WebSVN – ALCASAR – Diff – /scripts/alcasar-iptables.sh


#!/bin/sh
# $Id: alcasar-iptables.sh 472 2011-02-02 23:01:55Z richard $
# script de mise en place des regles du parefeu d'Alcasar (mode normal)
# Rexy - 3abtux - CPN
# version 2.0 (10/2010)
# changelog :
#	+ déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh
#	+ prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh
# 	+ prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)
#	+ suppression log vers syslog
#	+ suppression des broadcast sur EXTIF et INTIF
#	+ suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"
 
IPTABLES="/sbin/iptables"
FILTERING="yes"
EXTIF="eth0"
INTIF="eth1"
TUNIF="tun0"
PRIVATE_NETWORK_MASK="192.168.182.0/24"
PRIVATE_IP="192.168.182.1"
 
# On vide (flush) toutes les règles existantes
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# On indique les politiques par défaut
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
 
# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat
$IPTABLES -X
$IPTABLES -t nat -X
 
# On autorise tout sur loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
 
#############################
#       INTIF rules         #
#############################
# on autorise les requêtes dhcp
$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT
 
# On ferme INTIF (tout passe par TUNIF)
$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "
$IPTABLES -A INPUT -i $INTIF -j REJECT
 
#############################
#  Local protection rules   #
#############################
# On drop les scans XMAS et NULL 
$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 
# On drop le broadcast et le multicast sur les interfaces
$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP
# Règles d'antispoofing (avec log)
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "
$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "
$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP
 
 
 
 
# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT
 
#  On ajoute ici les règles locales (ssh via Internet par ex.)
if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then
        . /usr/local/etc/alcasar-iptables-local.sh
fi
 
# On interdit le DNS en FORWARD (bloque les changements de serveurs DNS une fois authentifié ...)
$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset
 
# On autorise en FORWARD les connexions déjà établies
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Si filtrage de protocoles réseau
if [ $FILTERING = "yes" ]; then
	# On traite les IP en exception 
	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions | cut -d" " -f1`
	if [ $nb_exceptions != "0" ]
	then
		while read ip_exception 
		do
			echo $ip_exception 
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "
			$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT
		done < /usr/local/etc/alcasar-filter-exceptions
	fi
	# On autorise les protoles non commentés
	while read svc_line
	do
		svc_on=`echo $svc_line|cut -b1`
		if [ $svc_on != "#" ]
		then	
			svc_name=`echo $svc_line|cut -d" " -f1`
			svc_port=`echo $svc_line|cut -d" " -f2`
			if [ $svc_name = "icmp" ]
			then
				$IPTABLES -A FORWARD -i $TUNIF -p icmp -j ACCEPT 
			else
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "
				$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT
			fi
		fi
	done < /usr/local/etc/alcasar-services
	#tout le reste est bloqué
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "
	$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
	$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
	$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT 
fi
# On autorise les demandes de connexions sortantes (avec log)
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "
$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT
 
# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT
$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT
 
# On autorise le retour des connexions entrantes déjà acceptées
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# On interdit les connexions directes sur le port de DansGuardian (8080)
# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP
# On autorise les connexions sur DansGuardian
$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT
 
# On log les requêtes HTTP sortantes (demande de connexion seulement)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "
# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080
# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)
$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "
$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1
 
# On interdit et on log le reste sur l'interface interne
$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "
$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable
# Pour EXTIF, étudier l'utilité de logger dans un autre fichier (avec l'option --limit pour éviter les denis de service)
# $IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "
# On drop le reste sur l'interface externe
$IPTABLES -A INPUT -i $EXTIF -j DROP
 
# On active le masquage d'adresse par translation (NAT)
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE
 
# On sauvegarde les règles
/etc/init.d/iptables save
 
# On ne log pas les Log_martians (pour la mdv 2009 seulement)
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
 
# Fin du script des règles du parefeu
 
 

