Firewall avec Iptables Mandrake 9.2

par **MoiCVincent** » 10 Jan 2004 00:39

Heloooooooo ! Bon cette fois j'ai pas vraiment de probleme , je viens d'installer une Mandrake 9.2 qui me partage mon acces Internet Et pour la config du firewall j'ai tous fais a la main et ca fonctionne assez bien je doit dire maintenant c'est la premiere fois que je fait ca et je sais pas si c'est bien fait Si les habitués de la sécurité et des firewall pouvait m'indiquer les erreurs comises et le moyen d'ameliorer mon script Tous le commentaires sont les bienvennus ( Meme les grosse CRITIQUES ) Je sais , mes commentaires sont parfois bizzares mais c'est pour que je m'i retrouve <IMG SRC="images/smiles/icon_biggrin.gif"> Merci d'avance ! #!/bin/bash # Chemin de l'executable IPTABLES IPT=/sbin/iptables # Adresse de mon reseau Local MY_NET=192.168.20/24 # Nom de mon interface pour aller sur le net NET_IFACE=ppp0 # Liste des ports TCP a accepter en provenance du net NET_TCP="13 80" # Liste des ports TCP a accepter en provenance du LAN LAN_TCP="13 22 80 137:139 901" # Liste des ports UDP a accepter en provenance du net NET_UDP="13 80" # Liste des ports UDP a accepter en provenance du LAN LAN_UDP="13 22 80 137:139 901" # Liste des ports TCP a accepter en provenance du net vers le LAN ( FORWARD ) NET_LAN_TCP="80" # Liste des ports UDP a accepter en provenance du net vers le LAN ( FORWARD ) NET_LAN_UDP="80" # Activation du forwarding et Adresse IP dynamique echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr # On vide toutes les chaines $IPT -F # On efface toutes les chaines $IPT -X # Gestion des paquets a loguer et a refuser # on ajoute une nouvelle chaine LOG_DROP $IPT -N LOG_DROP # on active le logging pour cette chaine avec le prefixe [IPTABLES DROP] : $IPT -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' # enfin on rejette le paquet $IPT -A LOG_DROP -j DROP # Gestion des paquets a loguer et a refuser non traite a la fin du script # on ajoute une nouvelle chaine LOG_DROP_END $IPT -N LOG_DROP_END # on active le logging pour cette chaine avec le prefixe [IPTABLES DROP] : $IPT -A LOG_DROP_END -j LOG --log-prefix '[IPTABLES DROP_END] : ' # enfin on rejette le paquet $IPT -A LOG_DROP_END -j DROP # Gestion des paquets a loguer et a accepter # on ajoute une nouvelle chaine LOG_ACCEPT $IPT -N LOG_ACCEPT # on active le logging pour cette chaine avec le prefixe [IPTABLES ACCEPT] : $IPT -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : ' # enfin on accepte le paquet $IPT -A LOG_ACCEPT -j ACCEPT # Gestion des paquets ssh a loguer et a accepter # on ajoute une nouvelle chaine LOG_ACCEPT_SSH $IPT -N LOG_ACCEPT_SSH # on active le logging pour cette chaine avec le prefixe [IPTABLES ACCEPT SSH] : $IPT -A LOG_ACCEPT_SSH -j LOG --log-prefix '[IPTABLES ACCEPT SSH] : ' # enfin on accepte le paquet $IPT -A LOG_ACCEPT_SSH -j ACCEPT # Gestion des paquets ICMP a loguer et a accepter # on ajoute une nouvelle chaine LOG_ACCEPT_PING $IPT -N LOG_ACCEPT_PING # on active le logging pour cette chaine avec le prefixe [IPTABLES ACCEPT PING] : $IPT -A LOG_ACCEPT_PING -j LOG --log-prefix '[IPTABLES ACCEPT PING] : ' # enfin on accepte le paquet $IPT -A LOG_ACCEPT_PING -j ACCEPT # politique par defaut : on rejette tout $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # On accepte tout sur l'interface locale ( lo ) $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # on va s'occuper du net # on ne veux pas de filtrage sur le conexions sortantes # Serveur -> NET # On accepte toute les connexions tcp sortantes $IPT -A OUTPUT -o $NET_IFACE -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -i $NET_IFACE -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT # On accepte toute les connexions udp sortantes $IPT -A OUTPUT -o $NET_IFACE -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -i $NET_IFACE -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT # On accepte et on logue les connexions SSH venant de l'exterieur $IPT -A INPUT -i $NET_IFACE -m state --state NEW,RELATED,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT_SSH $IPT -A OUTPUT -o $NET_IFACE -m state --state RELATED,ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT_SSH # on authorise ICMP sur le NET avec limitation # ( max 40 ping /min ) seul le ping est authorise "icmp-type 8 et 0" $IPT -A OUTPUT -o $NET_IFACE -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -i $NET_IFACE -p icmp --icmp-type 8 -m state --state NEW -m limit --limit 40/min -j LOG_ACCEPT_PING $IPT -A INPUT -i $NET_IFACE -p icmp --icmp-type 0 -m state --state NEW -m limit --limit 40/min -j LOG_ACCEPT_PING $IPT -A INPUT -i $NET_IFACE -p icmp -m state --state RELATED,ESTABLISHED -j LOG_ACCEPT_PING for port in $NET_TCP ; do $IPT -A INPUT -i $NET_IFACE -p tcp --dport $port -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT done for port in $NET_UDP ; do $IPT -A INPUT -i $NET_IFACE -p udp --dport $port -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT done # maintenant on passe au LAN # On accepte toute les connexions sortantes $IPT -A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # On accepte et on logue les connexions SSH venant du LAN #$IPT -A INPUT -i eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT_SSH #$IPT -A OUTPUT -o eth0 -m state --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT_SSH # on authorise ICMP sur le LAN $IPT -A OUTPUT -o eth0 -p icmp -j ACCEPT $IPT -A INPUT -i eth0 -p icmp -j ACCEPT # filtrage des connexions au serveur for port in $LAN_TCP ; do $IPT -A INPUT -i eth0 -p tcp --dport $port -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT done for port in $LAN_UDP ; do $IPT -A INPUT -i eth0 -p udp --dport $port -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT done # maintenant les connexions qui traversent # Le LAN a un acces complet au net $IPT -A FORWARD -i eth0 -o $NET_IFACE -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT $IPT -A FORWARD -o eth0 -i $NET_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT # Le ping NET vers LAN est limite $IPT -A FORWARD -i eth0 -o $NET_IFACE -p icmp -m state --state NEW,RELATED,ESTABLISHED -j LOG_ACCEPT_PING $IPT -A FORWARD -i $NET_IFACE -o eth0 -p icmp -m state --state RELATED,ESTABLISHED -j LOG_ACCEPT_PING $IPT -A FORWARD -i $NET_IFACE -o eth0 -p icmp -m state --state NEW -m limit --limit 40/min -j LOG_ACCEPT_PING # on accepte quelques ports dans le sens NET -> LAN for port in $NET_LAN_TCP ; do $IPT -A FORWARD -i $NET_IFACE -o eth0 -p tcp --dport $port -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT done for port in $NET_LAN_UDP ; do $IPT -A FORWARD -i $NET_IFACE -o eth0 -p udp --dport $port -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT done # Le lan dialogue sur le net avec l'IP publique du serveur $IPT -t nat -A POSTROUTING -s $MY_NET -j MASQUERADE # On va faire un peu de gestion du debit # Priorisation des connexions ftp et ssh $IPT -A PREROUTING -t mangle -p tcp --sport ssh -j TOS --set-tos Minimize-Delay $IPT -A PREROUTING -t mangle -p tcp --sport ftp -j TOS --set-tos Minimize-Delay # On donne un maximum de débit aux transferts ftp, peu importe la latence $IPT -A PREROUTING -t mangle -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput # tout ce qui n'a pas ete traite est rejete et logue $IPT -A FORWARD -j LOG_DROP_END $IPT -A INPUT -j LOG_DROP_END $IPT -A OUTPUT -j LOG_DROP_END

par **MoiCVincent** » 10 Jan 2004 13:40

Ah ouais J'ai oublié ! Peux -ton lancer des commandes ( traceroute , ou autre ) lorseque Iptable detecte certains paquets ? <IMG SRC="images/smiles/icon_rolleyes.gif">

Firewall avec Iptables Mandrake 9.2

Qui est en ligne ?