Modifié : automate.sh
Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/README.md Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9
This commit is contained in:
guillaume.emorine
parent
81dc0446c6
commit
198e45ce74
27
automate.sh
27
automate.sh
@ -3,14 +3,14 @@
|
||||
# Ajout de messages et de délais pour mieux se repérer et se situer dans le processus.
|
||||
# Ajout d'un système de choix
|
||||
# Ajout d'un export de proxy HTTP/HTTPS automatique vers ceux du lycée pour la machine en salle 214.
|
||||
# Ajout d'un système de gestion d'erreur très basique pour éviter qu'un push/un pull se produise en cas de réponses incorrectes.
|
||||
|
||||
export http_proxy="http://10.121.38.1:8080/"
|
||||
export https_proxy="http://10.121.38.1:8080/"
|
||||
|
||||
|
||||
echo "Voulez-vous récupérer les fichiers du dépôt ou effectuer un push sur le dépôt ?
|
||||
[1 = Pull, 2 = Push]"
|
||||
echo "Voulez-vous récupérer les fichiers du dépôt ou effectuer un push sur le dépôt ? [1 = Pull, 2 = Push]"
|
||||
read answer
|
||||
|
||||
echo "Quelle branche est concernée ? [1 = main, 2 = test]"
|
||||
read branch
|
||||
|
||||
@ -18,36 +18,39 @@ if [ $branch == 1 ] ; then
|
||||
if [ $answer == 1 ] ; then
|
||||
git checkout main
|
||||
echo "Récupération des fichiers à jour, branche main..."
|
||||
git pull origin main
|
||||
git pull -q origin main
|
||||
else
|
||||
git checkout main
|
||||
echo "Ajout des fichiers au Gitea..."
|
||||
sleep 2
|
||||
sleep 1
|
||||
git add .
|
||||
echo "Commit en cours..."
|
||||
sleep 2
|
||||
sleep 1
|
||||
git commit
|
||||
echo "Push des fichiers au Gitea, branche main..."
|
||||
sleep 2
|
||||
sleep 1
|
||||
git push -q origin main
|
||||
fi
|
||||
|
||||
elif [ $branch == 2 ] ; then
|
||||
if [ $answer == 1 ] ; then
|
||||
git checkout test
|
||||
echo "Récupération des fichiers à jour dans la branche test..."
|
||||
git pull origin test
|
||||
git pull -q origin test
|
||||
else
|
||||
git checkout test
|
||||
echo "Ajout des fichiers au Gitea, branche test..."
|
||||
sleep 2
|
||||
sleep 1
|
||||
git add .
|
||||
echo "Commit en cours..."
|
||||
sleep 2
|
||||
sleep 1
|
||||
git commit
|
||||
echo "Push des fichiers au Gitea, branche test..."
|
||||
sleep 2
|
||||
sleep 1
|
||||
git push -q origin test
|
||||
fi
|
||||
|
||||
else
|
||||
echo "Choisissez une branche et une option valide."
|
||||
echo "Choisissez une branche et une option valide. Veuillez relancer le script"
|
||||
|
||||
fi
|
||||
@ -1 +1,3 @@
|
||||
Ce dossier contient l'ensemble des règles du pare-feu, étape par étape pour l'implémentation.
|
||||
Ce dossier contient l'ensemble des règles du pare-feu, étape par étape pour l'implémentation.
|
||||
|
||||
Il faut prendre les règles de chaque étape UNIQUEMENT, pour éviter les problèmes.
|
||||
@ -43,9 +43,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
}
|
||||
@ -56,8 +53,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
}
|
||||
|
||||
chain system_out {
|
||||
@ -70,7 +65,5 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
}
|
||||
}
|
||||
@ -43,9 +43,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
}
|
||||
@ -56,8 +53,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
}
|
||||
|
||||
chain system_out {
|
||||
@ -73,9 +68,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
}
|
||||
|
||||
@ -41,7 +41,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
|
||||
}
|
||||
|
||||
chain system_in {
|
||||
@ -50,15 +49,9 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
}
|
||||
@ -69,11 +62,11 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply iif {$dmzif} oif {$lanif} accept
|
||||
}
|
||||
|
||||
chain system_out {
|
||||
@ -83,7 +76,7 @@ table ip ipfilter {
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
icmp type echo-request accept
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@ -92,9 +85,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
@ -103,5 +93,8 @@ table ip ipfilter {
|
||||
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply iif {$dmzif} oif {$lanif} accept
|
||||
}
|
||||
}
|
||||
@ -48,7 +48,7 @@ table ip ipfilter {
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
@ -59,9 +59,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
@ -71,16 +68,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain routing {
|
||||
@ -89,9 +76,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
@ -102,7 +86,7 @@ table ip ipfilter {
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
@ -115,18 +99,8 @@ table ip ipfilter {
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
icmp type echo-request accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@ -135,9 +109,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
@ -154,7 +125,7 @@ table ip ipfilter {
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
|
||||
@ -62,9 +62,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
@ -74,16 +71,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain routing {
|
||||
@ -92,9 +79,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
@ -121,17 +105,7 @@ table ip ipfilter {
|
||||
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@ -140,9 +114,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
|
||||
@ -56,7 +56,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain system_in {
|
||||
@ -65,9 +65,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
@ -77,19 +74,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain routing {
|
||||
@ -98,9 +82,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
@ -119,7 +100,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain system_out {
|
||||
@ -131,16 +112,6 @@ table ip ipfilter {
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@ -149,9 +120,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
@ -176,7 +144,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
}
|
||||
@ -56,7 +56,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain system_in {
|
||||
@ -65,9 +65,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
@ -77,19 +74,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain routing {
|
||||
@ -98,9 +82,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
@ -119,7 +100,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain system_out {
|
||||
@ -131,16 +112,6 @@ table ip ipfilter {
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@ -149,9 +120,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
@ -176,7 +144,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
|
||||
@ -185,7 +153,7 @@ table ip ipfilter {
|
||||
chain nat_prerouting {
|
||||
type nat hook prerouting priority filter; policy accept;
|
||||
|
||||
# Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9)
|
||||
# Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9 -> à vérifier si chgt règles antérieures nécessaires)
|
||||
iif $netif udp dport 53 dnat to $proxy-dns
|
||||
iif $netif tcp dport 53 dnat to $proxy-dns
|
||||
|
||||
@ -194,7 +162,7 @@ table ip ipfilter {
|
||||
chain nat_postrouting {
|
||||
type nat hook postrouting priority filter; policy accept;
|
||||
|
||||
# Masquage des adresses IP de la DMZ via NAT (étape 8)
|
||||
# Masquage des adresses IP de la DMZ via NAT (étape 8 -> à vérifier si chgt règles antérieures nécessaires)
|
||||
ip saddr $dmz-ntw snat $firewall-net
|
||||
|
||||
}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user