Subversion Repositories ALCASAR

(root)/scripts/alcasar-iptables.sh – Rev 434 → 472

Rev 434		Rev 472
1	`#!/bin/sh`	1	`#!/bin/sh`
2	`# $Id: alcasar-iptables.sh 434 2011-01-09 20:43:02Z richard $`	2	`# $Id: alcasar-iptables.sh 472 2011-02-02 23:01:55Z richard $`
3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`	3	`# script de mise en place des regles du parefeu d'Alcasar (mode normal)`
4	`# Rexy - 3abtux - CPN`	4	`# Rexy - 3abtux - CPN`
5	`# version 2.0 (10/2010)`	5	`# version 2.0 (10/2010)`
6	`# changelog :`	6	`# changelog :`
7	`# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh`	7	`# + déplacement du fichier firewall 'local' dans /usr/local/etc/alcasar-iptables-local.sh`
8	`# + prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh`	8	`# + prise en compte d'un fichier firewall 'local' dans /usr/local/sbin/alcasar-iptables-local.sh`
9	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`	9	`# + prise en compte des règles de "filtrage réseau" (alcasar-iptables-filter.sh)`
10	`# + suppression log vers syslog`	10	`# + suppression log vers syslog`
11	`# + suppression des broadcast sur EXTIF et INTIF`	11	`# + suppression des broadcast sur EXTIF et INTIF`
12	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`	12	`# + suppression du filtrage par la table "NAT" -> utilisation de la table "MANGLE"`
13		13
14	`IPTABLES="/sbin/iptables"`	14	`IPTABLES="/sbin/iptables"`
15	`FILTERING="no"`	15	`FILTERING="yes"`
16	`EXTIF="eth0"`	16	`EXTIF="eth0"`
17	`INTIF="eth1"`	17	`INTIF="eth1"`
18	`TUNIF="tun0"`	18	`TUNIF="tun0"`
19	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`	19	`PRIVATE_NETWORK_MASK="192.168.182.0/24"`
20	`PRIVATE_IP="192.168.182.1"`	20	`PRIVATE_IP="192.168.182.1"`
21		21
22	`# On vide (flush) toutes les règles existantes`	22	`# On vide (flush) toutes les règles existantes`
23	`$IPTABLES -F`	23	`$IPTABLES -F`
24	`$IPTABLES -t nat -F`	24	`$IPTABLES -t nat -F`
25	`$IPTABLES -t mangle -F`	25	`$IPTABLES -t mangle -F`
26	`$IPTABLES -F INPUT`	26	`$IPTABLES -F INPUT`
27	`$IPTABLES -F FORWARD`	27	`$IPTABLES -F FORWARD`
28	`$IPTABLES -F OUTPUT`	28	`$IPTABLES -F OUTPUT`
29		29
30	`# On indique les politiques par défaut`	30	`# On indique les politiques par défaut`
31	`$IPTABLES -P INPUT DROP`	31	`$IPTABLES -P INPUT DROP`
32	`$IPTABLES -P FORWARD DROP`	32	`$IPTABLES -P FORWARD DROP`
33	`$IPTABLES -P OUTPUT ACCEPT`	33	`$IPTABLES -P OUTPUT ACCEPT`
34	`$IPTABLES -t nat -P PREROUTING ACCEPT`	34	`$IPTABLES -t nat -P PREROUTING ACCEPT`
35	`$IPTABLES -t nat -P POSTROUTING ACCEPT`	35	`$IPTABLES -t nat -P POSTROUTING ACCEPT`
36	`$IPTABLES -t nat -P OUTPUT ACCEPT`	36	`$IPTABLES -t nat -P OUTPUT ACCEPT`
37		37
38	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`	38	`# On efface toutes les chaines qui ne sont pas par défaut dans les tables filter et nat`
39	`$IPTABLES -X`	39	`$IPTABLES -X`
40	`$IPTABLES -t nat -X`	40	`$IPTABLES -t nat -X`
41		41
42	`# On autorise tout sur loopback`	42	`# On autorise tout sur loopback`
43	`$IPTABLES -A INPUT -i lo -j ACCEPT`	43	`$IPTABLES -A INPUT -i lo -j ACCEPT`
44		44
-		45	`#############################`
-		46	`# INTIF rules #`
-		47	`#############################`
45	`# on autorise les requêtes dhcp`	48	`# on autorise les requêtes dhcp`
46	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`	49	`$IPTABLES -A INPUT -i $INTIF -p udp -m udp --sport bootpc --dport bootps -j ACCEPT`
47		-
48	`# On ferme INTIF (tout passe par TUNIF)`	50	`# On ferme INTIF (tout passe par TUNIF)`
49	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`	51	`$IPTABLES -A INPUT -i $INTIF -j ULOG --ulog-prefix "RULE Protect1 -- REJECT "`
50	`$IPTABLES -A INPUT -i $INTIF -j REJECT`	52	`$IPTABLES -A INPUT -i $INTIF -j REJECT`
51		53
-		54	`#############################`
-		55	`# Local protection rules #`
-		56	`#############################`
52	`## On drop les scans XMAS et NULL (à voir si utile ...)`	57	`# On drop les scans XMAS et NULL`
53	`#$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP`	58	`$IPTABLES -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP`
54	`#$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP`	59	`$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP`
55	`#$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP`	60	`$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP`
56	`#$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP`	61	`$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP`
57		-
-		62	`# On drop le broadcast et le multicast sur les interfaces`
-		63	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`
58	`# Règles d'antispoofing`	64	`# Règles d'antispoofing (avec log)`
59	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`	65	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof1 -- DENY "`
60	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`	66	`$IPTABLES -A INPUT -i $TUNIF ! -s $PRIVATE_NETWORK_MASK -j DROP`
61	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`	67	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j ULOG --ulog-prefix "RULE Antispoof2 -- DENY "`
62	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`	68	`$IPTABLES -A INPUT -i $EXTIF -s $PRIVATE_NETWORK_MASK -j DROP`
63		-
64	`# On drop le broadcast et le multicast sur les interfaces (sans Log)`	-
65	`$IPTABLES -A INPUT -m addrtype --dst-type BROADCAST,MULTICAST -j DROP`	-
66		-
67	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`	69	`# On autorise le ping dans les deux sens (icmp N°0 & 8) en provenance du LAN`
68	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`	70	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 0 -j ACCEPT`
69	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`	71	`$IPTABLES -A INPUT -i $TUNIF -s $PRIVATE_NETWORK_MASK -p icmp --icmp-type 8 -j ACCEPT`
70		72
71	`# On ajoute ici les règles locales (ssh via Internet par ex.)`	73	`# On ajoute ici les règles locales (ssh via Internet par ex.)`
72	`if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then`	74	`if [ -f /usr/local/etc/alcasar-iptables-local.sh ]; then`
73	`. /usr/local/etc/alcasar-iptables-local.sh`	75	`. /usr/local/etc/alcasar-iptables-local.sh`
74	`fi`	76	`fi`
75		77
76	`# On interdit le DNS en FORWARD (bloque les changements de serveurs DNS une fois authentifié ...)`	78	`# On interdit le DNS en FORWARD (bloque les changements de serveurs DNS une fois authentifié ...)`
77	`$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable`	79	`$IPTABLES -A FORWARD -i $TUNIF -p udp --dport domain -j REJECT --reject-with icmp-port-unreachable`
78	`$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset`	80	`$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport domain -j REJECT --reject-with tcp-reset`
79		81
80	`# On autorise en FORWARD les connexions déjà établies`	82	`# On autorise en FORWARD les connexions déjà établies`
81	`$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT`	83	`$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT`
82		84
83	`# Si filtrage de protocoles réseau`	85	`# Si filtrage de protocoles réseau`
84	`if [ $FILTERING = "yes" ]; then`	86	`if [ $FILTERING = "yes" ]; then`
85	`# On traite les IP en exception`	87	`# On traite les IP en exception`
86	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions \| cut -d" " -f1`	88	nb_exceptions=`wc -w /usr/local/etc/alcasar-filter-exceptions \| cut -d" " -f1`
87	`if [ $nb_exceptions != "0" ]`	89	`if [ $nb_exceptions != "0" ]`
88	`then`	90	`then`
89	`while read ip_exception`	91	`while read ip_exception`
90	`do`	92	`do`
91	`echo $ip_exception`	93	`echo $ip_exception`
92	`$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "`	94	`$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ULOG --ulog-prefix "RULE IP-exception -- ACCEPT "`
93	`$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT`	95	`$IPTABLES -A FORWARD -i $TUNIF -s $ip_exception -m state --state NEW -j ACCEPT`
94	`done < /usr/local/etc/alcasar-filter-exceptions`	96	`done < /usr/local/etc/alcasar-filter-exceptions`
95	`fi`	97	`fi`
96	`# On autorise les protoles non commentés`	98	`# On autorise les protoles non commentés`
97	`while read svc_line`	99	`while read svc_line`
98	`do`	100	`do`
99	svc_on=`echo $svc_line\|cut -b1`	101	svc_on=`echo $svc_line\|cut -b1`
100	`if [ $svc_on != "#" ]`	102	`if [ $svc_on != "#" ]`
101	`then`	103	`then`
102	svc_name=`echo $svc_line\|cut -d" " -f1`	104	svc_name=`echo $svc_line\|cut -d" " -f1`
103	svc_port=`echo $svc_line\|cut -d" " -f2`	105	svc_port=`echo $svc_line\|cut -d" " -f2`
104	`if [ $svc_name = "icmp" ]`	106	`if [ $svc_name = "icmp" ]`
105	`then`	107	`then`
106	`$IPTABLES -A FORWARD -i $TUNIF -p icmp -j ACCEPT`	108	`$IPTABLES -A FORWARD -i $TUNIF -p icmp -j ACCEPT`
107	`else`	109	`else`
108	`$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "`	110	`$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ULOG --ulog-prefix "RULE F_$svc_name -- ACCEPT "`
109	`$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT`	111	`$IPTABLES -A FORWARD -i $TUNIF -p tcp --dport $svc_port -m state --state NEW -j ACCEPT`
110	`fi`	112	`fi`
111	`fi`	113	`fi`
112	`done < /usr/local/etc/alcasar-services`	114	`done < /usr/local/etc/alcasar-services`
113	`#tout le reste est bloqué`	115	`#tout le reste est bloqué`
114	`$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "`	116	`$IPTABLES -A FORWARD -i $TUNIF -p tcp -j ULOG --ulog-prefix "RULE F_filter -- REJECT "`
115	`$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset`	117	`$IPTABLES -A FORWARD -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset`
116	`$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable`	118	`$IPTABLES -A FORWARD -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable`
117	`$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT`	119	`$IPTABLES -A FORWARD -i $TUNIF -p icmp -j REJECT`
118	`fi`	120	`fi`
119	`# On autorise les demandes de connexions sortantes (avec log)`	121	`# On autorise les demandes de connexions sortantes (avec log)`
120	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`	122	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert1 -- ACCEPT "`
