ok voila l 'entierete de mon parefeu:
#! /bin/sh
#chkconfig: 2345 55 57
#source function library.
. /etc/rc.d/init.d/functions
SYSCONF_FILE=/var/lock/subsys/parefeu
# See how we were called.
case "$1" in
start)
gprintf "Starting parefeu : "
# ajoute tes commandes ici...
# Activation de la protection contre le spoofing
# et le syn flood ( Normalement deja fait dans /etc/network/options )
echo -n 1 > /proc/sys/net/ipv4/tcp_syncookies
echo -n 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Effacement des anciens parametres d Iptable table filter ok!
iptables -t filter -F
iptables -t filter -X
# Interdition totale de l'acces à internet table filter ok!
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Effacement des anciens parametres d Iptable table nat
iptables -t nat -F
iptables -t nat -X
# Activation de la table nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Effacement des anciens parametres d Iptable table mangle
iptables -t mangle -F
iptables -t mangle -X
# Activation de la table mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
# Mise en log des drop de tentative de connection
iptables -N LOG_DROP
iptables -t filter -A INPUT -j LOG --log-prefix "intrusion : "
iptables -A LOG_DROP -j DROP
# Autorisation à l'acces NTP heure
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 123 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 123 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 123 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 123 -j ACCEPT
# Autorisation à l'acces DNS ok!
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
# Autorisation des ports 80 (http) et 443 (https) ok!
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 443 -j ACCEPT
# Autorisation des ports de courrier 25 (smtp) et 110 (pop3) ok!
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 25 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 25 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 110 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 110 -j ACCEPT
# Autorisation de ne laisser passer les paquets ip qui sont en réponse à ceux de la machine.A CONTROLER PAS SUR QUE CELA MARCHE
iptables -A OUTPUT -o ppp0 -s 127.0.0.1 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -s 0.0.0.0/0 -d 127.0.0.1 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
# Autorisation d utiliser du ftp ok!
modprobe ip_conntrack_ftp
# Pour que la connexion puisse s'établir
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
# Pour que serveur puisse établir la connexion pour les données (en mode actif).
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
# Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi ip_conntrack_ftp est nécessaire. Besoin d'avoir fait en ligne de commande modprobe ip_conntrack_ftp
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autorisation d utiliser du msn ok!
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 1863 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 1863 -j ACCEPT
# Autorisation à l'acces Enemy territory (http://alphacore.net/spip/article.php3?id_article=82) ok!
iptables -t filter -A OUTPUT -o ppp0 -p tcp --dport 27660:27999 -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -p udp --dport 27660:27999 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp --sport 27660:27999 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p udp --sport 27660:27999 -j ACCEPT
# On autorise le protocol ICMP vers internet depuis la machine ce qui permet de pinguer l'extérieur sans pouvoir être pinguer
iptables -t filter -A INPUT -i ppp0 -m state --state ESTABLISHED -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p icmp -j ACCEPT
echo_success
echo
touch $SYSCONF_FILE
;;
stop)
gprintf "Disabling numlocks on ttys: "
# ajoute tes commandes ici...
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
echo_success
echo
rm -f $SYSCONF_FILE
;;
status)
if [ -f $SYSCONF_FILE ]
then
gprintf "parefeu is enabled\n"
else
gprintf "parefeu is disabled\n"
fi
;;
restart)
$0 stop
$0 start
;;
reload)
gprintf "Reloading parefeu: "
$0 start
echo
;;
*)
gprintf "Usage: %s {start|stop|restart|reload|status}\n" "$0"
exit 1
esac
exit 0
Donc là en console quand je fais : service parefeu start
cela me dit : starting parefeu [OK]
et quand je fais :service parefeu stop
cela me dit : Désactivation du verrouillage numérique sur les consoles ttys: [ OK ]
Maintenant des que le parefu est actif et qu il stop des intrusions que je peux voir dans : cat /var/log/messages, je peux difficilement ouvrir mon arborescence en tant que user . De temps en temps je peux ouvrir les repertoires en mode graphique des fois non. Par contre en mode console ca va.
quelqu un a t il une idee et j espere avoir mieux parler la france.
;-)
@
Poste le Monday 30 May 2005 06:20:08