WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh



#!/bin/bash
# $Id: alcasar-iptables.sh 1459 2014-09-21 23:59:28Z franck $
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
# This script writes the netfilter rules for ALCASAR
# Rexy - 3abtux - CPN
#
# Reminders

#############################
#       PREROUTING          #
#############################
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
 
# Marquage (et journalisation) des paquets qui tentent d'accéder directement à DansGuardian pour pouvoir les rejeter en INPUT
# mark (and log) the dansguardian bypass attempts in order to DROP them in INPUT rules
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -d $PRIVATE_IP -p tcp -m tcp --dport 8080 -j MARK --set-mark 1

# Drop broadcast & multicast on EXTIF to avoid log 
$IPTABLES -A INPUT -i $EXTIF -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
 
# On rejette les trames marquées dans PREROUTING MANGLE sur marqueur HTTP/header mark 3
# Tagged frames are discarded in PREROUTING MANGLE over HTTP/header marker mark 3
#$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp --dport 8080 -m mark --mark 10 -j REJECT --reject-with tcp-reset
 
# On autorise les retours de connexions légitimes par INPUT
# Conntrack on INPUT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh @ 2485 – Rev 1453 → 1459

Rev 1453		Rev 1459
Line 1...		Line 1...
1	`#!/bin/bash`	1	`#!/bin/bash`
2	`# $Id: alcasar-iptables.sh 1453 2014-09-21 07:27:28Z franck $`	2	`# $Id: alcasar-iptables.sh 1459 2014-09-21 23:59:28Z franck $`
3	`# Script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# Script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# This script writes the netfilter rules for ALCASAR`	4	`# This script writes the netfilter rules for ALCASAR`
5	`# Rexy - 3abtux - CPN`	5	`# Rexy - 3abtux - CPN`
6	`#`	6	`#`
7	`# Reminders`	7	`# Reminders`
Line 140...		Line 140...
140	`#############################`	140	`#############################`
141	`# PREROUTING #`	141	`# PREROUTING #`
142	`#############################`	142	`#############################`
143	`# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT`	143	`# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT`
144	`# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules`	144	`# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules`
145	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10`	145	`#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10`
146		146
147	`# Marquage (et journalisation) des paquets qui tentent d'accéder directement à DansGuardian pour pouvoir les rejeter en INPUT`	147	`# Marquage (et journalisation) des paquets qui tentent d'accéder directement à DansGuardian pour pouvoir les rejeter en INPUT`
148	`# mark (and log) the dansguardian bypass attempts in order to DROP them in INPUT rules`	148	`# mark (and log) the dansguardian bypass attempts in order to DROP them in INPUT rules`
149	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`	149	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`
150	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -d $PRIVATE_IP -p tcp -m tcp --dport 8080 -j MARK --set-mark 1`	150	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -d $PRIVATE_IP -p tcp -m tcp --dport 8080 -j MARK --set-mark 1`
Line 223...		Line 223...
223	`# Drop broadcast & multicast on EXTIF to avoid log`	223	`# Drop broadcast & multicast on EXTIF to avoid log`
224	`$IPTABLES -A INPUT -i $EXTIF -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`	224	`$IPTABLES -A INPUT -i $EXTIF -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`
225		225
226	`# On rejette les trames marquées dans PREROUTING MANGLE sur marqueur HTTP/header mark 3`	226	`# On rejette les trames marquées dans PREROUTING MANGLE sur marqueur HTTP/header mark 3`
227	`# Tagged frames are discarded in PREROUTING MANGLE over HTTP/header marker mark 3`	227	`# Tagged frames are discarded in PREROUTING MANGLE over HTTP/header marker mark 3`
228	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp --dport 8080 -m mark --mark 10 -j REJECT --reject-with tcp-reset`	228	`#$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp --dport 8080 -m mark --mark 10 -j REJECT --reject-with tcp-reset`
229		229
230	`# On autorise les retours de connexions légitimes par INPUT`	230	`# On autorise les retours de connexions légitimes par INPUT`
231	`# Conntrack on INPUT`	231	`# Conntrack on INPUT`
232	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`	232	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`
233		233