firewall : pourriez vous regarder svp ? + comment le tester ?

firewall : pourriez vous regarder svp ? + comment le tester ? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 19-01-2004 à 15:46:27    

Bonjour,
j'ai "fait" un  firewall, si vous avez le temps de jeter un coup d'oeuil dessus ;) :D
 
De plus j'aimerais pouvoir le tester, en fait je doit passer un tpi dessus et je cherche qq chose d'asser parlant ... (et rapide à faire de preference)
Je ne peux utiliser les sites internets de test ;)
 
Voila merci d avance
 

Code :
  1. #!/bin/sh
  3. #charement des modules de suivit de connection #
  4. modprobe ip_conntrack
  5. modprobe ip_conntrack_ftp
  6. modprobe ip_conntrack_irc
  8. IEXT=eth0
  9. IDMZ=eth1
  10. ILAN=eth2
  11. IPT=iptables
  14. LAN="192.168.1.0/24"
  15. DMZ="192.168.0.1/24"
  16. LOCALHOST="127.0.0.1"
  18. case "$1" in
  19.     start)
  21.     echo 1 > /proc/sys/net/ipv4/ip_forward
  23.     # BEGIN FIREWALLING
  26.     #Vide toutes les tables et chaines
  27.     $IPT -F
  28.     $IPT -X
  30.     #Règle par defaut
  31.     $IPT -P INPUT DROP
  32.     $IPT -P OUTPUT DROP
  33.     $IPT -P FORWARD DROP
  35.     # DROP BAD TCP PACKETS
  37.     #$IPT -A INPUT -p ICMP -j DROP
  39.     $IPT -A INPUT -p ICMP -j  ACCEPT
  40.     $IPT -A OUTPUT -p ICMP -j  ACCEPT
  41.     $IPT -A FORWARD -p ICMP -j  ACCEPT
  44.     #SUR LE FIREWALL
  45.     #authoriser le loop
  46.     $IPT -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -j ACCEPT
  47.     $IPT -t filter -A INPUT  -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
  48.    
  49.     #authoriser le ssh
  50.     $IPT -A INPUT -i $ILAN -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
  51.     $IPT -A OUTPUT -o $ILAN -p tcp --sport 22 -d 192.168.1.0/24 -j ACCEPT
  56. #TRAVAIL SUR LA DMZ , FORWARD
  57.    #vers ftp, pour la mise a jour des serveurs, sera remplacer par le proxy
  58.    $IPT -A FORWARD -i $IDMZ -o $IEXT -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
  59.    $IPT -A FORWARD -i $IEXT -o $IDMZ -d 192.168.0.0/24 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
  62.    #vers les serveurs DNS pour le serveur DNS interne
  63.    #$IPT -A FORWARD -i $IDMZ -o $IEXT -s 192.168.0.6 --mac-source 00:50:BA:1D:A0:5B -p tcp --dport 53 -j ACCEPT
  64.    $IPT -A FORWARD -i $IDMZ -o $IEXT -s 192.168.0.6 -p tcp --dport 53 -j ACCEPT
  65.    $IPT -A FORWARD -i $IEXT -o $IDMZ -d 192.168.0.6 -p tcp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
  66.    $IPT -A FORWARD -i $IDMZ -o $IEXT -s 192.168.0.6 -p udp --dport 53 -j ACCEPT
  67.    $IPT -A FORWARD -i $IEXT -o $IDMZ -d 192.168.0.6 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
  70.   #Authorise les connections en sortant pour le serveur web
  71.   $IPT -A FORWARD -i $IDMZ -o $IEXT -s 192.168.0.6 -p tcp --sport 80 -j ACCEPT
  72.   $IPT -A FORWARD -i $IDMZ -o $IEXT -s 192.168.0.6 -p udp --sport 80 -j ACCEPT
  74.   $IPT -A FORWARD -i $IEXT -o $IDMZ -d 192.168.0.6 -p udp --dport 80 -j ACCEPT
  75.   $IPT -A FORWARD -i $IEXT -o $IDMZ -d 192.168.0.6 -p tcp --dport 80 -j ACCEPT
  80. #TRAVAIL SUR LE LAN, FORWARD , exterieur/interieur
  81.    #vers le http, sera rediriger vers le proxy
  82.    #ne pas ouvlier apres d'accepter le
  83.    $IPT -A FORWARD -i $ILAN -o $IEXT -s 192.168.1.0/24 -p tcp --dport 80  -j ACCEPT
  84.    $IPT -A FORWARD -i $ILAN -o $IEXT -s 192.168.1.0/24 -p udp --dport 80  -j ACCEPT
  86.    $IPT -A FORWARD -i $IEXT -o $ILAN -d 192.168.1.0/24 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
  87.    $IPT -A FORWARD -i $IEXT -o $ILAN -d 192.168.1.0/24 -p udp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
  90.    #vers le https
  91.    $IPT -A FORWARD -i $ILAN -o $IEXT -s 192.168.1.0/24 -p tcp --dport 443 -j ACCEPT
  92.    $IPT -A FORWARD -i $ILAN -o $IEXT -s 192.168.1.0/24 -p udp --dport 443 -j ACCEPT
  94.    $IPT -A FORWARD -i $IEXT -o $ILAN -d 192.168.1.0/24 -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
  95.    $IPT -A FORWARD -i $IE #TRAVAIL SUR LE LAN : LAN <=> DMZ
  96.    #ssh
  97.    $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24  -p tcp --dport 22 -j ACCEPT
  98.    $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp --sport 22  -j ACCEPT
  99.  
  100.    #postgresql
  101.     $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24  -p tcp --dport 5432 -j ACCEPT
  102.     $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp --sport 5432  -j ACCEPT
  103.     $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24  -p udp --dport 5432 -j ACCEPT
  104.     $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp --sport 5432  -j ACCEPT
  105.  
  106.   #dns
  107.    $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp --dport 53  -j ACCEPT
  108.    $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp --sport 53  -j ACCEPT
  109.    $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp --dport 53  -j ACCEPT
  110.    $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp --sport 53  -j ACCEPT
  111.          
  112.   #openldap
  113.   $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp --dport 389  -j ACCEPT
  114.   $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp --sport 389 -j ACCEPT
  115.   $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp --dport 389  -j ACCEPT
  116.   $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp --sport 389  -j ACCEPT
  119.   #Pour le serveur web dans la dmz
  120.   $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp --dport 80  -j ACCEPT
  121.   $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp --sport 80 -j ACCEPT
  122.   $IPT -A FORWARD -i $ILAN -o $IDMZ -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp --dport 80  -j ACCEPT
  123.   $IPT -A FORWARD -i $IDMZ -o $ILAN -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp --sport 80  -j ACCEPT
  124.  
  126. #MISE EN PALCE DU MASQUERIDING
  127.   $IPT -t nat -A POSTROUTING -o $IEXT -j MASQUERADE
  128.   $IPT -t nat -A POSTROUTING -o $ILAN -j MASQUERADE
  129.   $IPT -t nat -A POSTROUTING -o $IDMZ -j MASQUERADE
  130. XT -o $ILAN -s 192.168.1.0/24 -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
  131.     # SPECIAL RULES  NAT
  132. #    $IPT -t nat -A PREROUTING -p tcp --dport 42 -j DNAT --to 192.168.0.5:22
  133.     $IPT -t nat -A PREROUTING  -p tcp -i $IEXT --dport 8080 -j DNAT --to 192.168.0.6:80
  134. #    $IPT -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to 192.168.0.5
  135. #    $IPT -t nat -A PREROUTING -p udp --dport 4666 -j DNAT --to 192.168.0.5
  136. #    $IPT -t nat -A PREROUTING -p tcp --dport 47624 -j DNAT --to 192.168.0.5
  137. #    $IPT -t nat -A PREROUTING -p udp --dport 47624 -j DNAT --to 192.168.0.5
  138. #    $IPT -t nat -A PREROUTING -p upd --dport 2300:2399 -j DNAT --to 192.168.0.5
  139.    
  140.     # DONE FIREWALLING
  142.        
  143.         ;;
  144.     stop)
  145.         # STOP FIREWALLING
  146.         echo 0 > /proc/sys/net/ipv4/ip_forward
  147.         $IPT -X udpincoming_packets
  148.         $IPT -X tcp_packets
  149.         $IPT -X icmp_packets
  150.        
  151.         $IPT -F
  152.         ;;
  153.     *) 
  154.         echo "Usage: firewall {start|stop}"
  155.         ;;
  156. esac
  158. exit 0


Reply

Marsh Posté le 19-01-2004 à 15:46:27   

Reply

Marsh Posté le 19-01-2004 à 15:49:20    

l'archi reseau est :  
 
{conex externet}------[passerelle/fw]-------[clients-LAN]
                             |
                             |
                             |
                             |
                        [serveurs-DMZ]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed