1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115
|
#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet,
# met en place un firewall basique et un partage de connexion
#
# Inspiré du script de Mjules_at_ifrance.com
#
start() {
# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
/sbin/ifup eth0
# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
iptables -X
#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# activation du forwarding dans le noyau
# mise en place du partage de connexion sur le réseau local
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# Acceptation de toutes les connexions en local (un process avec l'autre)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# partage de connection
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 192.168.1.0/24 -d 172.16.20.19 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 172.16.20.19 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
# refuser l'accé au GLPI
#iptables -A FORWARD -s 192.168.1.55 -d 192.168.1.254 -p tcp --dport 8080 -j DROP
#iptables -t nat -A PREROUTING -s 192.168.1.55 --dport 8080 -j DNAT --to-destination 192.168.1.254:8080
# PORT FORWARDING:
# attention : on ne peut <del>malheureusement</del> heureusement pas mettre un nom de machine en destination, il faut mettre l'adresse IP.
# exemple : on veut qu'un serveur HTTP installé sur une machine du réseau local soit visible depuis l'extérieur.
iptables -A FORWARD -p tcp --sport 80 -i eth0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 172.16.20.19 --sport 80 -j SNAT --to 192.168.1.254
iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.50 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50:80
#iptables -A FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
#création d'une nouvelle règle
iptables -N MAregle
#définition de la règle : accepter les nouvelles connexions ne venant pas de l'interface internet
# et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque l'ouverture
# d'une connexion reliée pour acheminer cette page vers l'ordinateur)
iptables -A MAregle -m state --state NEW -i! eth0 -j ACCEPT
iptables -A MAregle -m state --state ESTABLISHED,RELATED -j ACCEPT
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
}
stop() {
echo 0 >/proc/sys/net/ipv4/ip_forward
ifdown eth0
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop , start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac
exit 0 |
Partager