Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 11/06/2006, à 11:19

RedLemon

Newbie demande aide pour firewall

Salut,

Bon mon firewall fonctionne wink
Il est donc sur un pc qui fait office de server web/mail/dns + passerelle sur ip fixe et bientot reverse dns

#!/bin/bash
#

#(Copiez et collez ces exemples...)
export LAN=eth2
export WAN=eth0
export IPTABLE=/sbin/iptables
export IPLOCAL=192.168.1.0/24

#(Effacez les régles en cours)
${IPTABLE} -X
${IPTABLE} -F
${IPTABLE} -t nat -F

#(Configurez les régles par défaut pour s'occuper du traffic restant)
#(Ajoutez les régles pour le NAT)
${IPTABLE} -P INPUT ACCEPT
${IPTABLE} -P OUTPUT ACCEPT
${IPTABLE} -A FORWARD -j LOG --log-level info --log-prefix "RULE 1 -- DROP "
${IPTABLE} -P FORWARD DROP

#(Rendez les services accessibles uniquement à  nos machines locales)
${IPTABLE} -I INPUT 1 -i ${LAN} -j ACCEPT
${IPTABLE} -I INPUT 1 -i lo -j ACCEPT
${IPTABLE} -A INPUT -i lo -j ACCEPT
${IPTABLE} -A FORWARD -i lo -j ACCEPT
${IPTABLE} -A FORWARD -o lo -j ACCEPT

# On autorise les connexions TCP et UDP déjà établies à entrer
${IPTABLE} -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLE} -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

# On autorise le ping
${IPTABLE} -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
${IPTABLE} -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
${IPTABLE} -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT

#(Facultatif : autoriser l'accés au serveur ssh depuis l'extérieur)
${IPTABLE} -A INPUT -p TCP --dport ssh -i ${WAN} -j  LOG --log-level info --log-prefix "RULE 2 -- ACCEPT "
${IPTABLE} -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p TCP --dport www -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p TCP --dport 81 -i ${WAN} -j  LOG --log-level info --log-prefix "RULE 2 -- ACCEPT "
${IPTABLE} -A INPUT -p TCP --dport 81 -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p TCP --dport smtp -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p TCP --dport pop3 -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p TCP --dport ftp -i ${WAN} -j  LOG --log-level info --log-prefix "RULE 2  -- ACCEPT "
${IPTABLE} -A INPUT -p TCP --dport ftp -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p TCP --dport https -i ${WAN} -j ACCEPT
${IPTABLE} -A INPUT -p UDP --dport domain -i ${WAN} -j ACCEPT

#(éliminez les paquets destinés aux ports privilégiés)
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 0:1030 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p UDP -i ${WAN} -d 0/0 --dport 0:1030 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 0:1030 -j DROP
${IPTABLE} -A INPUT -p UDP -i ${WAN} -d 0/0 --dport 0:1030 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 1720 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 1720 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 5000 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 5000 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 5000 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 5000 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 1080 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 1080 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 3128 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 3128 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 1243 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 1243 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 3306 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 3306 -j DROP
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 10000 -j LOG --log-level info --log-prefix "RULE 3 -- DROP "
${IPTABLE} -A INPUT -p TCP -i ${WAN} -d 0/0 --dport 10000 -j DROP

# anti scan
${IPTABLE} -A INPUT -i ${WAN} -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
${IPTABLE} -A INPUT -i ${WAN} -p tcp --tcp-flags ALL ALL -j DROP
${IPTABLE} -A INPUT -i ${WAN} -p tcp --tcp-flags ALL NONE -j DROP
${IPTABLE} -A INPUT -i ${WAN} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
${IPTABLE} -A INPUT -i ${WAN} -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP

#Make sure NEW incoming tcp connections are SYN packets
${IPTABLE} -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#Packets with incoming fragments
${IPTABLE} -A INPUT -f -j DROP

#incoming malformed XMAS packets
${IPTABLE} -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

#Incoming malformed NULL packets
${IPTABLE} -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

#(Ajoutez les régles pour le NAT)
${IPTABLE} -I FORWARD -i ${LAN} -d ${IPLOCAL} -j LOG --log-level info --log-prefix "RULE 4 -- DROP "
${IPTABLE} -I FORWARD -i ${LAN} -d ${IPLOCAL} -j DROP
${IPTABLE} -A INPUT -s ${IPLOCAL} -j ACCEPT
${IPTABLE} -A FORWARD -s ${IPLOCAL} -j ACCEPT
${IPTABLE} -A FORWARD -d ${IPLOCAL} -j ACCEPT
${IPTABLE} -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

#Indiquez au noyau d'effectuer le transfert IP)
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

#(Enregistrez les régles ci-dessus pour le prochain démarrage)
/etc/init.d/iptables save

Voila, je donc svp :
1) vos commentaire et amélioration
2) savoir comment authorisé les sortie vers un vpn (machine windows vers un vpn de societe externe)
3) yahoo et msn ?

Merci d'avance

Un gros newvie en sécurité réseaux

« Je suis probablement l'inventeur de la combinaison Ctrl-Alt-Suppr, mais c'est Bill Gates qui l'a rendue célèbre ».
« I may have invented Control-Alt-Delete, but Bill Gates made it famous »
David Bradley
Mes wikis : http://doc.ubuntu-fr.org/utilisateurs/redlemon

Hors ligne

#2 Le 11/06/2006, à 11:57

patgrysli

Re : Newbie demande aide pour firewall

Salut ,
Je ne suis pas sure que ça vas t'aider mais il y a la un excellent tuto pour shorewall
http://forum.ubuntu-fr.org/viewtopic.php?id=43496
En ce qui concerne msn et yahoo ne passe t'ils pas par le port 80?

Hors ligne

#3 Le 11/06/2006, à 12:03

RedLemon

Re : Newbie demande aide pour firewall

merci pour le lien, mais je reste sur iptable, le server rentre en production lundi (acceptation du provider pour le reverse dns) donc j'ai pas trop envie de recommencé.

yahoo et msn utilise d'autre port pour la video et l'audio. Et il faut les forwardé. Malheureusement le ne peut pas mettre tous le reseaux en ip fixe et commencé des redirections.

« Je suis probablement l'inventeur de la combinaison Ctrl-Alt-Suppr, mais c'est Bill Gates qui l'a rendue célèbre ».
« I may have invented Control-Alt-Delete, but Bill Gates made it famous »
David Bradley
Mes wikis : http://doc.ubuntu-fr.org/utilisateurs/redlemon

Hors ligne

Pages : 1