diff --git a/automate.sh b/automate.sh index 1c6ad3b..c833761 100644 --- a/automate.sh +++ b/automate.sh @@ -3,14 +3,14 @@ # Ajout de messages et de délais pour mieux se repérer et se situer dans le processus. # Ajout d'un système de choix # Ajout d'un export de proxy HTTP/HTTPS automatique vers ceux du lycée pour la machine en salle 214. +# Ajout d'un système de gestion d'erreur très basique pour éviter qu'un push/un pull se produise en cas de réponses incorrectes. export http_proxy="http://10.121.38.1:8080/" export https_proxy="http://10.121.38.1:8080/" - -echo "Voulez-vous récupérer les fichiers du dépôt ou effectuer un push sur le dépôt ? -[1 = Pull, 2 = Push]" +echo "Voulez-vous récupérer les fichiers du dépôt ou effectuer un push sur le dépôt ? [1 = Pull, 2 = Push]" read answer + echo "Quelle branche est concernée ? [1 = main, 2 = test]" read branch @@ -18,36 +18,39 @@ if [ $branch == 1 ] ; then if [ $answer == 1 ] ; then git checkout main echo "Récupération des fichiers à jour, branche main..." - git pull origin main + git pull -q origin main else git checkout main echo "Ajout des fichiers au Gitea..." - sleep 2 + sleep 1 git add . echo "Commit en cours..." - sleep 2 + sleep 1 git commit echo "Push des fichiers au Gitea, branche main..." - sleep 2 + sleep 1 git push -q origin main fi + elif [ $branch == 2 ] ; then if [ $answer == 1 ] ; then git checkout test echo "Récupération des fichiers à jour dans la branche test..." - git pull origin test + git pull -q origin test else git checkout test echo "Ajout des fichiers au Gitea, branche test..." - sleep 2 + sleep 1 git add . echo "Commit en cours..." - sleep 2 + sleep 1 git commit echo "Push des fichiers au Gitea, branche test..." - sleep 2 + sleep 1 git push -q origin test fi + else - echo "Choisissez une branche et une option valide." + echo "Choisissez une branche et une option valide. Veuillez relancer le script" + fi \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/README.md b/sisr1/tp08_evolution_infrastructure/rules_progressive/README.md index adbdbed..a49ba1f 100755 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/README.md +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/README.md @@ -1 +1,3 @@ -Ce dossier contient l'ensemble des règles du pare-feu, étape par étape pour l'implémentation. \ No newline at end of file +Ce dossier contient l'ensemble des règles du pare-feu, étape par étape pour l'implémentation. + +Il faut prendre les règles de chaque étape UNIQUEMENT, pour éviter les problèmes. \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 index b1651b1..6acf87c 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 @@ -43,9 +43,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept } @@ -56,8 +53,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop } chain system_out { @@ -70,7 +65,5 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 index 327c0f7..9fa90dc 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 @@ -43,9 +43,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept } @@ -56,8 +53,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop } chain system_out { @@ -73,9 +68,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept } diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 index 5421193..51c2921 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 @@ -41,7 +41,6 @@ table ip ipfilter { # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - } chain system_in { @@ -50,15 +49,9 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 - icmp type echo-request iif {$lanif} oif {$dmzif} accept - # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept } @@ -69,11 +62,11 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept + + # Accepte les réponses ping pour l'étape 4 + icmp type echo-reply iif {$dmzif} oif {$lanif} accept } chain system_out { @@ -83,7 +76,7 @@ table ip ipfilter { tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier - icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept + icmp type echo-request accept } chain postrouting { @@ -92,9 +85,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept @@ -103,5 +93,8 @@ table ip ipfilter { # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept + + # Accepte les réponses ping pour l'étape 4 + icmp type echo-reply iif {$dmzif} oif {$lanif} accept } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 index 3975c78..ee7073c 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 @@ -48,7 +48,7 @@ table ip ipfilter { udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -59,9 +59,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept @@ -71,16 +68,6 @@ table ip ipfilter { # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } chain routing { @@ -89,9 +76,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept @@ -102,7 +86,7 @@ table ip ipfilter { udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept @@ -115,18 +99,8 @@ table ip ipfilter { tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier - icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept + icmp type echo-request accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } chain postrouting { @@ -135,9 +109,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept @@ -154,7 +125,7 @@ table ip ipfilter { udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 index bd30dd6..43ff73f 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 @@ -62,9 +62,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept @@ -74,16 +71,6 @@ table ip ipfilter { # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } chain routing { @@ -92,9 +79,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept @@ -121,17 +105,7 @@ table ip ipfilter { # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + } chain postrouting { @@ -140,9 +114,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 index 42449e3..cf11af6 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 @@ -56,7 +56,7 @@ table ip ipfilter { tcp dport 53 ip saddr $proxy-dns ip daddr $router accept # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept + tcp dport {80,443} ip saddr $proxy-dns daddr $router accept } chain system_in { @@ -65,9 +65,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept @@ -77,19 +74,6 @@ table ip ipfilter { # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - - # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept } chain routing { @@ -98,9 +82,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept @@ -119,7 +100,7 @@ table ip ipfilter { tcp dport 53 ip saddr $proxy-dns ip daddr $router accept # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept + tcp dport {80,443} ip saddr $proxy-dns daddr $router accept } chain system_out { @@ -131,16 +112,6 @@ table ip ipfilter { # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } chain postrouting { @@ -149,9 +120,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept @@ -176,7 +144,7 @@ table ip ipfilter { tcp dport 53 ip saddr $proxy-dns ip daddr $router accept # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept + tcp dport {80,443} ip saddr $proxy-dns daddr $router accept } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9 index 73c7bb5..50f4eec 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9 @@ -56,7 +56,7 @@ table ip ipfilter { tcp dport 53 ip saddr $proxy-dns ip daddr $router accept # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept + tcp dport {80,443} ip saddr $proxy-dns daddr $router accept } chain system_in { @@ -65,9 +65,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept @@ -77,19 +74,6 @@ table ip ipfilter { # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - - # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept } chain routing { @@ -98,9 +82,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept @@ -119,7 +100,7 @@ table ip ipfilter { tcp dport 53 ip saddr $proxy-dns ip daddr $router accept # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept + tcp dport {80,443} ip saddr $proxy-dns daddr $router accept } chain system_out { @@ -131,16 +112,6 @@ table ip ipfilter { # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier - tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier - udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - - # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental - udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } chain postrouting { @@ -149,9 +120,6 @@ table ip ipfilter { # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - # Refuse les paquets sans états/qui viennent d'une connexion inconnue - ct state invalid, untracked drop - # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept @@ -176,7 +144,7 @@ table ip ipfilter { tcp dport 53 ip saddr $proxy-dns ip daddr $router accept # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier - ip saddr $proxy-dns daddr $router accept + tcp dport {80,443} ip saddr $proxy-dns daddr $router accept } @@ -185,7 +153,7 @@ table ip ipfilter { chain nat_prerouting { type nat hook prerouting priority filter; policy accept; - # Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9) + # Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9 -> à vérifier si chgt règles antérieures nécessaires) iif $netif udp dport 53 dnat to $proxy-dns iif $netif tcp dport 53 dnat to $proxy-dns @@ -194,7 +162,7 @@ table ip ipfilter { chain nat_postrouting { type nat hook postrouting priority filter; policy accept; - # Masquage des adresses IP de la DMZ via NAT (étape 8) + # Masquage des adresses IP de la DMZ via NAT (étape 8 -> à vérifier si chgt règles antérieures nécessaires) ip saddr $dmz-ntw snat $firewall-net }