Re: Firewall

To: debian-user-french@lists.debian.org
Subject: Re: Firewall
From: regis <luminix@wanadoo.fr>
Date: Wed, 5 Jun 2002 22:16:25 +0200
Message-id: <3CFB1EED001DA6B0@> (added by postmaster@wanadoo.fr)
In-reply-to: <[🔎] 20020605213750.7652f7bd.thierry.leurent@linuxbe.org>
References: <[🔎] 20020605213750.7652f7bd.thierry.leurent@linuxbe.org>

> J'ai deja regarde la doc de iptable mais je ne suis absolument pas a l'aise
> avec ce soft. Quelqu'un aurait-il un soft cool pour configure mon firewall
> ou mieux un bon script que je pourrais appliquer. Je voudrais autoriser le
> plus de protocols possibles mais surtout eviter les connections venant de
> l'exterieur.

Voici mon script

Tu peux t'en inspirez

#!/bin/sh
#Je vide toutes les ancienne regles

/root/./flushfirewall

# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  do
    echo 1 > $filtre
  done
fi

# pas de icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 

# on va charger quelques modules supplémentaires pour
# gérer la translation d'adresse, l'IRC et le FTP

modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat

#Je refuse tous par défault

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Pour éviter les problèmes, on va tout accepter sur
# la machine en local (interface lo).

iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#J'acceppte que 2 machines puisse se conecter sur mon firewall

iptables -A INPUT -i eth0 -s 192.168.0.5 -m state --state NEW,ESTABLISHED -p 
tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.5 -m state --state ESTABLISHED -p tcp 
--sport 22 -j ACCEPT

iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state NEW,ESTABLISHED -p 
tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.7 -m state --state ESTABLISHED     -p 
tcp --sport 22 -j ACCEPT

#Le lan qui es sur eth0 as accés au web

iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth0 -i ppp0 -j ACCEPT

# Il faut permettre à l'ensemble du LAN de dialoguer
# sur internet avec la même adresse IP 

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE

# Pour faire flatter mon égau ;-)
echo "Maitre vous pouvez vous servir de votre connexion"

# c'est enfin fini


Second script flushfirewall

!/bin/sh
# On remet la police par défaut à ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# On remet les polices par défaut pour la table NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# On vide (flush) toutes les règles existantes
iptables -F
iptables -t nat -F

# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat

iptables -X
iptables -t nat -X

# Pour faire flatter mon égau ;-)
echo "Maitre je viens de vider les regles que vous m'aviez donné"

Bref voila mes 2 script et il marche tres bien



-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Firewall
  - From: Sylvain LE GALL <sylvain.le-gall@polytechnique.org>

References:
- Firewall
  - From: Thierry Leurent <thierry.leurent@linuxbe.org>

Prev by Date: Re: [HS] Pb de puissance pour l'envoi de mail (script php)
Next by Date: Re: neuneu et son cable croise
Previous by thread: Firewall
Next by thread: Re: Firewall
Index(es):
- Date
- Thread