Mises à jour
authorOngolaboy <willy.manga@auf.org>
Thu, 6 Mar 2014 06:32:51 +0000 (07:32 +0100)
committerOngolaboy <willy.manga@auf.org>
Thu, 6 Mar 2014 06:32:51 +0000 (07:32 +0100)
 * versions plus actuelles des scripts de parefeu
 * on archive quelques scripts trouvés :)

scripts/convertMbox [new file with mode: 0644]
scripts/miroir/debmirror.vn [new file with mode: 0644]
scripts/parefeu/firewall.bacgl [changed mode: 0755->0644]
scripts/parefeu/firewall.bangui

diff --git a/scripts/convertMbox b/scripts/convertMbox
new file mode 100644 (file)
index 0000000..f52eecd
--- /dev/null
@@ -0,0 +1,21 @@
+#!/bin/sh
+##############
+## Script de convertion des mbox en Maildir #######
+## X.F, Buju le 28/07/05                    #######
+
+MAIL=/var/mail/
+HOME=/home/
+
+for i in `cat comptes` do
+{
+echo  $i ": Convertion de la boite en Maildir "
+cd $HOME/$i
+maildirmake $HOME/$i/Maildir
+mb2md -s $MAIL/$i -d $HOME/$i/Maildir
+chown -R $i.users $HOME/$i/Maildir
+chmod -R u+rwx,go-rwx $HOME/$i/Maildir
+mv $MAIL/$i $MAIL/$i.PreMaildir
+sleep 1
+}
+
+echo " Convertion des boites aux lettres terminee avec succes"
diff --git a/scripts/miroir/debmirror.vn b/scripts/miroir/debmirror.vn
new file mode 100644 (file)
index 0000000..9e3eb56
--- /dev/null
@@ -0,0 +1,16 @@
+UDIST="squeeze,wheezy" # updates remplace volatile à partir de Squeeze
+BDIST="wheezy" # backports intégrés aux archives à partir de Wheezy
+ADIST="squeeze,wheezy"
+
+"${DEBMIRROR}" "${DIR}/backports" \
+        --host=backports.debian.org --method=http --root=/debian-backports \
+        --dist=squeeze-backports \
+        --section=main,contrib,non-free \
+        --arch=${ARCH} --nosource --cleanup --rsync-extra=none ${OPT}
+
+"${DEBMIRROR}" "${DIR}/archive" \
+        --host=ftp.fr.debian.org --method=http --root=/debian \
+        --dist=${ADIST},${UDIST//,/-updates,}-updates,${BDIST//,/-backports,}-backports \
+        --section=main,contrib,non-free,main/debian-installer \
+        --arch=${ARCH} --nosource --cleanup ${OPT}
+#       --dist=${ADIST},${UDIST//,/-proposed-updates,}-proposed-updates \
old mode 100755 (executable)
new mode 100644 (file)
index 6066bdf..064dea1
-#!/bin/bash
-
-#filtrage, consultation de paquets..
+##!/bin/bash
+modprobe ip_tables
+modprobe ip_nat_ftp
+modprobe ip_nat_irc
+modprobe iptable_filter
+modprobe iptable_nat
+modprobe ip_conntrack_ftp
+#
+#
+## Script de mise en place du filtrage
 
 IPT="/sbin/iptables"
-IPF="$IPT"
+IPF="$IPT -t filter"
 IPN="$IPT -t nat"
 IPM="$IPT -t mangle"
 
