[~HS] Firewall et Kazaa !!!

To: <debian-user-french@lists.debian.org>
Subject: [~HS] Firewall et Kazaa !!!
From: "DoDger Web" <dodger_web@yahoo.fr>
Date: Sat, 13 Jul 2002 20:55:09 +0200
Message-id: <[🔎] 000a01c22a9e$d76e88e0$0200a8c0@pegasus>
References: <[🔎] 20020713155832.1755A23769@perens.com>
Bonsoir la liste,

Depuis que j'ai changé mon script de firewalling, plus moyen que ca
marche correctement...

Symptomes:
* Super dur d'avoir la connection ADSL au boot
* Kazaa ne fonctionne plus ...
* Les services types Messenger et compagnie fonctionne 5 minutes puis
finnisse par tomber !!!

Et tout ca remarche super bien si je fait un /etc/initd/init_fw stop....

Bon je pourrais faire sans, mais le nombre de tentatives de connections
externes dans mes logs me dit que non :-))

Ca fait deux jours que je suis dessus mais j'ai du louper un truc là....

Ci-joint le script FW ipchains pour une patate...

Les critiques sont aussi les bienvenues (non pas sur la tete !!!!).

------------------------------------------------------------------------
-------

#!/bin/sh
# Firewall rules generated by hlfl

ipchains="/sbin/ipchains"

