Subversion Repositories ALCASAR

Rev

Rev 1822 | Rev 1852 | Go to most recent revision | Show entire file | Ignore whitespace | Details | Blame | Last modification | View Log

Rev 1822 Rev 1827
Line 1... Line 1...
1 
#!/bin/bash
 1 
#!/bin/bash
2 
# $Id: alcasar-iptables.sh 1822 2016-04-08 16:21:33Z raphael.pion $
 2 
# $Id: alcasar-iptables.sh 1827 2016-04-19 09:47:29Z raphael.pion $
3 
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
 3 
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
4 
# This script writes the netfilter rules for ALCASAR
 4 
# This script writes the netfilter rules for ALCASAR
5 
# Rexy - 3abtux - CPN
 5 
# Rexy - 3abtux - CPN
6 
#
 6 
#
7 
# Reminders
 7 
# Reminders
Line 151... Line 151...
151 
fi
 151 
fi
152 
 
 152 
 
153 
#############################
 153 
#############################
154 
#       PREROUTING          #
 154 
#       PREROUTING          #
155 
#############################
 155 
#############################
- 
 
 156 
 
- 
 
 157 
# Redirection des requetes DNS des utilisateurs non connectés dans le DNS-Blackhole
- 
 
 158 
# Redirect users not connected DNS requests in DNS-Blackhole
- 
 
 159 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p tcp --dport domain -j REDIRECT --to-port 56
- 
 
 160 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p udp --dport domain -j REDIRECT --to-port 56
- 
 
 161 
 
- 
 
 162 
 
156 
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
 163 
# Marquage des paquets qui tentent d'accéder directement à un serveur sans authentification en mode proxy pour pouvoir les rejeter en INPUT
157 
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
 164 
# Mark packets that attempt to directly access a server without authentication with proxy client to reject them in INPUT rules
158 
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
 165 
#$IPTABLES -A PREROUTING -t mangle -i $TUNIF -s $PRIVATE_NETWORK_MASK -p tcp -m tcp --dport 80 -m string --string 'GET http' --algo bm --from 50 --to 70 -j MARK --set-mark 10
159 
 
 166 
 
160 
# Marquage (et journalisation) des paquets qui tentent d'accéder directement au 8080 (DansGuardian) pour pouvoir les rejeter en INPUT
 167 
# Marquage (et journalisation) des paquets qui tentent d'accéder directement au 8080 (DansGuardian) pour pouvoir les rejeter en INPUT
Line 210... Line 217...
210 
 
 217 
 
211 
# Redirection des requêtes NTP vers le serveur NTP local
 218 
# Redirection des requêtes NTP vers le serveur NTP local
212 
# Redirect NTP request in local NTP server
 219 
# Redirect NTP request in local NTP server
213 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $PRIVATE_IP -p udp --dport ntp -j REDIRECT --to-port 123
 220 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -s $PRIVATE_NETWORK_MASK ! -d $PRIVATE_IP -p udp --dport ntp -j REDIRECT --to-port 123
214 
 
 221 
 
215 
# Redirection des requetes DNS des utilisateurs non connectés dans le DNS-Blackhole
 - 
 
216 
# Redirect users not connected DNS requests in DNS-Blackhole
 - 
 
217 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p tcp --dport domain -j REDIRECT --to-port 56
 - 
 
218 
$IPTABLES -A PREROUTING -t nat -i $TUNIF -m set ! --match-set ipset_users_list src -d $PRIVATE_IP -p udp --dport domain -j REDIRECT --to-port 56
 - 
 
219 
 
 - 
 
220 
#############################
 222 
#############################
221 
#         INPUT             #
 223 
#         INPUT             #
222 
#############################
 224 
#############################
223 
 
 225 
 
224 
# Tout passe sur loopback
 226 
# Tout passe sur loopback