+##Interfaces
+IF_INTERNET=eth2.2
+IF_DMZ_PUB=eth2.112
+IF_DMZ_PRIV=eth2.10
+IF_RPV=eth2.20
+IF_RPV_ADMIN=eth2.15
+IF_USAGER_ADMIN=eth2.25
+IF_FORMATION='eth2.30'
+IF_PROF='eth2.32'
+IF_FOAD='eth2.33'
+#
+##IP
+### Public
+IP_PUB_NAT=195.24.196.113
+IP_PUB_DNS=195.24.196.114
+IP_PUB_SMTP=195.24.196.114
+IP_PUB_MAILMAN=195.24.196.114
+IP_PUB_WEB=195.24.196.115
+IP_PUB_SOGO=195.24.196.116
+IP_PUB_VOIP=195.24.196.117
+IP_PUB_VOIP_test=195.24.196.117
+IP_PUB_MAIL=195.24.196.118
+IP_PUB_SOGO_TEST=195.24.196.118
+IP_PUB_DMZPriv_NAT=195.24.196.119
+IP_PUB_NAT_RPV=195.24.196.120
+IP_PUB_NOMADE=195.24.196.123
+IP_PUB_VISIO_Directeur=195.24.196.124
+IP_PUB_VISIO_Reunion=195.24.196.125
+IP_PUB_VISIO_Formation=195.24.196.126
+IP_VOIP_NOMADE_CA=199.84.140.31
+### Privée
+IP_BACKUP=192.168.10.2
+IP_DNS=192.168.10.3
+IP_SQL=192.168.10.4
+IP_SMTP=192.168.10.5
+IP_AMAVIS=192.168.10.6
+IP_MAIL=192.168.10.7
+IP_FRONTAL=192.168.10.8
+IP_WEB=192.168.10.9
+IP_MIROIR=192.168.10.10
+IP_WEBMAIL=192.168.10.11
+IP_WEB_LEGACY=192.168.10.11
+IP_DOCUMENTS=192.168.10.14
+IP_FREERADIUS=192.168.10.15
+IP_SOGO_TEST=192.168.10.16
+IP_VOIP_test=192.168.10.17
+IP_COURS_EN_LIGNE=192.168.10.19
+IP_GIT_CM=192.168.10.18
+IP_SUPERVISION=10.45.0.1
+IP_CAPTIF_SENSE=192.168.0.5
+IP_CAPTIF_SENSE2=192.168.0.10
+IP_MIROIR_RPV=10.45.1.10
+IP_MANDATAIRE_RPV=10.45.1.185
+IP_RTR=10.45.1.15
+IP_Directeur=10.45.1.44
+###Externes
+IP_UnivPoitiers=195.83.66.24
+IP_PUB_DNS_PARIS=81.80.122.2
+IP_PUB_DNS_MONTREAL=199.84.140.5
+IP_PUB_DNS_SOA=41.67.224.16
+IP_CAMAIRCO=195.24.211.146
+IP_BRAZZAVILLE=77.70.184.26
+IP_InstitutFrDLA=196.202.238.15
+IP_GLPI_AUF=199.84.140.41
+IP_CAMPUSVirtualUY1=41.204.93.114
+IP_CentreCalculUY1=41.67.208.201
+IP_AUF_PIWIK=178.23.121.99
+
+#
+## reseaux
+NET_CAMTEL=195.24.196.112/28
+NET_DMZ=192.168.10.0/24
+NET_RPV_SVR=10.45.0.0/24
+NET_RPV=10.45.0.0/20
+NET_RPV_AUF=10.0.0.0/8
+NET_RPV_PERSONNEL=10.45.1.0/24
+NET_FORMATION=192.168.30.0/24
+NET_PROF=192.168.32.0/24
+NET_FOAD=192.168.33.0/24
+NET_NOMADE=192.168.34.0/24
+NET_MONTREAL=199.84.140.0/24
+NET_PARIS=81.80.122.0/23
+
+PORT_AUTORISES_tcp="20 21 22 43 80 110 119 123 143 161 220 317 443 465 \
+        563 554 587 993 995 1194 1500 1520 1600 1863 1935 5222 5223 5050 \
+       5060 5223 6667 9418 9447 11371 7070"
+PORT_AUTORISES_udp="123 1194"
+#
+## on efface tout
+##pour test sogo pour jc
+$IPF -F
+$IPF -X
+#fin test 
+$IPF -F INPUT
+$IPF -F FORWARD
+$IPF -F OUTPUT
+$IPN -F PREROUTING
+$IPN -F POSTROUTING
+$IPM -F INPUT
+$IPM -F FORWARD
+$IPM -F OUTPUT
+$IPM -F PREROUTING
+$IPM -F POSTROUTING
+#
+## par defaut on ferme tout (sauf en sortie)
+$IPF -P INPUT DROP
+$IPF -P FORWARD DROP
+$IPF -P OUTPUT ACCEPT
+#
+## on accepte les flux en cours
+$IPF -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+$IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
+#
+##appelle fichier iptables pour sogo 
+"/etc/network/firewall-sogo"
+#"/etc/network/firewall-sogo-test"
+
+$IPT -A FORWARD -m state --state NEW -j SOGoForward
+#
+## on accepte toujours les pings
+$IPF -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
+$IPF -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
+#
+## Tous les chemins doivent mener à rome si on souhaite y aller :)
