Modifié : automate.sh
Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/README.md Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9
This commit is contained in:
guillaume.emorine
@@ -48,7 +48,7 @@ table ip ipfilter {
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
@@ -59,9 +59,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
@@ -71,16 +68,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain routing {
|
||||
@@ -89,9 +76,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
@@ -102,7 +86,7 @@ table ip ipfilter {
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
@@ -115,18 +99,8 @@ table ip ipfilter {
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
icmp type echo-request accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@@ -135,9 +109,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
@@ -154,7 +125,7 @@ table ip ipfilter {
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
|
||||
Reference in New Issue
Block a user