NETFILTER/IPTABLES
J'ai commençé posés mes première règles de filtrage il y a 3 ans, sous IPCHAINS, depuis l'aventure continue.
Au bout d'un an, je m'interrogeais sur l'utilité de passer a NETFILTER, je commençais alors a vouloir faire des
redirections vers un serveur interne.
Finalement, le choix de NETFILTER est devenu flagrant (enfin pour moi):
a) Gestion simple du SNAT & DNAT (manipulation d'adresse source et cible)
b) Simplification et optimisation de la table FILTER (filtrage de base)
multiples match en plus, simplification du forward etc..
c) Utilisation de la table MANGLE (altération des paquets)
possibilité de marquer les paquets, de modifier tel ou tel champs ex: TTL,champs options d'IP etc..
d) Les possibilités du PATCH-O-MATIC (multiples extension pour les 3 tables çi-dessus)
encore + de match et de target (il y a tellement de chose possible que je m'y perd)
e) Dynamique du projet ( évolution dans differente direction, vive l'exotisme :))
multiples documentation officiel et non officiel, meme sur les possibilités "expérimental, évolution rapide selon des
besoins spécifiques.
f) La possibilité de mise en place de "PONT FILTRANT ( patch + bridge-utils + iptables/ebtables)
cerise sur le gateau :)
g) Gestion des logs + efficaces, surtout avec les extensions
Possibiliter de prefixer les logs, limite temporelle, envoie en userspace etc..
h) de nombreuses choses encore..
#!/bin/bash
### FIREWALL DE BASE ###
# interface" firewallé"
PPP=eth1
# chemin de l'executable
IPTABLES=/usr/local/sbin/./iptables
# ports non privilégiés
UP=1024:65535
modprobe 3c*
ifconfig eth0 192.168.0.1
ifconfig eth1 192.168.1.1
case "$1" in
start)
#chargement des modules de nat & conntrack ftp (sinon chez moi ça ne marche pas (le chargement n'est pas auto..))
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
# POLITIQUE LAXISTE POUR LA RELANCE DU FIREWALL (sur 2 tables:filter & nat)
######### REINITIALISATION DU FIREWALL #########
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -t nat -X
######### VARIABLE PROC #########
# --------------------------------------------------------
if [ -f /lib/modules/`uname -r `/kernel/net/ipv4/netfilter/ipt_string.o ] ; then
$IPTABLES -A INPUT -i $PPP -p tcp --dport 80 -m string --string ".exe" -j DROP
fi
# activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# pas de ICMP
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/netfilter ] ; then
for i in /proc/sys/net/ipv4/netfilter/ip_ct_tcp_log_*; do
echo 0 > $i;
done
fi
if [ -f /proc/sys/net/ipv4/conf/all/accept_source_route ] ; then
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $i;
done
fi
if [ -f /proc/sys/net/ipv4/conf/all/log_martians ] ; then
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
fi
# ---------------------------------------------------------
# politique par défault des chaines (je laisse la chaine OUTPUT sans restrictions est ce une bonne idée??)
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
######### REGLES LOCAL #########
# accepte loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --fragment -m limit -j LOG --log-prefix "--=<*FRAGMENT_ICMP*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --fragment -j DROP
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type source-quench -m limit -j LOG --log-prefix "--=<*SOURCE_QUENCH*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type source-quench -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type parameter-problem -m limit -j LOG --log-prefix "--=<*PARAM_PROBLEM*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type parameter-problem -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type destination-unreachable -m limit -j LOG --log-prefix "--=<*DEST_UNREACHABLE*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type fragmentation-needed -m limit -j LOG --log-prefix "--=<*FRAG_NEEDED*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type fragmentation-needed -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-request -m limit --limit-burst 10 -j LOG --log-prefix "--=<*ECHO_REQUEST*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-reply -m limit -j LOG --log-prefix "--=<*ECHO_REPLY*>==--"
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT
# accepte les connexion ssh externe sur le port 23
$IPTABLES -A INPUT -i eth1 -p tcp --sport $UP --dport 23 -m state --state NEW -j LOG --log-prefix ">--====-<"
$IPTABLES -A INPUT -i eth1 -p tcp --sport $UP --dport 23 -j ACCEPT
# accepte les connexion ssh interne sur le port 23
$IPTABLES -A INPUT -p tcp --dport 23 -m state --state NEW -j LOG --log-prefix @@_SSH_LOCAL_@@
$IPTABLES -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
# accepte les connexion sortante ssh interne
$IPTABLES -A INPUT -i eth0 -p tcp --sport 22 -m state --state NEW -j LOG --log-prefix "--==<*SSH_LOCAL_SORTANT*>==--"
$IPTABLES -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p icmp -j ACCEPT
# webmin
$IPTABLES -A INPUT -p tcp --dport 443 -j LOG --log-prefix @@_WEBMIN_@@
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p udp --sport 514 -j ACCEPT
######### REGLES INTERNE #########