+$IPF -A FORWARD -d $NET_MONTREAL -j ACCEPT
+$IPF -A FORWARD -s $NET_MONTREAL -j ACCEPT
+$IPF -A FORWARD -d $NET_PARIS -j ACCEPT
+$IPF -A FORWARD -s $NET_PARIS -j ACCEPT
+#
+##communication en localhost
+$IPF  -A INPUT -i lo -j ACCEPT
+#
+## La règle au plus haut niveau au cas où on aurait oublié plus bas
+#$IPF -A FORWARD -o $IF_INTERNET ! -s $IP_PUB_SMTP \
+#      -p tcp --dport 25 -j REJECT
+
+## Tout ce qui concerne le PREROUTING
+#for dnsDeConfiance in $IP_PUB_DNS_SOA $IP_PUB_DNS_MONTREAL \
+#      $IP_PUB_DNS_PARIS
+#do
+#      $IPN -A PREROUTING -i $IF_INTERNET -s $dnsDeConfiance -p tcp \
+#              -m state --state NEW -d $IP_PUB_DNS -j DNAT \
+#              --to-destination $IP_DNS
+#done
+
+$IPN -A PREROUTING -p tcp -i $IF_INTERNET -m state --state NEW \
+       --dport 53 -d $IP_PUB_DNS -j DNAT --to-destination $IP_DNS
+
+$IPN -A PREROUTING -p udp -i $IF_INTERNET \
+       --dport 53 -d $IP_PUB_DNS -j DNAT --to-destination $IP_DNS
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
+       --dport 25 -d $IP_PUB_SMTP -j DNAT --to-destination $IP_SMTP
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_USAGER_ADMIN \
+       -m multiport --dports 993,587 -d $IP_PUB_MAIL \
+       -j DNAT --to-destination $IP_MAIL
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
+       -m multiport --dports 993,587 -d $IP_PUB_MAIL \
+       -j DNAT --to-destination $IP_MAIL
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_USAGER_ADMIN \
+       --dport 80 -d $IP_PUB_WEB -j DNAT --to-destination $IP_FRONTAL
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
+       --dport 80 -d $IP_PUB_WEB -j DNAT --to-destination $IP_FRONTAL
+
+
+# pour le cache web
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_PROF --dport 80 \
+        -j REDIRECT --to-ports 3128
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_FOAD --dport 80 \
+        -j REDIRECT --to-ports 3128
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_FORMATION \
+         --dport 80 -j REDIRECT --to-ports 3128
+
+
+#Chaines perso principalement pour le FORWARD
+#
+
+#pour le RTR
+$IPF -A FORWARD -s $IP_RTR -j ACCEPT
+
+$IPT -N Origine_RpvAdmin
+
+$IPF -A Origine_RpvAdmin -j ACCEPT
+
+$IPF -A FORWARD -i $IF_RPV_ADMIN -j Origine_RpvAdmin
+
+
+
+$IPT -N DmzPriv_NetLocaux
+
+$IPF -A DmzPriv_NetLocaux -j ACCEPT
+
+$IPF -A FORWARD -i $IF_DMZ_PRIV ! -o $IF_INTERNET -j DmzPriv_NetLocaux
+
+
+
+$IPT -N DmzPub_DmzPriv
+
+$IPF -A DmzPub_DmzPriv -d $IP_MAIL -p tcp -m state --state NEW \
+       -m multiport --dports 587,993 -j ACCEPT
+
+$IPF -A FORWARD -i $IF_DMZ_PUB  -o $IF_DMZ_PRIV -j DmzPub_DmzPriv
+
+
+
+$IPT -N DmzPub_NetLocaux
+
+$IPF -A DmzPub_NetLocaux -j ACCEPT
+
+$IPF -A FORWARD -i $IF_DMZ_PUB ! -o $IF_INTERNET -j DmzPub_NetLocaux
+
+
+
+$IPT -N NetLocaux_DmzPriv
+
+$IPF -A NetLocaux_DmzPriv -p udp --dport 53 -d $IP_DNS -j ACCEPT
+
+$IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
+    --dport 22 -j ACCEPT
+
+$IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
+    --dport 53 -d $IP_DNS -j ACCEPT
+
+$IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
+    --dport 80 -d $IP_MIROIR -j ACCEPT
+
+$IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
+    --dport 80 -d $IP_MIROIR_RPV -j ACCEPT
+
+for serveurWeb in $IP_WEBMAIL $IP_FRONTAL $IP_WEB $IP_COURS_EN_LIGNE
+do
+    $IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
+        --dport 80 -d $serveurWeb -j ACCEPT
+done
+
+$IPF -A FORWARD ! -i $IF_INTERNET -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
+
+
+
+
+$IPT -N NetLocaux_DmzPub
+
+$IPF -A NetLocaux_DmzPub -d $IP_PUB_WEB -p tcp --dport 80 \
+       -m state --state NEW -j ACCEPT
+
+$IPF -A NetLocaux_DmzPub -d $IP_PUB_SOGO -p tcp -m state --state NEW \
+       -m multiport --dports 80,443 -j ACCEPT
+
+$IPF -A NetLocaux_DmzPub -d $IP_PUB_VOIP -p udp -m multiport \
+       --dports 2000,4569,5060,61000:62000 -j ACCEPT
+
+$IPF -A FORWARD ! -i $IF_INTERNET -o $IF_DMZ_PUB -j NetLocaux_DmzPub
+
+
+
+
+$IPT -N Destination_RpvAdmin
+
+$IPF -A Destination_RpvAdmin  -s $NET_RPV_AUF -d $IP_SUPERVISION -j ACCEPT
+
+$IPF -A Destination_RpvAdmin  -s $NET_CAMTEL -d $IP_SUPERVISION -p udp \
+       --dport 514 -j ACCEPT
+
+$IPF -A Destination_RpvAdmin ! -i $IF_INTERNET -d $IP_SUPERVISION -p udp \
+       --dport 514 -j ACCEPT
+
+
+$IPF -A FORWARD -o $IF_RPV_ADMIN -j Destination_RpvAdmin
+
+
+
+
+##Le parefeu
+$IPT -N Direction_Fw
+
+$IPF -A Direction_Fw ! -i $IF_INTERNET -p tcp -m state --state NEW \
+       --dport 123 -j ACCEPT
+$IPF -A Direction_Fw ! -i $IF_INTERNET -p udp --dport 123 -j ACCEPT
+
+$IPF -A Direction_Fw -s $IP_SUPERVISION -p tcp -m state --state NEW \
+       --dport 4949 -j ACCEPT
+
+$IPF -A Direction_Fw -i $IF_INTERNET -p tcp --dport 22 \
+       -m state --state NEW  -m recent --name ssh_recent --set
+$IPF -A Direction_Fw -i $IF_INTERNET -p tcp --dport 22 \
+       -m state --state NEW  -m recent --name ssh_recent --update \
+       --seconds 24 --hitcount 3 -j DROP
+
+$IPF -A Direction_Fw  -p tcp -m state --state NEW \
+       --dport 22 -j ACCEPT
+
+$IPF -A Direction_Fw ! -i $IF_INTERNET -p tcp -m state --state NEW \
+       --dport 3128 -j ACCEPT
+
+$IPF -A INPUT -j Direction_Fw
+
+
+
+#$IPT -N Destination_dmzPub
+
+#$IPF -A Destination_dmzPub -d $IP_PUB_SOGO -p tcp -m state --state NEW \
+#      -m multiport --dports 80,993 -j ACCEPT
+
+#$IPF -A Destination_dmzPub -d $IP_PUB_VOIP -p udp \
+#      -m multiport --dports 2000,4569,5060,61000:62000  -j ACCEPT
+
+
+#$IPF -A FORWARD -o $IF_DMZ_PUB -j Destination_dmzPub
+
+
+
+
+$IPT -N Rpv_UsagerAdmin
+
+$IPF -A Rpv_UsagerAdmin -d $IP_CAPTIF_SENSE -j ACCEPT
+$IPF -A Rpv_UsagerAdmin -d $IP_CAPTIF_SENSE2 -j ACCEPT
+
+$IPF -A Rpv_UsagerAdmin -d $IP_SUPERVISION -j ACCEPT
+
+$IPF -A FORWARD -i $IF_RPV -o $IF_USAGER_ADMIN -j Rpv_UsagerAdmin
+
+
+
+
+$IPT -N Internet_DmzPub
+
+
+for IP_VISIOS in $IP_PUB_VISIO_Directeur $IP_PUB_VISIO_Reunion \
+       $IP_PUB_VISIO_Formation
+
+do
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p tcp -m multiport \
+               --dports 22,80,443 -j REJECT
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -j ACCEPT
+done
+
+$IPF -A Internet_DmzPub -d $IP_PUB_VOIP -p udp  \
+       --dport 4569 -j ACCEPT
+
+for serveurDNSdeConfiance in $IP_PUB_DNS_SOA
+do
+       $IPF -A Internet_DmzPub -s $serveurDNSdeConfiance -p tcp \
+       -m state --state NEW --dport 53 -j ACCEPT
+done
+
+
