Filtrage du trafic vers Internet. Où, Comment ?

[sbgb-net]

Après avoir exploré ce forum et la documentation sur les différents site relatifs à IPCOP, je pense que la méthode qui consiste à modifier /etc/rc.d/rc.firewall n'est pas à conseiller. Un des arguments : ce fichier n'est apparemment pas sauvegardé quand on lance la commande de backup par l'interface graphique. <BR> <BR>Le principe qui semble être celui retenu par Ipcop (?) serait d'ajouter des chaînes à CUSTOMFORWARD, CUSTOMINPUT ... dans le fichier /etc/rc.d/rc.local qui lui est bien sauvegardé par la commande de backup. <BR> <BR>J'ai créé dans ce fichier quelques règles pour filtrer les messages sur les ports UDP 137/138 côté RED et pour limiter l'accès aux seuls ports autorisés vers Internet. <BR> <BR>Après sauvegarde du fichier, il suffit de le lancer à la main à partir d'une session SSH pour que les règles soient prises en compte. Pas la peine de rédémarrer Ipcop. <BR> <BR>A titre d'exemple, voilà le contenu de mon fichier /etc/rc.d/rc.local : <BR>---------------------------------------------------------------------------------------------- <BR>#!/bin/sh <BR> <BR># 3 lignes suivantes récupérées de /etc/rc.d/rc.firewall <BR>. /var/ipcop/ppp/settings <BR>. /var/ipcop/ethernet/settings <BR>IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` <BR> <BR># DROP port 137/138 packets <BR>/sbin/iptables -F CUSTOMINPUT <BR>/sbin/iptables -A CUSTOMINPUT -p tcp --destination-port 137 -j DROP <BR>/sbin/iptables -A CUSTOMINPUT -p udp --destination-port 137 -j DROP <BR>/sbin/iptables -A CUSTOMINPUT -p tcp --destination-port 138 -j DROP <BR>/sbin/iptables -A CUSTOMINPUT -p udp --destination-port 138 -j DROP <BR> <BR># DROP all FORWARD traffic except what is explicitly ACCEPT <BR># ACCEPT : DNS, HTTP, HTTPS,POP3, NNTP, SMTP, FTP <BR># 4 commandes iptables, une ligne par commande. <BR>/sbin/iptables -F CUSTOMFORWARD <BR>/sbin/iptables -A CUSTOMFORWARD -i $GREEN_DEV -p tcp -m multiport --dport 53,80,443,110,119,25,21,20 -j ACCEPT <BR>/sbin/iptables -A CUSTOMFORWARD -i $GREEN_DEV -p udp -m multiport --dport 53 -j ACCEPT <BR>/sbin/iptables -A CUSTOMFORWARD -i $GREEN_DEV -j DROP <BR>---------------------------------------------------------------------------------------------- <BR> <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>