[ongolaboy.git] / scripts / parefeu / firewall.bangui

#!/bin/sh

modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack_ftp

IPT="/sbin/iptables"
IPF="$IPT -t filter"
IPN="$IPT -t nat"
IPM="$IPT -t mangle"

# Des constantes
NET_FAI=77.70.183.120/29
NET_DMZ=192.168.10.0/24
NET_RPV_BANGUI=10.39.0/20
NET_RPV_AUF=10.0.0/8
NET_MONTREAL=199.84.140.0/24
NET_USAGER=192.168.10.0/24

IP_WEB=192.168.10.4
IP_DNS=192.168.10.2
IP_MAIL=192.168.10.2
IP_VOIP=192.168.10.5 #XXX

NAT_USAGER=77.70.183.124
NAT_RPV=77.70.183.124
NAT_DMZ_DNS=77.70.183.125
NAT_DMZ_MAIL=77.70.183.125
NAT_DMZ_WEB=77.70.183.125

IF_INTERNET="eth0"
IF_DMZ="eth2"
IF_RPV="eth1"
IF_USAGER="eth3"
IF_IPSEC="ipsec0"


# on efface tout
$IPF -F INPUT
$IPF -F FORWARD
$IPF -F OUTPUT
$IPN -F PREROUTING
$IPN -F POSTROUTING
$IPM -F FORWARD


# par defaut on ferme tout (sauf en sortie)
$IPF -P INPUT DROP
$IPF -P FORWARD DROP
$IPF -P OUTPUT ACCEPT

#commmuniction en localhost
$IPF  -A INPUT -i lo -j ACCEPT
$IPF  -A OUTPUT -o lo -j ACCEPT

#full accès vers montréal
$IPF -A FORWARD -d $NET_MONTREAL -j ACCEPT

#Pas de sortie en port 25 excepté sur la messagerie interne
$IPF -A OUTPUT -p tcp -d $IP_MAIL --dport 25 -j ACCEPT
$IPF -A OUTPUT -p tcp --dport 25 -j DROP

# on accepte les flux en cours
$IPF -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# on accepte toujours les pings
$IPF -A INPUT -p icmp  --icmp-type echo-request \
        -m limit --limit 5/second -j ACCEPT
$IPF -A FORWARD -p icmp   --icmp-type echo-request \
        -m limit --limit 5/second -j ACCEPT

##ssh sur le firewall
$IPF -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

## le reste avec des chaines perso
# En provenance de l'extérieur pour le parefeu
$IPF -N from-outside
$IPF -A INPUT -i $IF_INTERNET -j from-outside

$IPF -N ScanD
$IPF -A ScanD -m limit --limit 1/s -j LOG \
        --log-prefix "[Port Scan?]DROP "
$IPF -A ScanD -j DROP

$IPF -A from-outside -p tcp --tcp-flags ALL NONE -j ScanD
$IPF -A from-outside -p tcp --tcp-flags SYN,FIN SYN,FIN -j ScanD
$IPF -A from-outside -p tcp --tcp-flags SYN,RST SYN,RST -j ScanD
$IPF -A from-outside -p tcp --tcp-flags FIN,RST FIN,RST -j ScanD
$IPF -A from-outside -p tcp --tcp-flags ACK,FIN FIN -j ScanD
$IPF -A from-outside -p tcp --tcp-flags ACK,PSH PSH -j ScanD
$IPF -A from-outside -p tcp --tcp-flags ACK,URG URG -j ScanD

$IPF -N DDoS 
$IPF -A DDoS -m limit --limit 5/s --limit-burst 10 -j RETURN
$IPF -A DDoS -j LOG --log-prefix "[DOS Attack/SYN Scan?]DROP "
$IPF -A DDoS -j DROP

$IPF -A from-outside -p tcp --tcp-flags SYN,RST,ACK SYN -j DDoS

$IPF -A from-outside -d 255.255.255.255 -m limit --limit 1/s -j LOG --log-prefix "[INPUT Broadcast]DROP "
$IPF -A from-outside -d 255.255.255.255 -j DROP


# FORWARD en provenance de la DMZ
$IPF -N from-dmz
$IPF -A FORWARD -i $IF_DMZ -j from-dmz
$IPF -A from-dmz ! -o $IF_INTERNET -j ACCEPT

$IPF -A from-dmz -s $IP_VOIP -p udp --dport 4569 -j ACCEPT
$IPF -A from-dmz -s $IP_VOIP -p tcp --dport 4569 -j ACCEPT