+#$IPF -A Internet_DmzPub -p tcp -m multiport --dports 25,587,993 \
+       #-m state --state NEW -m recent --set
+#$IPF -A Internet_DmzPub -p tcp -m multiport --dports 25,587,993 \
+       #-m state --state NEW -m recent --update \
+       #--seconds 25 --hitcount 5 -j DROP
+
+
+$IPF -A Internet_DmzPub -d $IP_PUB_SOGO -p tcp -m state --state NEW \
+       -m multiport --dports 80,443 -j ACCEPT
+
+
+$IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PUB -j Internet_DmzPub
+
+
+
+$IPT -N Internet_DmzPriv
+
+
+$IPF -A Internet_DmzPriv -d $IP_DNS -p udp --dport 53 -j ACCEPT
+
+for serveurDNSdeConfiance in $IP_PUB_DNS_SOA
+
+do
+       $IPF -A Internet_DmzPriv -s $serveurDNSdeConfiance -p tcp \
+       -m state --state NEW --dport 53 -j ACCEPT
+done
+
+$IPF -A Internet_DmzPriv -d $IP_SMTP -p tcp -m state --state NEW \
+       --dport 25 -j ACCEPT
+
+$IPF -A Internet_DmzPriv -d $IP_MAIL -p tcp -m state --state NEW \
+       -m multiport --dports 587,993 -j ACCEPT
+
+$IPF -A Internet_DmzPriv -d $IP_FRONTAL -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+
+$IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PRIV -j Internet_DmzPriv
+
+
+
+
+$IPT -N Fw_Internet
+$IPF -A Fw_Internet -p tcp --dport 25 -j REJECT
+
+$IPF -A OUTPUT -o $IF_INTERNET -j Fw_Internet
+
+
+
+$IPT -N DmzPub_Internet
+
+for IP_VISIOS in $IP_PUB_VISIO_Directeur $IP_PUB_VISIO_Reunion \
+       $IP_PUB_VISIO_Formation
+do
+       $IPF -A DmzPub_Internet -s $IP_VISIOS -j ACCEPT
+done
+
+$IPF -A DmzPub_Internet  -s $IP_PUB_VOIP -j ACCEPT
+
+$IPF -A FORWARD -i $IF_DMZ_PUB -o $IF_INTERNET -j DmzPub_Internet
+
+
+
+$IPT -N DmzPriv_Internet
+
+$IPF -A DmzPriv_Internet  -d $IP_GLPI_AUF -p tcp -m state --state NEW \
+       --dport 443 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -d $IP_AUF_PIWIK -p tcp -m state --state NEW \
+       --dport 443 -j ACCEPT
+
+$IPF -A DmzPriv_Internet -s $IP_SMTP -p tcp -m state --state NEW \
+       --dport 25 -j ACCEPT
+
+$IPF -A DmzPriv_Internet -s $IP_DNS -p tcp -m state --state NEW \
+       --dport 53 -j ACCEPT
+$IPF -A DmzPriv_Internet -s $IP_DNS -p udp --dport 53 -j ACCEPT
+
+$IPF -A DmzPriv_Internet -s $IP_WEB_LEGACY -p udp --dport 53 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_MIROIR -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_MIROIR -p tcp -m state --state NEW \
+       --dport 11371 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_WEB -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_WEB_LEGACY -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_DOCUMENTS -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+#$IPF -A DmzPriv_Internet -j ACCEPT
+
+$IPF -A FORWARD -i $IF_DMZ_PRIV -o $IF_INTERNET -j DmzPriv_Internet
+
+
+
+$IPT -N UsagerAdmin_Internet
+
+for port_tcp in $PORT_AUTORISES_tcp
+do
+       $IPF -A UsagerAdmin_Internet -s $IP_CAPTIF_SENSE -p tcp -m state \
+       --state NEW --dport $port_tcp -j ACCEPT
+
+       $IPF -A UsagerAdmin_Internet -s $IP_CAPTIF_SENSE2 -p tcp -m state \
+       --state NEW --dport $port_tcp -j ACCEPT
+done
+
+for port_udp in $PORT_AUTORISES_udp
+do
+       $IPF -A UsagerAdmin_Internet -s $IP_CAPTIF_SENSE -p udp \
+               --dport $port_udp -j ACCEPT
+
