User Tools

Site Tools


Sidebar

documentation:systemes:securite:iptables
#! /bin/bash
 
# Définitions des interfaces
export IPTABLES=/sbin/iptables
export WAN_IFACE=eth0
export VPN_IFACE=tun0
export WAN_ADR=195.154.136.95
export VPN_ADR=10.8.0.0
 
# Clear old rules
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -t nat -F
echo - Effacer les règles : [OK]
 
# Configurez les règles par défaut pour s'occuper du traffic restant
${IPTABLES} -P INPUT   ACCEPT
${IPTABLES} -P OUTPUT  ACCEPT
${IPTABLES} -P FORWARD DROP
echo - Configuration des règles par défaut : [OK]
 
# Autoriser ssh depuis l'extérieur
${IPTABLES} -A INPUT -p TCP --dport ssh -i ${WAN_IFACE} -j ACCEPT
echo - Autoriser ssh : [OK]
 
# Autoriser les requetes DNS, FTP, HTTP, NTP
${IPTABLES} -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
${IPTABLES} -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
${IPTABLES} -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
${IPTABLES} -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
${IPTABLES} -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]
 
# Autoriser ping
${IPTABLES} -t filter -A INPUT -p icmp -j ACCEPT
${IPTABLES} -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]
 
# HTTP
${IPTABLES} -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
${IPTABLES} -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]
 
# DNS
${IPTABLES} -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
${IPTABLES} -t filter -A INPUT -p udp --dport 53 -j ACCEPT
echo - Autoriser DNS : [OK]
 
# FTP
#modprobe ip_conntrack_ftp
${IPTABLES} -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
${IPTABLES} -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN_IFACE} -m state --state NEW -p tcp --dport 5000:5100 -j ACCEPT # Activation du mode Passif
echo - Autoriser serveur FTP : [OK]
 
# MAIL
${IPTABLES} -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
echo - Autoriser serveur Mail : [OK]
 
#Mincecraft
#${IPTABLES} -A INPUT -p tcp -i ${WAN_IFACE} --dport 25565 -j ACCEPT
#${IPTABLES} -A INPUT -p udp -i ${WAN_IFACE} --dport 25565 -j ACCEPT
#${IPTABLES} -A INPUT -p tcp -i ${WAN_IFACE} --dport 8123 -j ACCEPT
#echo - Autoriser serveur Minecraft : [OK]
 
# Munin
${IPTABLES} -A OUTPUT -p tcp --sport 4949 -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport 4949 -s 82.235.253.43 -j ACCEPT
echo - Autoriser la Supervision Munin : [OK]
 
# OpenVPN
${IPTABLES} -t nat -A POSTROUTING -s ${VPN_ADR}/24 -o ${WAN_IFACE} -j MASQUERADE  --verbose
${IPTABLES} -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
${IPTABLES} -A FORWARD -i ${VPN_IFACE} -j ACCEPT
${IPTABLES} -A FORWARD -o ${VPN_IFACE} -j ACCEPT
${IPTABLES} -t filter -A OUTPUT -p udp --sport 1194 -j ACCEPT
echo - Autoriser les pcs du VPN a accéder au net : [OK]
 
# SAMBA
${IPTABLES} -A INPUT -i ${VPN_IFACE} -p tcp -m tcp --dport 137 -j ACCEPT
${IPTABLES} -A INPUT -i ${VPN_IFACE} -p tcp -m tcp --dport 138 -j ACCEPT
${IPTABLES} -A INPUT -i ${VPN_IFACE} -p tcp -m tcp --dport 139 -j ACCEPT
${IPTABLES} -A INPUT -i ${VPN_IFACE} -p tcp -m tcp --dport 445 -j ACCEPT
echo - Autoriser SAMBA sur le VPN : [OK]
 
# Eliminer les paquets destinés aux ports privilégiés
${IPTABLES} -A INPUT -p TCP -i ${WAN_IFACE} -d 0/0 --dport 0:65535 -j DROP
${IPTABLES} -A INPUT -p UDP -i ${WAN_IFACE} -d 0/0 --dport 0:65535 -j DROP
echo - Eliminer les paquets destinés aux ports privilégiés : [OK]
 
${IPTABLES}-save > /usr/local/etc/fw/iptables.rules

Articles complémentaires :

documentation/systemes/securite/iptables.txt · Last modified: 2017/07/14 19:45 (external edit)