forked from guillaume.emorine/siotp
Modifié : automate.sh
Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/README.md Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9
This commit is contained in:
guillaume.emorine
@@ -56,7 +56,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain system_in {
|
||||
@@ -65,9 +65,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH, étape 2
|
||||
tcp dport 22 iif $firewall-net accept
|
||||
|
||||
@@ -77,19 +74,6 @@ table ip ipfilter {
|
||||
# Accepte les réponses ping pour l'étape 4
|
||||
icmp type echo-reply accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain routing {
|
||||
@@ -98,9 +82,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||
|
||||
@@ -119,7 +100,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
chain system_out {
|
||||
@@ -131,16 +112,6 @@ table ip ipfilter {
|
||||
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
|
||||
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||
|
||||
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
|
||||
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
|
||||
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
|
||||
|
||||
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
|
||||
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
|
||||
}
|
||||
|
||||
chain postrouting {
|
||||
@@ -149,9 +120,6 @@ table ip ipfilter {
|
||||
# Permet le passage des réponses aux requêtes acceptées
|
||||
ct state established, related accept
|
||||
|
||||
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||
ct state invalid, untracked drop
|
||||
|
||||
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
|
||||
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||
|
||||
@@ -176,7 +144,7 @@ table ip ipfilter {
|
||||
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
|
||||
|
||||
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
|
||||
ip saddr $proxy-dns daddr $router accept
|
||||
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
|
||||
}
|
||||
|
||||
|
||||
@@ -185,7 +153,7 @@ table ip ipfilter {
|
||||
chain nat_prerouting {
|
||||
type nat hook prerouting priority filter; policy accept;
|
||||
|
||||
# Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9)
|
||||
# Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9 -> à vérifier si chgt règles antérieures nécessaires)
|
||||
iif $netif udp dport 53 dnat to $proxy-dns
|
||||
iif $netif tcp dport 53 dnat to $proxy-dns
|
||||
|
||||
@@ -194,7 +162,7 @@ table ip ipfilter {
|
||||
chain nat_postrouting {
|
||||
type nat hook postrouting priority filter; policy accept;
|
||||
|
||||
# Masquage des adresses IP de la DMZ via NAT (étape 8)
|
||||
# Masquage des adresses IP de la DMZ via NAT (étape 8 -> à vérifier si chgt règles antérieures nécessaires)
|
||||
ip saddr $dmz-ntw snat $firewall-net
|
||||
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user