diff --git a/roles/fw-ferm/files/ferm.conf.r-vp2 b/roles/fw-ferm/files/ferm.conf.r-vp2 index 6c4886a..bd4b6c5 100644 --- a/roles/fw-ferm/files/ferm.conf.r-vp2 +++ b/roles/fw-ferm/files/ferm.conf.r-vp2 @@ -27,19 +27,15 @@ table filter { # allow SSH connections from the private network and from some # well-known internet hosts - saddr ($NET_PRIVATE 81.209.165.42) proto tcp dport ssh ACCEPT; + saddr ($NET_PRIVATE) proto tcp dport ssh ACCEPT; # we provide DNS and SMTP services for the internal net interface $DEV_PRIVATE saddr $NET_PRIVATE { proto (udp tcp) dport domain ACCEPT; proto udp dport bootps ACCEPT; } - interface $DEV_VPN{ - # respond to ping - proto icmp icmp-type echo-request ACCEPT; - # disallow ssh - saddr proto tcp dport ssh ACCEPT; - } + + # interface réseau interface $DEV_WORLD { @@ -49,13 +45,8 @@ table filter { }#FIN INPUT # outgoing connections are not limited - chain OUTPUT {policy ACCEPT; - interface $DEV_VPN{ - # allow ssh - daddr proto tcp dport ssh DROP; - # respond to ping - proto icmp icmp-type echo-request ACCEPT; - } + chain OUTPUT { + policy ACCEPT; } chain FORWARD { policy ACCEPT; @@ -68,6 +59,9 @@ table filter { # internal nets are allowed interface $DEV_PRIVATE ACCEPT; + interface $DEV_VPN daddr $NET_PRIVATE { + proto tcp dport ssh DROP; + } # the rest is dropped by the above policy } } diff --git a/roles/fw-ferm/files/iptables.test.r-vp1 b/roles/fw-ferm/files/iptables.test.r-vp1 deleted file mode 100644 index 0a74338..0000000 --- a/roles/fw-ferm/files/iptables.test.r-vp1 +++ /dev/null @@ -1,43 +0,0 @@ -# Définir la politique par défaut -iptables -P INPUT DROP -iptables -P OUTPUT ACCEPT -iptables -P FORWARD ACCEPT - -# Autoriser le trafic pour le VPN -iptables -A INPUT -p udp --dport 51820 -j ACCEPT - -# Autoriser les connexions établies et connexes -iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - -# Autoriser les connexions sur l'interface loopback -iptables -A INPUT -i lo -j ACCEPT - -# Autoriser les requêtes ping -iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT - -# Autoriser les connexions SSH depuis le réseau privé et depuis certains hôtes internet -iptables -A INPUT -p tcp -s 172.16.0.0/24,81.209.165.42 --dport ssh -j ACCEPT - -# Autoriser les connexions DNS et SMTP sur l'interface privée -iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p udp --dport domain -j ACCEPT -iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p tcp --dport domain -j ACCEPT -iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p udp --dport bootps -j ACCEPT - -# Autoriser les requêtes ping sur l'interface VPN -iptables -A INPUT -i wg0 -p icmp --icmp-type echo-request -j ACCEPT - -# Interdire les connexions SSH sur l'interface VPN -iptables -A INPUT -i wg0 -s 0.0.0.0/0 -p tcp --dport ssh -j DROP - -# Interdire les connexions SSH sortantes sur l'interface VPN -iptables -A OUTPUT -o wg0 -d 0.0.0.0/0 -p tcp --dport ssh -j DROP - -# Autoriser le trafic sur l'interface publique -iptables -A INPUT -i enp0s8 -j ACCEPT - -# Autoriser les connexions depuis l'interface privée vers l'interface publique ou une autre interface privée -iptables -A FORWARD -i enp0s9 -o enp0s8 -j ACCEPT -iptables -A FORWARD -i enp0s9 -o enp0s9 -j ACCEPT - -# Interdire toutes les autres connexions de forwarding -iptables -A FORWARD -j DROP diff --git a/roles/fw-ferm/files/iptables.test.r-vp2 b/roles/fw-ferm/files/iptables.test.r-vp2 deleted file mode 100644 index 5ba3597..0000000 --- a/roles/fw-ferm/files/iptables.test.r-vp2 +++ /dev/null @@ -1,50 +0,0 @@ -# Politique par défaut : DROP -iptables -P INPUT DROP -iptables -P FORWARD ACCEPT -iptables -P OUTPUT ACCEPT - -# Autoriser les connexions VPN entrantes -iptables -A INPUT -p udp --dport 51820 -j ACCEPT - -# Autoriser les connexions établies et apparentées -iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - -# Autoriser les connexions depuis l'interface locale -iptables -A INPUT -i lo -j ACCEPT - -# Autoriser les requêtes ping -iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT - -# Autoriser les connexions SSH depuis le réseau privé et depuis certains hôtes Internet -iptables -A INPUT -s 172.16.0.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -iptables -A INPUT -s 81.209.165.42 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT - -# Autoriser les connexions DNS et SMTP depuis le réseau privé -iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p udp --dport 53 -j ACCEPT -iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p tcp --dport 53 -j ACCEPT -iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p udp --dport 67 -j ACCEPT - -# Autoriser le trafic sortant -iptables -A OUTPUT -j ACCEPT - -# Autoriser les requêtes ping sortantes -iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT - -# Autoriser les connexions SSH sortantes -iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT - -# Autoriser les connexions VPN sortantes -iptables -A FORWARD -i wg0 -o enp0s9 -j ACCEPT -iptables -A FORWARD -i enp0s9 -o wg0 -j ACCEPT - -# Interdire les connexions SSH entrantes depuis l'interface VPN -iptables -A FORWARD -i wg0 -p tcp --dport 22 -j DROP - -# Autoriser les connexions SSH sortantes vers l'interface VPN -iptables -A FORWARD -o wg0 -p tcp --dport 22 -j ACCEPT - -# Autoriser les connexions établies et apparentées -iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT - -# Autoriser le trafic depuis le réseau privé -iptables -A FORWARD -i enp0s8 -o enp0s9 -j ACCEPT