Re: Script firewall au démarrage
Troumad a écrit, samedi 14 mai 2005, à 18:38 :
> Jacques L'helgoualc'h a écrit :
> >guillaume a écrit, samedi 14 mai 2005, à 17:30 :
[citations inutiles]
> #!/bin/sh
[...]
> # Pour simplifier une modification éventuelle des cartes réseaux
> LOCAL="eth0"
> NET="eth1"
# J'ai préféré mettre le fichier de configuration (plus long) à part
# définitions de variables
DEFS="/etc/network/fw.conf"
if [ -f "$DEFS" ] ; then
source $DEFS
else
echo "$0 : fichier de configuration $DEFS manquant..." >&2
exit 1
fi
version="$(uname -r)"
case "$version" in
2.2.*)
source /etc/init.d/fw-2.2.sh
;;
2.4.*)
source /etc/init.d/fw-2.4.sh
;;
*)
echo "erreur de version, noyau $version"
exit 1
esac
> case "$1" in
> start)
> Ton script
à voir ...
> stop)
> echo "Arret du mur de feu"
> # On vide (flush) toutes les regle existantes
> $ipt -F
> $ipt -X
>
> # On remet la police par defaut
> $ipt -P INPUT ACCEPT
> $ipt -P FORWARD ACCEPT
> $ipt -P OUTPUT ACCEPT
$iptables -F
$iptables -t nat -F
$iptables -t mangle -F
$iptables -X
$iptables -t nat -X
$iptables -t mangle -X
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
$iptables -t nat -P PREROUTING ACCEPT
$iptables -t nat -P POSTROUTING ACCEPT
$iptables -t nat -P OUTPUT ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
$iptables -A INPUT -i lo -j ACCEPT
# Un bon firewall arrêté est un firewall *fermé*,
# je suis laxiste, je laisse le loopback ouvert.
> ;;
>
> restart)
[...]
> + le mettre dans les /etc/rcX.d :
>
> # ll /etc/rc1.d/
> [...]
> lrwxrwxrwx 1 root root 20 avr 16 21:41 K90firewall -> /etc/init.d/firewall*
> [...]
> #ll /etc/rc2.d/
> [...]
> lrwxrwxrwx 1 root root 20 avr 16 21:42 S10firewall -> /etc/init.d/firewall*
> [...]
Je préfère démarrer avant le réseau, dans rcS.d, et ne jamais l'ouvrir ;
là, avec ta définition de stop), la machine serait ouverte à tous vents
en mode single ...
--
Jacques L'helgoualc'h
Reply to: