46f42a0d0d
Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9
60 lines
2.3 KiB
Plaintext
60 lines
2.3 KiB
Plaintext
# Chaînes à ajouter pour l'étape 5
|
|
|
|
table ip ipfilter {
|
|
|
|
chain prerouting {
|
|
type filter hook prerouting priority filter; policy drop;
|
|
|
|
# Permet le passage des réponses aux requêtes acceptées
|
|
ct state established, related accept
|
|
|
|
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5)
|
|
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
|
|
# Autorise les requêtes DNS venant de la LAN (étape 5)
|
|
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
|
|
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
|
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
|
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
|
}
|
|
|
|
chain routing {
|
|
type filter hook forward priority filter; policy drop;
|
|
|
|
# Permet le passage des réponses aux requêtes acceptées
|
|
ct state established, related accept
|
|
|
|
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
|
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
|
|
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
|
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
|
|
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
|
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
|
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
|
|
|
}
|
|
|
|
chain postrouting {
|
|
type filter hook postrouting priority filter; policy drop;
|
|
|
|
# Permet le passage des réponses aux requêtes acceptées
|
|
ct state established, related accept
|
|
|
|
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
|
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
|
|
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
|
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
|
|
|
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
|
|
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
|
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
|
|
|
}
|
|
} |