Re: Script firewall au démarrage

[Troumad <troumad@libertysurf.fr>]

Jacques L'helgoualc'h a écrit :

> guillaume a écrit, samedi 14 mai 2005, à 17:30 :
>  
>
> > Bonjour.
> >    
>
> bonjour,
>
>  
>
> > J'ai récupéré sur trustonme.net un script basé sur ip-tables 
> > (http://www.trustonme.net/didactels/downloads/firewall)
> > et j'aimerais le lancer au démarrage.
> >    
>
> Le B.A-BA  de la sécurité,  c'est d'être parano  : il ne faut  pas faire
> confiance à un script quelconque sans comprendre ce qu'il fait !
>
>  
>
> > Mais, bien sûr, je ne sais pas comment faire :'(
> >    
>
> Le répertoire /etc/init.d/ sert à stocker les scripts de démarrage ; ils
> sont  ensuite   appelés  via  les  liens   symboliques  des  répertoires
> /etc/rc*.d/ : rcS.d au démarrage, rc0.d pour l'arrêt, rc6 pour rebouter,
> les rc[1-5].d pour changer de niveau. 
>
> Les  liens S démarrent  les scripts  avec l'argument  start, les  K avec
> stop, dans l'ordre (alpha)numérique.
>
> Donc mettre  ton parefeu.sh dans /etc/init.d/, le  rendre exécutable, et
> créer un lien symbolique vers  lui depuis /etc/rc.S pourrait marcher ---
> ça dépend  du contenu  du script. Idéalement,  le filtrage  devrait être
> activé avant le réseau.
>
>  
>
> > Merci d'avance !
> >    
>
> de rien, hop zat elpse
>  
#!/bin/sh
# ATTENTION la ligne du dessus
# n'est pas un commentaire

# variable (ipt) pour l'appel à l'exécutable de iptables
# => tester le même script avec plusieurs version de iptables
ipt=/sbin/iptables

# Pour simplifier une modification éventuelle des cartes réseaux
LOCAL="eth0"
NET="eth1"
case "$1" in
   start)
     Ton script

   stop)
      echo "Arret du mur de feu"
      # On vide (flush) toutes les regle existantes
      $ipt -F
      $ipt -X

      # On remet la police par defaut
      $ipt -P INPUT ACCEPT
      $ipt -P FORWARD ACCEPT
      $ipt -P OUTPUT ACCEPT

      ;;

   restart)
       # Le stop est inutile car le start vide aussi les chaînes et 
redéfinit les politiques par défaut
       # $0 stop
       # /bin/sleep 1
       #/usr/bin/sleep 1
       $0 start
       ;;


+ le mettre dans les /etc/rcX.d :

# ll /etc/rc1.d/
[...]
lrwxrwxrwx  1 root root 20 avr 16 21:41 K90firewall -> /etc/init.d/firewall*
[...]
#ll /etc/rc2.d/
[...]
lrwxrwxrwx  1 root root 20 avr 16 21:42 S10firewall -> /etc/init.d/firewall*
[...]


--
Amicalement vOOotre              Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : AD&D maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme 
http://fr.openoffice.org