête ping # ping request`
103	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport https -j ACCEPT # ACC`	104	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport https -j ACCEPT # ACC`
104	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport http -j ACCEPT # ACC`	105	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p tcp --dport http -j ACCEPT # ACC`
105	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT # Serveur local de temps # local time server`	106	`$IPTABLES -A INPUT -i $INTIF -s $PRIVATE_NETWORK_MASK -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT # Serveur local de temps # local time server`
106		107
107	`# On autorise le retour des connexions entrante déjà acceptées`	108	`# On autorise le retour des connexions entrante déjà acceptées`
108	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`	109	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`
109		110
110	`# On interdit et on log le reste sur les 2 interfaces d'accès`	111	`# On interdit et on log le reste sur les 2 interfaces d'accès`
111	`$IPTABLES -A INPUT -i $INTIF -j NFLOG --nflog-group 1 --nflog-prefix "RULE rej-int -- REJECT "`	112	`$IPTABLES -A INPUT -i $INTIF -j NFLOG --nflog-group 1 --nflog-prefix "RULE rej-int -- REJECT "`
112	`$IPTABLES -A INPUT -i $EXTIF -j NFLOG --nflog-group 1 --nflog-prefix "RULE rej-ext -- REJECT "`	113	`$IPTABLES -A INPUT -i $EXTIF -j NFLOG --nflog-group 1 --nflog-prefix "RULE rej-ext -- REJECT "`
113	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`	114	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`
114	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`	115	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`
115		116
116	`#############################`	117	`#############################`
117	`# FORWARD #`	118	`# FORWARD #`
118	`#############################`	119	`#############################`
119	`# On autorise les retours de connexions légitimes par FORWARD`	120	`# On autorise les retours de connexions légitimes par FORWARD`
120	`# Conntrack on forward`	121	`# Conntrack on forward`
121	`$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT`	122	`$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT`
122		123
123	`# On autorise (ou pas) les utilisateurs à accéder au réseau situé entre ALCASAR et le routeur Internet`	124	`# On autorise (ou pas) les utilisateurs à accéder au réseau situé entre ALCASAR et le routeur Internet`
124	`# Users are allowed (or not allowed) to access the network between ALCASAR and the Internet router`	125	`# Users are allowed (or not allowed) to access the network between ALCASAR and the Internet router`
125	`if [ "$interlan" != "on" ]`	126	`if [ "$interlan" != "on" ]`
126	`then`	127	`then`
127	`$IPTABLES -A FORWARD -i $TUNIF -d $public_ip_mask -j DROP`	128	`$IPTABLES -A FORWARD -i $TUNIF -d $public_ip_mask -j DROP`
128	`fi`	129	`fi`
129		130
130	`# Insertion de règles de blocage`	131	`# Insertion de règles de blocage`
131	`# Here, we add block rules`	132	`# Here, we add block rules`
132	`if [ -s /usr/local/etc/alcasar-ip-blocked ]; then`	133	`if [ -s /usr/local/etc/alcasar-ip-blocked ]; then`
133	`while read ip_line`	134	`while read ip_line`
134	`do`	135	`do`
135	ip_on=`echo $ip_line\|cut -b1`	136	ip_on=`echo $ip_line\|cut -b1`
136	`if [ $ip_on != "#" ]`	137	`if [ $ip_on != "#" ]`
137	`then`	138	`then`
138	ip_blocked=`echo $ip_line\|cut -d" " -f1`	139	ip_blocked=`echo $ip_line\|cut -d" " -f1`
139	`$IPTABLES -A FORWARD -d $ip_blocked -j NFLOG --nflog-group 1 --nflog-prefix "RULE IP-blocked -- REJECT "`	140	`$IPTABLES -A FORWARD -d $ip_blocked -j NFLOG --nflog-group 1 --nflog-prefix "RULE IP-blocked -- REJECT "`
140	`$IPTABLES -A FORWARD -d $ip_blocked -j REJECT`	141	`$IPTABLES -A FORWARD -d $ip_blocked -j REJECT`
141	`fi`	142	`fi`
142	`done < /usr/local/etc/alcasar-ip-blocked`	143	`done < /usr/local/etc/alcasar-ip-blocked`
143	`fi`	144	`fi`
144		145
145	`# On autorise les demandes de connexions sortantes`	146	`# On autorise les demandes de connexions sortantes`
146	`$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j NFLOG --nflog-group 1 --nflog-prefix "RULE Transfert -- ACCEPT "`	147	`$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j NFLOG --nflog-group 1 --nflog-prefix "RULE Transfert -- ACCEPT "`
147	`$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT`	148	`$IPTABLES -A FORWARD -i $INTIF -m state --state NEW -j ACCEPT`
148		149
149	`#############################`	150	`#############################`
150	`# POSTROUTING #`	151	`# POSTROUTING #`
151	`#############################`	152	`#############################`
152	`# On active le masquage d'adresse par translation (NAT)`	153	`# On active le masquage d'adresse par translation (NAT)`
153	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`	154	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`
154		155
155	`# on ne sauvegarde pas les règles. En cas de reboot, on repasse ainsi automatiquement en mode normal (bypass -off)`	156	`# on ne sauvegarde pas les règles. En cas de reboot, on repasse ainsi automatiquement en mode normal (bypass -off)`
156	`# Fin du script des regles du parefeu`	157	`# Fin du script des regles du parefeu`
157		158
158		159
159	`Generated by GNU Enscript 1.6.6.`	160	`Generated by GNU Enscript 1.6.6.`
160		161
161		162
162		163