[Gentoo] [IPTABLE] 1er script, besoin de conseil

1er script, besoin de conseil [Gentoo] [IPTABLE] - Linux et OS Alternatifs

Marsh Posté le 29-10-2003 à 22:45:54    

Salut,
voila mon 1er script mais je sais pas si c'est bon.
Ma config :

Code :
  1. -----------------            --------------
  2. | Routeur ADSL  |            |     Moi    |
  3. | 192.168.1.254 |<---------->|  IP = DHCP |
  4. | Serveur DHCP  |            |            |
  5. -----------------            --------------


 
Ce que je veux : HTTP + HTTPS (surf), FTP (envoyer des fichiers et recevoir d'internet), IRC, MSN, JABBER, EMERGE.
 
Voila ce que j'ai fais :

Code :
  1. #!/bin/sh
  2. IPTABLES=/sbin/iptables
  3. modprobe ip_conntrack_irc
  4. $IPTABLES -P INPUT DROP
  5. $IPTABLES -P OUTPUT DROP
  6. $IPTABLES -P FORWARD DROP
  7. # "On accepte le traffic sur 'lo'"
  8. $IPTABLES -A INPUT -i lo -j ACCEPT
  9. $IPTABLES -A OUTPUT -o lo -j ACCEPT
  10. $IPTABLES -A FORWARD -i lo -j ACCEPT
  11. $IPTABLES -A FORWARD -o lo -j ACCEPT
  12. # "On accepte le traffic sur le réseau local"
  13. $IPTABLES -A INPUT -i $INTERNAL_IF -j ACCEPT
  14. $IPTABLES -A OUTPUT -o $INTERNAL_IF -j ACCEPT
  15. $IPTABLES -A FORWARD -i $INTERNAL_IF -j ACCEPT
  16. $IPTABLES -A FORWARD -o $INTERNAL_IF -j ACCEPT
  17. # On loggue les packets DROPés
  18. $IPTABLES -A LOG_DROP -j LOG --log-prefix "[IPT] "
  19. $IPTABLES -A LOG_DROP -j DROP
  20. # Local <-> Internet
  21. $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport www -m state --state ESTABLISHED,RELATED -j ACCEPT
  22. $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  23. # Internet <-> Local
  24. $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports www,https -m state --state ESTABLISHED,RELATED -j ACCEPT
  25. $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports www,https -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  26. # DCC -> ??? cf lea-linux
  27. $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT
  28. # Ping
  29. $IPTABLES -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  30. $IPTABLES -A INPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  31. $IPTABLES -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
  32. $IPTABLES -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT
  33. # Identification IP-nom
  34. $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport domain -m state --state ESTABLISHED,RELATED -j ACCEPT
  35. $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport domain -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  36. $IPTABLES -A INPUT -i $EXTERNAL_IF -p udp --sport domain -m state --state ESTABLISHED,RELATED -j ACCEPT
  37. $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p udp --dport domain -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  38. # Rsync
  39. $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport rsync -m state --state ESTABLISHED,RELATED -j ACCEPT
  40. $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --dport rsync -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  41. # Accelere les connections sur IRC
  42. IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport auth -m state --state ESTABLISHED,RELATED -j ACCEPT
  43. $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --dport auth -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  44. # Loggue avec Syslogd
  45. $IPTABLES -A FORWARD -j LOG_DROP
  46. $IPTABLES -A INPUT -j LOG_DROP
  47. $IPTABLES -A OUTPUT -j LOG_DROP


 
C'est bon ?
 
 
Edit : je l'ai fais à partir de http://lea-linux.org/reseau/murdefeu.php3


Message édité par sharlaan le 29-10-2003 à 23:05:53
Reply

Marsh Posté le 29-10-2003 à 22:45:54   

Reply

Marsh Posté le 30-10-2003 à 09:44:20    

Donne en plustot le resultat :  iptables -L -nv
Ca sera + facilement interpretable.
 
A+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed