fw filtrage interne ok

2023-04-05 10:44:58 +02:00 · 2023-04-05 10:44:58 +02:00 · cf6f6096d6
commit cf6f6096d6
parent 99ed9d3b27
3 changed files with 8 additions and 107 deletions
--- a/roles/fw-ferm/files/ferm.conf.r-vp2
+++ b/roles/fw-ferm/files/ferm.conf.r-vp2
@ -27,19 +27,15 @@ table filter {

        # allow SSH connections from the private network and from some
        # well-known internet hosts
-        saddr ($NET_PRIVATE 81.209.165.42) proto tcp dport ssh ACCEPT;
+        saddr ($NET_PRIVATE) proto tcp dport ssh ACCEPT;

        # we provide DNS and SMTP services for the internal net
        interface $DEV_PRIVATE saddr $NET_PRIVATE {
            proto (udp tcp) dport domain ACCEPT;
            proto udp dport bootps ACCEPT;
        }
-        interface $DEV_VPN{
-        # respond to ping
-        proto icmp icmp-type echo-request ACCEPT;
-        # disallow ssh
-        saddr proto tcp dport ssh ACCEPT;
-        }
+
+
        # interface réseau
        interface $DEV_WORLD {

@ -49,13 +45,8 @@ table filter {
    }#FIN INPUT

    # outgoing connections are not limited
-    chain OUTPUT {policy ACCEPT;
-        interface $DEV_VPN{
-        # allow ssh
-        daddr proto tcp dport ssh DROP;
-        # respond to ping
-        proto icmp icmp-type echo-request ACCEPT;
-        }
+    chain OUTPUT {
+	policy ACCEPT;
 }
    chain FORWARD {
        policy ACCEPT;
@ -68,6 +59,9 @@ table filter {
        # internal nets are allowed
        interface $DEV_PRIVATE ACCEPT;

+	interface $DEV_VPN daddr $NET_PRIVATE {
+	proto tcp dport ssh DROP;
+	}
        # the rest is dropped by the above policy
    }
 }
--- a/roles/fw-ferm/files/iptables.test.r-vp1
+++ b/roles/fw-ferm/files/iptables.test.r-vp1
@ -1,43 +0,0 @@
-# Définir la politique par défaut
-iptables -P INPUT DROP
-iptables -P OUTPUT ACCEPT
-iptables -P FORWARD ACCEPT
-
-# Autoriser le trafic pour le VPN
-iptables -A INPUT -p udp --dport 51820 -j ACCEPT
-
-# Autoriser les connexions établies et connexes
-iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-
-# Autoriser les connexions sur l'interface loopback
-iptables -A INPUT -i lo -j ACCEPT
-
-# Autoriser les requêtes ping
-iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-
-# Autoriser les connexions SSH depuis le réseau privé et depuis certains hôtes internet
-iptables -A INPUT -p tcp -s 172.16.0.0/24,81.209.165.42 --dport ssh -j ACCEPT
-
-# Autoriser les connexions DNS et SMTP sur l'interface privée
-iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p udp --dport domain -j ACCEPT
-iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p tcp --dport domain -j ACCEPT
-iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p udp --dport bootps -j ACCEPT
-
-# Autoriser les requêtes ping sur l'interface VPN
-iptables -A INPUT -i wg0 -p icmp --icmp-type echo-request -j ACCEPT
-
-# Interdire les connexions SSH sur l'interface VPN
-iptables -A INPUT -i wg0 -s 0.0.0.0/0 -p tcp --dport ssh -j DROP
-
-# Interdire les connexions SSH sortantes sur l'interface VPN
-iptables -A OUTPUT -o wg0 -d 0.0.0.0/0 -p tcp --dport ssh -j DROP
-
-# Autoriser le trafic sur l'interface publique
-iptables -A INPUT -i enp0s8 -j ACCEPT
-
-# Autoriser les connexions depuis l'interface privée vers l'interface publique ou une autre interface privée
-iptables -A FORWARD -i enp0s9 -o enp0s8 -j ACCEPT
-iptables -A FORWARD -i enp0s9 -o enp0s9 -j ACCEPT
-
-# Interdire toutes les autres connexions de forwarding
-iptables -A FORWARD -j DROP
--- a/roles/fw-ferm/files/iptables.test.r-vp2
+++ b/roles/fw-ferm/files/iptables.test.r-vp2
@ -1,50 +0,0 @@
-# Politique par défaut : DROP
-iptables -P INPUT DROP
-iptables -P FORWARD ACCEPT
-iptables -P OUTPUT ACCEPT
-
-# Autoriser les connexions VPN entrantes
-iptables -A INPUT -p udp --dport 51820 -j ACCEPT
-
-# Autoriser les connexions établies et apparentées
-iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-
-# Autoriser les connexions depuis l'interface locale
-iptables -A INPUT -i lo -j ACCEPT
-
-# Autoriser les requêtes ping
-iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-
-# Autoriser les connexions SSH depuis le réseau privé et depuis certains hôtes Internet
-iptables -A INPUT -s 172.16.0.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-iptables -A INPUT -s 81.209.165.42 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-
-# Autoriser les connexions DNS et SMTP depuis le réseau privé
-iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p udp --dport 53 -j ACCEPT
-iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p tcp --dport 53 -j ACCEPT
-iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p udp --dport 67 -j ACCEPT
-
-# Autoriser le trafic sortant
-iptables -A OUTPUT -j ACCEPT
-
-# Autoriser les requêtes ping sortantes
-iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
-
-# Autoriser les connexions SSH sortantes
-iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-
-# Autoriser les connexions VPN sortantes
-iptables -A FORWARD -i wg0 -o enp0s9 -j ACCEPT
-iptables -A FORWARD -i enp0s9 -o wg0 -j ACCEPT
-
-# Interdire les connexions SSH entrantes depuis l'interface VPN
-iptables -A FORWARD -i wg0 -p tcp --dport 22 -j DROP
-
-# Autoriser les connexions SSH sortantes vers l'interface VPN
-iptables -A FORWARD -o wg0 -p tcp --dport 22 -j ACCEPT
-
-# Autoriser les connexions établies et apparentées
-iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-
-# Autoriser le trafic depuis le réseau privé
-iptables -A FORWARD -i enp0s8 -o enp0s9 -j ACCEPT