$ipchains -F
$ipchains -X
$ipchains -P input DENY
$ipchains -P forward DENY
$ipchains -P output DENY
# Some use@home ports
#
# Start of firewalling script
#
#
#=====================================================================
# Allow all loopback connections
#=====================================================================
$ipchains -A output -s 0.0.0.0/0  -d 0.0.0.0/0  -p all -j ACCEPT -i lo
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0  -p all -j ACCEPT -i lo
#
#
#=====================================================================
# Masquerading for use internet on lan
#=====================================================================
 $ipchains -A forward -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ
#
#
#=====================================================================
# Accept everything on the lan link
#=====================================================================
$ipchains -A output -s 0.0.0.0/0  -d 0.0.0.0/0  -p all -j ACCEPT -i eth1
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0  -p all -j ACCEPT -i eth1
#
#
#=====================================================================
# Deny incomming with src @ from lan on net interface
# Anti-Spoof
#=====================================================================
$ipchains -A input -s 192.168.0.0/24  -d 0.0.0.0/0  -p all -j DENY -i
ppp0
#
#
#=====================================================================
# Deny all private class src @ comming/outgoing on net interface
# Anti-Spoof
# Not sure of that ;-)
#=====================================================================
$ipchains -A output -s 0.0.0.0/0  -d 10.0.0.0/8  -p all -j REJECT -i
ppp0
$ipchains -A output -s 0.0.0.0/0  -d 127.0.0.0/8  -p all -j REJECT -i
ppp0
$ipchains -A output -s 0.0.0.0/0  -d 172.16.0.0/12  -p all -j REJECT -i
ppp0
$ipchains -A output -s 0.0.0.0/0  -d 192.168.0.0/16  -p all -j REJECT -i
ppp0
$ipchains -A output -s 10.0.0.0/8  -d 0.0.0.0/0  -p all -j REJECT -i
ppp0
$ipchains -A output -s 127.0.0.0/8  -d 0.0.0.0/0  -p all -j REJECT -i
ppp0
$ipchains -A output -s 172.16.0.0/12  -d 0.0.0.0/0  -p all -j REJECT -i
ppp0
$ipchains -A output -s 192.168.0.0/16  -d 0.0.0.0/0  -p all -j REJECT -i
ppp0
#
#
#=====================================================================
# Accept DNS (53 or >1024 towards 53 via udp)
#=====================================================================
# (warning. A stateful firewall would be better here)
$ipchains -A output -s 0.0.0.0/0 53 -d 0.0.0.0/0 53 -p udp -j ACCEPT -i
ppp0
$ipchains -A input -s 0.0.0.0/0 53 -d 0.0.0.0/0 53 -p udp -j ACCEPT -i
ppp0
# (warning. A stateful firewall would be better here)
$ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 53 -p udp -j
ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0 53 -d 0.0.0.0/0 1025:65535 -p udp -j
ACCEPT -i ppp0
#
#
#=====================================================================
# accept DHCP via UDP and TCP
#=====================================================================
# (warning. A stateful firewall would be better here)
$ipchains -A output -s 0.0.0.0/0 68 -d 0.0.0.0/0 67 -p udp -j ACCEPT -i
ppp0
$ipchains -A input -s 0.0.0.0/0 67 -d 0.0.0.0/0 68 -p udp -j ACCEPT -i
ppp0
$ipchains -A output -s 0.0.0.0/0 68 -d 0.0.0.0/0 67 -p tcp -j ACCEPT -i
ppp0
$ipchains -A input -s 0.0.0.0/0 67 -d 0.0.0.0/0 68 -p tcp -y -j DENY -i
ppp0
$ipchains -A input -s 0.0.0.0/0 67 -d 0.0.0.0/0 68 -p tcp -j ACCEPT -i
ppp0
#
#
#=====================================================================
# accept UDP communications between high ports
# Do not run services above UDP 1024 !!! or comment this
#=====================================================================
# (warning. A stateful firewall would be better here)
$ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p
udp -j ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p
udp -j ACCEPT -i ppp0
#
#
#=====================================================================
# Accept ssh connections to firewall
# ssh clients uses ports in range 1020-*
#=====================================================================
$ipchains --syn --log -A input -p tcp -s 0.0.0.0/0 1020: -d 0.0.0.0/0
22 -i ppp0 -j ACCEPT
$ipchains -A input -s 0.0.0.0/0 1020:65535 -d 0.0.0.0/0 22 -p tcp -j
ACCEPT -i ppp0
$ipchains -A output -s 0.0.0.0/0 22 -d 0.0.0.0/0 1020:65535 -p tcp -y -j
DENY -i ppp0
$ipchains -A output -s 0.0.0.0/0 22 -d 0.0.0.0/0 1020:65535 -p tcp -j
ACCEPT -i ppp0
#
#
#=====================================================================
# Accept ftp connections to firewall
# Passive and log init
# Active FTP :
#     command : client >1024 -> server 21
#     data    : client >1024 <- server 20
#
# Passive FTP :
#     command : client >1024 -> server 21
#     data    : client >1024 -> server >1024
#=====================================================================
 $ipchains --syn --log -A input -p tcp -s 0.0.0.0/0 1024:65535 -d
0.0.0.0/0 21 -i ppp0 -j ACCEPT
$ipchains -A input -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 21 -p tcp -j
ACCEPT -i ppp0
$ipchains -A output -s 0.0.0.0/0 21 -d 0.0.0.0/0 1025:65535 -p tcp -y -j
DENY -i ppp0
$ipchains -A output -s 0.0.0.0/0 21 -d 0.0.0.0/0 1025:65535 -p tcp -j
ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p
tcp -j ACCEPT -i ppp0
$ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p
tcp -y -j DENY -i ppp0
$ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p
tcp -j ACCEPT -i ppp0
#
#
#=====================================================================
# Reject all external conexion to rpc/pormapper
# Do not try to use NFS on internet ;-)
#=====================================================================
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0 111 -p tcp -j DENY -i ppp0
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0 111 -p udp -j DENY -i ppp0
#
#
#=====================================================================
# Reject auth incomming on lan interface
#=====================================================================
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0 113 -p tcp -j DENY -i ppp0
#
#
#=====================================================================
# Accept kazaa connections
#=====================================================================
$ipchains -A output -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p tcp -j
ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p tcp -j
ACCEPT -i ppp0
$ipchains -A output -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p udp -j
ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p udp -j
ACCEPT -i ppp0
#
#
#=====================================================================
# Accept local side established TCP
#=====================================================================
$ipchains -A output -s 0.0.0.0/0  -d 0.0.0.0/0  -p tcp -j ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0  -p tcp -y -j DENY -i ppp0
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0  -p tcp -j ACCEPT -i ppp0
#
#
#=====================================================================
# Set up rights to use local ping (answer to your pings only)
#=====================================================================
$ipchains -A output -s 0.0.0.0/0  -d 0.0.0.0/0 --icmp-type
echo-request -p icmp -j ACCEPT -i ppp0
$ipchains -A input -s 0.0.0.0/0 --icmp-type echo-reply -d 0.0.0.0/0  -p
icmp -j ACCEPT -i ppp0
$ipchains -A output -s 0.0.0.0/0  -d 0.0.0.0/0 --icmp-type
destination-unreachable -p icmp -j ACCEPT
$ipchains -A input -s 0.0.0.0/0 --icmp-type destination-unreachable -d
0.0.0.0/0  -p icmp -j ACCEPT
#
#
#=====================================================================
# Drop all packets that left on net interface
#=====================================================================
$ipchains -A input -s 0.0.0.0/0  -d 0.0.0.0/0  -p all -j DENY -i ppp0
#
#
# End of firewalling script




___________________________________________________________
Do You Yahoo!? -- Une adresse @yahoo.fr gratuite et en français !
Yahoo! Mail : http://fr.mail.yahoo.comm


-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to:
References:
- Bruce in Paris
  - From: bruce@perens.com (Bruce Perens)
Prev by Date: Bruce in Paris
Next by Date: Bonjour
Previous by thread: Bruce in Paris
Next by thread: Bonjour
Index(es):
- Date
- Thread