+       $IPF -A UsagerAdmin_Internet -s $IP_CAPTIF_SENSE2 -p udp \
+               --dport $port_udp -j ACCEPT
+done
+
+$IPF -A UsagerAdmin_Internet -s $IP_CAPTIF_SENSE -p udp -m multiport \
+       --dports 2000,4569,5060,61000:62000  -j ACCEPT
+
+
+$IPF -A UsagerAdmin_Internet -s $IP_CAPTIF_SENSE2 -p udp -m multiport \
+       --dports 2000,4569,5060,61000:62000  -j ACCEPT
+
+$IPF -A FORWARD -i $IF_USAGER_ADMIN -o $IF_INTERNET -j UsagerAdmin_Internet
+
+
+
+$IPT -N Rpv_RpvAUF
+
+$IPF -A Rpv_RpvAUF -j ACCEPT
+
+$IPF -A FORWARD -s $NET_RPV -d $NET_RPV_AUF -j Rpv_RpvAUF
+
+
+
+$IPT -N RpvAUF_Rpv
+
+$IPF -A RpvAUF_Rpv -j ACCEPT
+
+$IPF -A FORWARD -s $NET_RPV_AUF -d $NET_RPV -j RpvAUF_Rpv
+
+
+
+$IPT -N NetLocaux_Internet
+
+$IPF -A NetLocaux_Internet -s $IP_Directeur -d $IP_UnivPoitiers -j ACCEPT
+
+for port_tcp in $PORT_AUTORISES_tcp
+do
+               $IPF -A NetLocaux_Internet -p tcp -m state \
+               --state NEW --dport $port_tcp \
+                -j ACCEPT
+done
+
+for port_udp in $PORT_AUTORISES_udp
+do
+               $IPF -A NetLocaux_Internet -p udp --dport \
+                $port_udp -j ACCEPT
+done
+
+$IPF -A FORWARD -i $IF_RPV -o $IF_INTERNET -j NetLocaux_Internet
+$IPF -A FORWARD -i $IF_FORMATION -o $IF_INTERNET -j NetLocaux_Internet
+$IPF -A FORWARD -i $IF_FOAD -o $IF_INTERNET -j NetLocaux_Internet
+$IPF -A FORWARD -i $IF_PROF -o $IF_INTERNET -j NetLocaux_Internet
+
+
+
+$IPT -N Formation_Rpv
+$IPT -N Prof_Rpv
+$IPT -N Foad_Rpv
+
+
+for chaineUsager in Formation_Rpv Prof_Rpv Foad_Rpv
+do
+       for port_tcp in 80 443
+       do
+               $IPF -A $chaineUsager -p tcp -m state --state NEW \
+                       --dport $port_tcp -j ACCEPT
+       done
+
+done
+
+$IPF -A FORWARD -i $IF_FORMATION -o $IF_RPV -j Formation_Rpv
+$IPF -A FORWARD -i $IF_FOAD -o $IF_RPV -j Foad_Rpv
+$IPF -A FORWARD -i $IF_PROF -o $IF_RPV -j Prof_Rpv
+
+
+
+
+$IPT -N Destination_DmzPriv
+
+$IPF -A Destination_DmzPriv -d $IP_DNS -p tcp -m state --state NEW \
+       --dport 53 -j ACCEPT
+$IPF -A Destination_DmzPriv -d $IP_DNS -p udp --dport 53 -j ACCEPT
+
+$IPF -A Destination_DmzPriv -d $IP_SMTP -p tcp -m state --state NEW \
+       --dport 25 -j ACCEPT
+
+$IPF -A Destination_DmzPriv -d $IP_MAIL -p tcp -m state --state NEW \
+       -m multiport --dports 587,993 -j ACCEPT
+
+for port_freeradius in 1812 1813 1814
+do
+       $IPF -A Destination_DmzPriv -p udp -d $IP_FREERADIUS \
+               --dport $port_freeradius -j ACCEPT
+done
+
+$IPF -A Destination_DmzPriv -d $IP_GIT_CM -p tcp -m state --state NEW \
+       --dport 22 -j ACCEPT
+
+$IPF -A Destination_DmzPriv -d $IP_MIROIR -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+$IPF -A Destination_DmzPriv -d $IP_FRONTAL -p tcp -m state --state NEW \
+       --dport 80 -j ACCEPT
+
+
+$IPF -A Destination_DmzPriv -s $IP_RTR -d $IP_BACKUP -p tcp -m state \
+        --state NEW --dport 80 -j ACCEPT
+
+$IPF -A FORWARD -o $IF_DMZ_PRIV -j Destination_DmzPriv
+
+
+
+$IPT -N Rtr_NetLocaux
+
+$IPF -A Rtr_NetLocaux -p tcp --dport 22 -m state --state NEW  -j ACCEPT
+
+$IPF -A FORWARD ! -o $IF_INTERNET -s $IP_RTR -j Rtr_NetLocaux
+
+
+
+
+
+## Tout ce qui concerne le POSTROUTING
+$IPN -A POSTROUTING -d $NET_RPV_AUF -j RETURN
 
