Bonsoir la liste, Depuis que j'ai changé mon script de firewalling, plus moyen que ca marche correctement...
Symptomes: * Super dur d'avoir la connection ADSL au boot * Kazaa ne fonctionne plus ... * Les services types Messenger et compagnie fonctionne 5 minutes puis finnisse par tomber !!! Et tout ca remarche super bien si je fait un /etc/initd/init_fw stop.... Bon je pourrais faire sans, mais le nombre de tentatives de connections externes dans mes logs me dit que non :-)) Ca fait deux jours que je suis dessus mais j'ai du louper un truc là.... Ci-joint le script FW ipchains pour une patate... Les critiques sont aussi les bienvenues (non pas sur la tete !!!!). ------------------------------------------------------------------------ ------- #!/bin/sh # Firewall rules generated by hlfl ipchains="/sbin/ipchains" $ipchains -F $ipchains -X $ipchains -P input DENY $ipchains -P forward DENY $ipchains -P output DENY # Some [EMAIL PROTECTED] ports # # Start of firewalling script # # #===================================================================== # Allow all loopback connections #===================================================================== $ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 -p all -j ACCEPT -i lo $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p all -j ACCEPT -i lo # # #===================================================================== # Masquerading for use internet on lan #===================================================================== $ipchains -A forward -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ # # #===================================================================== # Accept everything on the lan link #===================================================================== $ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 -p all -j ACCEPT -i eth1 $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p all -j ACCEPT -i eth1 # # #===================================================================== # Deny incomming with src @ from lan on net interface # Anti-Spoof #===================================================================== $ipchains -A input -s 192.168.0.0/24 -d 0.0.0.0/0 -p all -j DENY -i ppp0 # # #===================================================================== # Deny all private class src @ comming/outgoing on net interface # Anti-Spoof # Not sure of that ;-) #===================================================================== $ipchains -A output -s 0.0.0.0/0 -d 10.0.0.0/8 -p all -j REJECT -i ppp0 $ipchains -A output -s 0.0.0.0/0 -d 127.0.0.0/8 -p all -j REJECT -i ppp0 $ipchains -A output -s 0.0.0.0/0 -d 172.16.0.0/12 -p all -j REJECT -i ppp0 $ipchains -A output -s 0.0.0.0/0 -d 192.168.0.0/16 -p all -j REJECT -i ppp0 $ipchains -A output -s 10.0.0.0/8 -d 0.0.0.0/0 -p all -j REJECT -i ppp0 $ipchains -A output -s 127.0.0.0/8 -d 0.0.0.0/0 -p all -j REJECT -i ppp0 $ipchains -A output -s 172.16.0.0/12 -d 0.0.0.0/0 -p all -j REJECT -i ppp0 $ipchains -A output -s 192.168.0.0/16 -d 0.0.0.0/0 -p all -j REJECT -i ppp0 # # #===================================================================== # Accept DNS (53 or >1024 towards 53 via udp) #===================================================================== # (warning. A stateful firewall would be better here) $ipchains -A output -s 0.0.0.0/0 53 -d 0.0.0.0/0 53 -p udp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 53 -d 0.0.0.0/0 53 -p udp -j ACCEPT -i ppp0 # (warning. A stateful firewall would be better here) $ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 53 -p udp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 53 -d 0.0.0.0/0 1025:65535 -p udp -j ACCEPT -i ppp0 # # #===================================================================== # accept DHCP via UDP and TCP #===================================================================== # (warning. A stateful firewall would be better here) $ipchains -A output -s 0.0.0.0/0 68 -d 0.0.0.0/0 67 -p udp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 67 -d 0.0.0.0/0 68 -p udp -j ACCEPT -i ppp0 $ipchains -A output -s 0.0.0.0/0 68 -d 0.0.0.0/0 67 -p tcp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 67 -d 0.0.0.0/0 68 -p tcp -y -j DENY -i ppp0 $ipchains -A input -s 0.0.0.0/0 67 -d 0.0.0.0/0 68 -p tcp -j ACCEPT -i ppp0 # # #===================================================================== # accept UDP communications between high ports # Do not run services above UDP 1024 !!! or comment this #===================================================================== # (warning. A stateful firewall would be better here) $ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p udp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p udp -j ACCEPT -i ppp0 # # #===================================================================== # Accept ssh connections to firewall # ssh clients uses ports in range 1020-* #===================================================================== $ipchains --syn --log -A input -p tcp -s 0.0.0.0/0 1020: -d 0.0.0.0/0 22 -i ppp0 -j ACCEPT $ipchains -A input -s 0.0.0.0/0 1020:65535 -d 0.0.0.0/0 22 -p tcp -j ACCEPT -i ppp0 $ipchains -A output -s 0.0.0.0/0 22 -d 0.0.0.0/0 1020:65535 -p tcp -y -j DENY -i ppp0 $ipchains -A output -s 0.0.0.0/0 22 -d 0.0.0.0/0 1020:65535 -p tcp -j ACCEPT -i ppp0 # # #===================================================================== # Accept ftp connections to firewall # Passive and log init # Active FTP : # command : client >1024 -> server 21 # data : client >1024 <- server 20 # # Passive FTP : # command : client >1024 -> server 21 # data : client >1024 -> server >1024 #===================================================================== $ipchains --syn --log -A input -p tcp -s 0.0.0.0/0 1024:65535 -d 0.0.0.0/0 21 -i ppp0 -j ACCEPT $ipchains -A input -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 21 -p tcp -j ACCEPT -i ppp0 $ipchains -A output -s 0.0.0.0/0 21 -d 0.0.0.0/0 1025:65535 -p tcp -y -j DENY -i ppp0 $ipchains -A output -s 0.0.0.0/0 21 -d 0.0.0.0/0 1025:65535 -p tcp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p tcp -j ACCEPT -i ppp0 $ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p tcp -y -j DENY -i ppp0 $ipchains -A output -s 0.0.0.0/0 1025:65535 -d 0.0.0.0/0 1025:65535 -p tcp -j ACCEPT -i ppp0 # # #===================================================================== # Reject all external conexion to rpc/pormapper # Do not try to use NFS on internet ;-) #===================================================================== $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 111 -p tcp -j DENY -i ppp0 $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 111 -p udp -j DENY -i ppp0 # # #===================================================================== # Reject auth incomming on lan interface #===================================================================== $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 113 -p tcp -j DENY -i ppp0 # # #===================================================================== # Accept kazaa connections #===================================================================== $ipchains -A output -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p tcp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p tcp -j ACCEPT -i ppp0 $ipchains -A output -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p udp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 1214 -d 0.0.0.0/0 1214 -p udp -j ACCEPT -i ppp0 # # #===================================================================== # Accept local side established TCP #===================================================================== $ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -y -j DENY -i ppp0 $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p tcp -j ACCEPT -i ppp0 # # #===================================================================== # Set up rights to use local ping (answer to your pings only) #===================================================================== $ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 --icmp-type echo-request -p icmp -j ACCEPT -i ppp0 $ipchains -A input -s 0.0.0.0/0 --icmp-type echo-reply -d 0.0.0.0/0 -p icmp -j ACCEPT -i ppp0 $ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 --icmp-type destination-unreachable -p icmp -j ACCEPT $ipchains -A input -s 0.0.0.0/0 --icmp-type destination-unreachable -d 0.0.0.0/0 -p icmp -j ACCEPT # # #===================================================================== # Drop all packets that left on net interface #===================================================================== $ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -p all -j DENY -i ppp0 # # # End of firewalling script ___________________________________________________________ Do You Yahoo!? -- Une adresse @yahoo.fr gratuite et en français ! Yahoo! Mail : http://fr.mail.yahoo.comm -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]