Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 21/01/2011, à 22:58

debian_tux

script firewall

Bonjour à tous,


Voilà j'ai fait 2 petits script firewall sur un debian avec iptables, et j'aurai bien aimez voir ce que vous en pensez, voir si ca ressemble à quelque choses ?


merci d'avance smile

________________________________________________________________________
1IER SCRIPT FIREWALL
________________________________________________________________________
#!/bin/bash
#Déclaration des variables
loopback=lo
local=192.168.24.0/24
ifinternet=eth2
iflan=eth3
pcVoisin=10.1.6.47
pcClients=192.168.24.0/24
serveurMail=10.10.10.10
imprimante=10.1.6.250

# Active le routage sur IPv4
echo "1" > /proc/sys/net/ipv4/ip_forward

#Stratégie par défaut
for i in raw nat mangle filter
do
    iptables -t $i -F
    iptables -t $i -Z
done
for j in INPUT OUTPUT FORWARD
do
    iptables -P $j DROP
    iptables -t filter -A $j -m state --state ESTABLISHED,RELATED -j ACCEPT
done

#----------------------------------
# Ping vers tout le monde (OUTPUT)
# Ping depuis la classe (INPUT)
#----------------------------------
# -t préciser la table

iptables -t filter -A OUTPUT -m icmp -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A INPUT -i $iflan -s $local -m icmp -p icmp --icmp-type echo-request -j ACCEPT

#FORWARD car il doit traverser le système (eth local à eth internet)
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -m icmp -p icmp --icmp-type echo-request -j ACCEPT

#-----------------------------------------------------
# Tout est autorisé sur la loopback (OUTPUT et INPUT)
#-----------------------------------------------------

iptables -t filter -A OUTPUT -o $loopback -j ACCEPT
iptables -t filter -A INPUT -i $loopback -j ACCEPT

#----------------------------------
# SSH : Permettre l'administration
#----------------------------------

# Le voisin
iptables -t filter -A INPUT -i $ifinternet -s $pcVoisin -m tcp -p tcp --dport 22 -j ACCEPT

# Les clients
iptables -t filter -A INPUT -i $iflan -s $pcClients -m tcp -p tcp --dport 22 -j ACCEPT

#------------------
# Permet de surfer
#------------------

# Autorise le routage
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
# MASQUERADE car c'est un ip changeante

# HTTP
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -m tcp -p tcp --dport 80 -j ACCEPT

# Proxy
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -m tcp -p tcp --dport 8080 -j ACCEPT

# HTTPS
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -m tcp -p tcp --dport 443 -j ACCEPT

# DNS
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -m tcp -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -m udp -p udp --dport 53 -j ACCEPT

#-------------------------------
# Authorise d'envoyer des mails
#------------------------------

# SMTP
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -d $serveurMail -m tcp -p tcp --dport 25 -j ACCEPT

# IMAP
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -d $serveurMail -m tcp -p tcp --dport 143 -j ACCEPT

# IMAPS
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -d $serveurMail -m tcp -p tcp --dport 993 -j ACCEPT

# POP
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -d $serveurMail -m tcp -p tcp --dport 110 -j ACCEPT

# POPS
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -d $serveurMail -m tcp -p tcp --dport 995 -j ACCEPT

#----------------------
# Authorise d'imprimer
#----------------------

# IMPRIMANTE
iptables -t filter -A FORWARD -i $iflan -s $pcClients -o $ifinternet -d $serveurMail -m tcp -p tcp --dport 9100 -j ACCEPT

________________________________________________________________________
2IEME SCRIPT FIREWALL
________________________________________________________________________

#!/bin/bash

lo=127.0.0.1
network=192.168.1.0/24
firewall=/sbin/iptables


$firewall -t filter -F
for j in INPUT OUTPUT FORWARD
do
$firewall -P $j DROP
$firewall -A $j -m state --state ESTABLISHED,RELATED -j ACCEPT
done

echo "1" >>/proc/sys/net/ipv4/ip_forward

################################################
############# loopback ########################
$firewall -A INPUT -s $lo -j ACCEPT
$firewall -A OUTPUT -d $lo -j ACCEPT

###################################################
################### ssh ###########################
###################################################

$firewall -A OUTPUT -d $network -p tcp -m tcp --dport 22 -j ACCEPT

###################################################
################### MSN ###########################
###################################################
$firewall -A OUTPUT  -p tcp -m tcp --dport 1863 -j ACCEPT

###################################################
#################### MAIL #########################
###################################################

#POP
$firewall -A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
#SMTP
$firewall -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
#IMAP
$firewall -A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT

#####################################################
###################### FTP ##########################
#####################################################
$firewall -A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
/sbin/modprobe ip_conntrack_ftp
#####################################################
##################### HTTP ##########################
#####################################################
$firewall -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

#####################################################
###################### DNS ##########################
#####################################################
$firewall -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

#####################################################
#################### HTTPS ##########################
$firewall -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

________________________________________________________________________
________________________________________________________________________


Voilà, merci d'avance et bon amusent sur Ubuntu smile

Dernière modification par debian_tux (Le 22/01/2011, à 02:50)

Hors ligne

#2 Le 22/01/2011, à 13:50

Levi59

Re : script firewall

Tu as oublié les balises code du forum ( <> dans l'interface ) ce qui fait que c'est un peu dur de te relire...

Règle ce problème d'abord STP.

---Mon Conky! PC--- ---Mon Conky! EeePC--- ---Colorez votre conkyRC pour plus de lisibilité!---
---Retrouvez tous mes scripts sur mon blog ---

Carpe Diem

Hors ligne

#3 Le 01/02/2011, à 15:06

debian_tux

Re : script firewall

salut,

j'ai pas trop compris ?


enfin mon problème de firewall est régler.

tu t'y connais en wifi ? pour creer un point d'accès ?


merci

Hors ligne

Pages : 1