-#Des constantes
-IF_INTERNET="camtel"
-IF_DMZ="eth0.10"
-IF_RPV="eth0.20"
-IF_DMZ_NAT="eth0.112"
-IF_DMZ_VISIO="eth0.120"
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_DNS -j SNAT \
+       --to-source $IP_PUB_DNS
 
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_SMTP -j SNAT \
+       --to-source $IP_PUB_SMTP
 
-# les chaînes personnalisées
-## arrivée depuis l'internet
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_FRONTAL -j SNAT \
+       --to-source $IP_PUB_WEB
 
-$IPT -N internet-dmz
-$IPF -A internet-dmz -p tcp --dports 25,143,993,
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_WEB_LEGACY -j SNAT \
+       --to-source $IP_PUB_WEB
 
-$IPT -N internet-public
-$IPF -A internet-public -j DROP
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_WEB -j SNAT \
+       --to-source $IP_PUB_WEB
 
-$IPT -N internet-rpv
-$IPF -A internet-rpv -j DROP
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_DOCUMENTS -j SNAT \
+       --to-source $IP_PUB_MAIL
 
-$IPT -N internet-visio
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_CAPTIF_SENSE -j SNAT \
+       --to-source $IP_PUB_NOMADE
 
-## sortie visio
-$IPT -N visio-internet
-$IPT -N visio-dmz
-$IPT -N visio-rpv
-$IPT -N visio-public
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_CAPTIF_SENSE2 -j SNAT \
+       --to-source $IP_PUB_NOMADE
 