121	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT`	123	`$IPTABLES -A FORWARD -i $TUNIF -m state --state NEW -j ACCEPT`
122		124
123	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`	125	`# On autorise les flux entrant dns, ntp, https, ssh et le port 3990 (connexion/deconnexion des usagers). Retour autorisé par politique accept en OUTPUT`
124	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT`	126	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport domain -j ACCEPT`
125	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT`	127	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p udp --dport ntp -j ACCEPT`
126	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT`	128	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport https -j ACCEPT`
127	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT`	129	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport http -j ACCEPT`
128	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT`	130	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport ssh -j ACCEPT`
129	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT`	131	`$IPTABLES -A INPUT -i $TUNIF -d $PRIVATE_IP -p tcp --dport 3990 -j ACCEPT`
130		132
131	`# On autorise le retour des connexions entrantes déjà acceptées`	133	`# On autorise le retour des connexions entrantes déjà acceptées`
132	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`	134	`$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT`
133		135
134	`# On interdit les connexions directes sur le port de DansGuardian (8080)`	136	`# On interdit les connexions directes sur le port de DansGuardian (8080)`
135	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`	137	`# les paquets concernés sont marqués par une règle de PREROUTING (cf. ci-après)`
136	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`	138	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m mark --mark 1 -j DROP`
137	`# On autorise les connexions sur DansGuardian`	139	`# On autorise les connexions sur DansGuardian`
138	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`	140	`$IPTABLES -A INPUT -i $TUNIF -p tcp --dport 8080 -m state --state NEW --syn -j ACCEPT`
139		141
140	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`	142	`# On log les requêtes HTTP sortantes (demande de connexion seulement)`
141	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`	143	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -m state --state NEW -j ULOG --ulog-prefix "RULE Transfert2 -- ACCEPT "`
142	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`	144	`# On redirige les requête http sortantes vers DansGuardian (mode "proxy transparent")`
143	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`	145	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp ! -d $PRIVATE_IP --dport http -j REDIRECT --to-port 8080`
144	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`	146	`# On traite les tentatives de contournement par accès direct à DansGuardian (marquage des paquets)`
145	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`	147	`$IPTABLES -A PREROUTING -t nat -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j ULOG --ulog-prefix "RULE direct-proxy -- DENY "`
146	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`	148	`$IPTABLES -A PREROUTING -t mangle -i $TUNIF -p tcp -d $PRIVATE_IP -m tcp --dport 8080 -j MARK --set-mark 1`
147		149
148	`# On interdit et on log le reste sur les 2 interfaces d'accès`	150	`# On interdit et on log le reste sur l'interface interne`
149	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`	151	`$IPTABLES -A INPUT -i $TUNIF -j ULOG --ulog-prefix "RULE rej-int -- REJECT "`
150	`$IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`	152	`$IPTABLES -A INPUT -i $TUNIF -p tcp -j REJECT --reject-with tcp-reset`
151	`$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset`	153	`$IPTABLES -A INPUT -i $TUNIF -p udp -j REJECT --reject-with icmp-port-unreachable`
-		154	`# Pour EXTIF, étudier l'utilité de logger dans un autre fichier (avec l'option --limit pour éviter les denis de service)`
152	`$IPTABLES -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable`	155	`# $IPTABLES -A INPUT -i $EXTIF -j ULOG --ulog-prefix "RULE rej-ext -- REJECT "`
-		156	`# On drop le reste sur l'interface externe`
-		157	`$IPTABLES -A INPUT -i $EXTIF -j DROP`
153		158
154	`# On active le masquage d'adresse par translation (NAT)`	159	`# On active le masquage d'adresse par translation (NAT)`
155	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`	160	`$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE`
156		161
157	`# On sauvegarde les règles`	162	`# On sauvegarde les règles`
158	`/etc/init.d/iptables save`	163	`/etc/init.d/iptables save`
159		164
160	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`	165	`# On ne log pas les Log_martians (pour la mdv 2009 seulement)`
161	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`	166	`echo 0 > /proc/sys/net/ipv4/conf/all/log_martians`
162		167
163	`# Fin du script des règles du parefeu`	168	`# Fin du script des règles du parefeu`
164		169
165		170