1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137
|
#!/bin/bash
#script de configuration iptables
#16-05-2009
wan="eth1"
lan="eth0"
serveur1="172.16.0.19"
serveur2="172.16.0.252"
intranet="172.16.0.31"
pcadmin1="172.16.0.91"
pcadmin2=$(/usr/bin/host pan-por03.panidor.org | cut -d" " -f4)
# Refuse les rénses aux broadcasts.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Refuse le routage des paquets source.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Refuse les redirections ICMP.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Active la protection contre les erreurs ICMP.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Log les paquets spoofé le routage des paquets source et la redirection des paquets.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Active la protection TCP syn cookie
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#activation du routeur####
echo "1" > /proc/sys/net/ipv4/ip_forward
# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
#Remise à ero
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -A POSTROUTING -t nat -o $wan -j MASQUERADE
######################## LAN ##################################
#### Autoriser les connexions deja etablis ou renouvellé#####
#### qui traverse le pare-feu #################################
iptables -A FORWARD -i $wan -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
######################## PARTIE SERVEUR #######################
#### Autorise protocole UDP pour le dns, Serveur 1 et 2 #######
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW -j ACCEPT
#### Autorise protocole TCP pour serveur 1 (pop3,smtp,dns)et 2(dns) ####
iptables -A FORWARD -p tcp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 110,25,53 -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
#### Autorise LAN Ã aire de l'https ####
iptables -A FORWARD -p tcp --dport 443 -i $lan -o $wan -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ICMP -i $lan -o $wan -m state --state NEW -j ACCEPT
## Autorisation des pcadmin 1 et 2 en tcp udp 47 (gre)
iptables -A FORWARD -p tcp -i $lan -o $wan -s $pcadmin1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -i $lan -o $wan -s $pcadmin1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -i $lan -o $wan -s $pcadmin2 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -i $lan -o $wan -s $pcadmin2 -m state --state NEW -j ACCEPT
########## Autorisation du routage pour HARDIS################
iptables -A FORWARD -p ALL -i $lan -o $lan -s 172.16.0.0/16 -d 172.16.0.175 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ALL -i $lan -o $lan -s 192.168.208.0/255.255.240.0 -d 172.16.0.0/255.255.0.0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ALL -i $lan -o $lan -s 172.16.0.0/16 -d 192.168.208.0/255.255.240.0 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p ALL -i $lan -d 192.168.208.0/255.255.240.0 -m state --state NEW -j ACCEPT
############################################################################################################
iptables -A FORWARD -p tcp -i $lan -o $wan -s $intranet -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -i $lan -o $wan -s $intranet -m state --state NEW -j ACCEPT
iptables -A FORWARD -p 47 -i $lan -o $wan -s $pcadmin1 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
############ LAN => FW ###################
#### redirection du port 80 qui rentre par l'interface lan vers le port dansgaurdian ####
iptables -t nat -A PREROUTING -i $lan -p tcp --dport 80 -j REDIRECT --to-ports 8080
#### Autorise le SSH du lan vers FW ####
iptables -A INPUT -p tcp --dport ssh -i $lan -m state --state NEW -j ACCEPT
#### Autorise le LAN a rentrer sur le port 8080 et donnéa rénse sur le 80
iptables -A INPUT -p tcp --dport 8080 -i $lan -m state --state NEW -j ACCEPT
############iptables -A OUTPUT -p tcp --sport 80 -o $lan -m state --state NEW -j ACCEPT
#########
### FW ##
#########
###############################################################
##### Autorise les connexion dè etablished ou renouvellé###
##### en input /output ####
###############################################################
iptables -A INPUT -i $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
###################### interface local ########################
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
############### Autoriser le FW interroger DNS WAN ################
iptables -A OUTPUT -o $wan -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o $wan -p tcp --dport 53 -m state --state NEW -j ACCEPT
############### Autoriser le FW interroger DNS LAN ################
iptables -A OUTPUT -o $lan -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o $lan -p tcp --dport 53 -m state --state NEW -j ACCEPT
############### Autoriser le FW interroger web ################
iptables -A OUTPUT -o $wan -p tcp --dport 80 -m state --state NEW -j ACCEPT
##############PING ################
iptables -A OUTPUT -o $wan -p icmp -j ACCEPT
###############################################################
###################### FTP ##############################
###############################################################
#################### Active Module ############################
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
####################### FW => WAN ############################
iptables -A OUTPUT -o $wan -p tcp --dport 21 -m state --state NEW -j ACCEPT
################## ftp du LAN vers WAN #######################
iptables -A FORWARD -p tcp -i $lan --sport 1024:65535 --dport 21 -o $wan -m state --state NEW -j ACCEPT |
Partager