-## sortie des serveurs
-$IPT -N dmz-internet
-$IPT -N dmz-public
-$IPT -N dmz-rpv
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_MIROIR -j SNAT \
+       --to-source $IP_PUB_DMZPriv_NAT
 
-## sortie depuis rpv
-$IPT -N rpv-internet
-$IPT -N rpv-public
-$IPT -N rpv-dmz
+# pour tous les autres serveurs de la DMZ qui doivent
+# absolument sortir pour assurer l'inventaire
+$IPN -A POSTROUTING -o $IF_INTERNET -s $NET_DMZ -d $IP_GLPI_AUF -j SNAT \
+       --to-source $IP_PUB_NAT
 
-## sortie depuis public
-$IPT -N public-internet
-$IPT -N public-dmz
-$IPT -N public-rpv
+$IPN -A POSTROUTING -o $IF_INTERNET -s $NET_DMZ -d $IP_AUF_PIWIK -j SNAT \
+       --to-source $IP_PUB_NAT
 
+$IPN -A POSTROUTING -o $IF_INTERNET -s $NET_RPV -j SNAT \
+       --to-source $IP_PUB_NAT
 
-# Répartition des flux dans les chaines personnalisées
-$IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ -j internet-dmz
-$IPF -A FORWARD -i $IF_INTERNET -o $IF_RPV -j internet-rpv
-$IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_VISIO -j internet-visio
-$IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_NAT -j internet-public
+for reseau_utilisateur in $NET_FORMATION $NET_FOAD $NET_PROF
+do
+       $IPN -A POSTROUTING -o $IF_INTERNET -s $reseau_utilisateur \
+               -j SNAT --to-source $IP_PUB_NAT
+done
+#
+#
+echo ""
+if [ x"$1" != "xsave" ]
+then
+       echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
+       echo "  enregistrer avec la commande suivante :"
+       echo "           # $0 save"
+else
+       /sbin/iptables-save > /etc/network/iptables-save
+       echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
+fi
+echo ""
index bb43e43..c61787a 100644 (file)
@@ -1,4 +1,4 @@
-#!/bin/sh
+#!/bin/bash
 
 modprobe ip_tables
 modprobe ip_nat_ftp
@@ -123,21 +123,22 @@ $IPF -A FORWARD -i $IF_DMZ -o $IF_RPV -j dmz-LANrpv
 $IPF -A FORWARD -i $IF_DMZ -o $IF_USAGER -j dmz-LANusager
 
 $IPF -A dmz-internet -s $IP_VOIP -p udp --dport 4569 -j ACCEPT
-$IPF -A dmz-internet -s $IP_VOIP -p tcp --dport 4569 -j ACCEPT
+$IPF -A dmz-internet -s $IP_VOIP -p tcp -m state --state NEW \
+               --dport 4569 -j ACCEPT
 
 $IPF -A dmz-internet -s $IP_DNS -p udp --dport 53 -j ACCEPT
-$IPF -A dmz-internet -s $IP_DNS -p tcp -m state --STATE NEW \
+$IPF -A dmz-internet -s $IP_DNS -p tcp -m state --state NEW \
        --dport 53 -j ACCEPT
 
 $IPF -A dmz-internet -s $IP_MAIL -p tcp -m multiport \
                --dport  25,587 -j ACCEPT
 
 $IPF -A dmz-LANrpv -s $IP_DNS -p udp --dport 53 -j ACCEPT
-$IPF -A dmz-LANrpv -s $IP_DNS -p tcp -m state --STATE NEW \
+$IPF -A dmz-LANrpv -s $IP_DNS -p tcp -m state --state NEW \
        --dport 53 -j ACCEPT
 
 $IPF -A dmz-LANusager -s $IP_DNS -p udp --dport 53 -j ACCEPT
-$IPF -A dmz-LANusager -s $IP_DNS -p tcp -m state --STATE NEW \
+$IPF -A dmz-LANusager -s $IP_DNS -p tcp -m state --state NEW \
        --dport 53 -j ACCEPT
 
 # FORWARD en direction de la DMZ