$IPF -N dmz-internet
$IPF -A from-dmz -o $IF_INTERNET -j dmz-internet

$IPF -A dmz-internet -s $IP_DNS -p udp --dport 53 -j ACCEPT
$IPF -A dmz-internet -s $IP_DNS -p tcp -m state --STATE NEW \
        --dport 53 -j ACCEPT

$IPF -A dmz-internet -s $IP_MAIL -p tcp -m multiport \
        --dport  25,587 -j ACCEPT

$IPF -A dmz-internet -s $IP_WEB -p tcp -m state --state NEW \
        --dport 80 -j ACCEPT

# FORWARD en direction de la DMZ
$IPF -N to-dmz
$IPF -A FORWARD -o $IF_DMZ -j to-dmz

$IPF -A to-dmz -d $IP_DNS -p udp --dport 53 -j ACCEPT
$IPF -A to-dmz -d $IP_DNS -p tcp -m state --state NEW \
        --dport 53 -j ACCEPT

$IPF -A to-dmz -d $IP_MAIL -p tcp -m state --state NEW \
        -m multiport --dport 25,143,587,993 -j ACCEPT

$IPF -A to-dmz -d $IP_WEB -p tcp -m state --state NEW \
        -m multiport --dport 80,443 -j ACCEPT

$IPF -A to-dmz -d $IP_VOIP -p tcp -m state --state NEW \
        --dport 4569 -j ACCEPT
$IPF -A to-dmz -d $IP_VOIP -p udp --dport 4569 -j ACCEPT

# FORWARD vers montréal
$IPF -N to-montreal
$IPF -A FORWARD -o $IF_IPSEC -j to-montreal

$IPF -A to-montreal -i $IF_RPV -j ACCEPT

$IPF -A to-montreal -i $IF_DMZ -p tcp -m state --state NEW \
        --dport 53 -s $IP_DNS -j ACCEPT
$IPF -A to-montreal -i $IF_DMZ -p udp --dport 53 -j ACCEPT

$IPF -A to-montreal -j LOG --log-prefix " TROU RPV: "
$IPF -A to-montreal -j REJECT


#En provenance du RPV interne, en FORWARD
$IPF -N from-inside-rpv
$IPF -A FORWARD -i $IF_RPV -j from-inside-rpv

for TCP in 20 21 22 80 110 123 220 443 587 993 995 3690 5222 \
        5223 5050 6667 11371 8443 9418
do
        $IPF -A from-inside-rpv -o $IF_INTERNET -p tcp --dport $TCP \
                -m state --state NEW -j ACCEPT
done

#En provenance du LAN, en FORWARD
$IPF -N from-inside
$IPF -A FORWARD -i $IF_USAGER -j from-inside

for TCP in 20 21 22 80 110 123 220 443 587 993 995 3690 5222 \
        5223 5050 6667 11371 8443 9418
do
        $IPF -A from-inside -o $IF_INTERNET -p tcp --dport $TCP \
                -m state --state NEW -j ACCEPT
done



# Table NAT , chain : PREROUTING
$IPN -A PREROUTING -i $IF_INTERNET -p udp -d $NAT_DMZ_DNS \
        --dport 53  -j DNAT --to-destination $IP_DNS

$IPN -A PREROUTING -i $IF_INTERNET -p tcp -m state --state NEW \
        -d $NAT_DMZ_MAIL -m multiport --dport 25,143,587,993 \
        -j DNAT --to-destination $IP_MAIL

$IPN -A PREROUTING -i $IF_INTERNET -p tcp -m state --state NEW \
        -d $NAT_DMZ_WEB -m multiport --dport 80,443 \
        -j DNAT --to-destination $IP_WEB



# Table NAT , chain : POSTROUTING
$IPN -A POSTROUTING -s $IP_DNS -o $IF_INTERNET -j SNAT \
        --to-source $NAT_DMZ_DNS

$IPN -A POSTROUTING -s $IP_MAIL -o $IF_INTERNET -j SNAT \
        --to-source $NAT_DMZ_MAIL

$IPN -A POSTROUTING -s $IP_WEB -o $IF_INTERNET -j SNAT \
        --to-source $NAT_DMZ_WEB

$IPN -A POSTROUTING -s $NET_USAGER -o $IF_INTERNET -j SNAT \
        --to-source $NAT_USAGER
$IPN -A POSTROUTING -s $NET_RPV_BANGUI -o $IF_INTERNET -j SNAT \
        --to-source $NAT_RPV