# ------------------------------------------------------------
#$IPTABLES -A FORWARD -i $PPP -s 192.168.0.0/16 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 172.16.0.0/12 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 10.0.0.0/8 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 127.0.0.0/8 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 224.0.0.0/4 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 240.0.0.0/5 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 255.255.255.255 -j DROP
$IPTABLES -A FORWARD -i $PPP -s 0.0.0.0 -j DROP
# -----------------------------------------------------------------------
# chaines utilisateur
$IPTABLES -N inter-intra
$IPTABLES -N intra-inter
# ----------------------------------------------------------------------
$IPTABLES -A FORWARD -m state --state INVALID -j LOG --log-prefix "--==<*INVALID*>==--"
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
# ----------------------------------------------------------------------
$IPTABLES -A FORWARD -i $PPP -o eth0 -m state --state ESTABLISHED,RELATED -j inter-intra
$IPTABLES -A FORWARD -o $PPP -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j intra-inter
# ----------------------------------------------------------------------
# elimine les paquets ayant tous les flags TCP activés ainsi que n'ayant
#aucuns flags d'activés (nmap)
#$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN RST,ACK -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ACK,URG URG -j LOG --log-prefix "--====--"
$IPTABLES -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "--==<*ALL_ALL*>==--"
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "--==<*ALL_NONE*>==--"
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
# ------------------------------------------------------------
$IPTABLES -A intra-inter -p tcp --dport 20 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 21 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 22 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 25 -j ACCEPT
$IPTABLES -A intra-inter -p udp --dport 53 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 53 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 110 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 443 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 6667 -j ACCEPT
$IPTABLES -A intra-inter -p tcp --dport 80 -j ACCEPT
$IPTABLES -A intra-inter -p icmp -j ACCEPT
$IPTABLES -A intra-inter -p udp -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 20 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 21 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 22 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 25 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 53 -j ACCEPT
$IPTABLES -A inter-intra -p udp --sport 53 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 110 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 443 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 6667 -j ACCEPT
$IPTABLES -A inter-intra -p tcp --sport 80 -j ACCEPT
$IPTABLES -A inter-intra -p icmp -j ACCEPT
$IPTABLES -A inter-intra -p udp -j ACCEPT
# ------------------------------------------------------------
######### REDIRECTION DU PROXY SQUID #########
#les paquets venant du reseau local (sauf le proxy) a destination du port 80 sont routés vers le proxy
$IPTABLES -t nat -A PREROUTING -i eth0 -s ! 192.168.0.3 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:3128
#les paquets sortant par l'interface 192.168.0.1, venant du reseau local a destination du proxy, prennent l'adresse entrante du firewall (192.168.0.1)
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d 192.168.0.3 -j SNAT --to-source 192.168.0.1
#les paquets entrant et sortant par l'interface 192.168.0.1, a destination du proxy, port 3128 sont acceptés.
$IPTABLES -A FORWARD -i eth0 -o eth0 -p tcp -s 192.168.0.0/24 -d 192.168.0.3 --dport 3128 -j ACCEPT
#les paquets entrant et sortant par l'interface 192.168.0.1, a destination du reseau local et venant du proxy (port 3128) sont acceptés.
$IPTABLES -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.0/24 -s 192.168.0.3 --sport 3128 -j ACCEPT
# ------------------------------------------------------------
######### REGLES DE TRADUCTION D'ADRESSE #########
$IPTABLES -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to-source 192.168.1.1
#$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
######### REGLES EXTERNE / SERVICES INTERNET #########
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur www
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 80 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_HTTP*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur FTP COMMAND
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 21 -m state --state NEW -m limit -j LOG --log-prefix "--==<*CONNEX_FTP*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 21 -j DNAT --to-destination 192.168.0.3:21
# ------------------------------------------------------------------------------
# le gros morceaux, je reviendrais dessus
# accepte le FTP ACTIF & PASSIF
# chaine pour la redirection du serveur FTP DATA
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --sport $UP --dport $UP -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --dport $UP --sport $UP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --sport $UP --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --dport $UP --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
# la règle si dessous bloque les règles tcp suivantes???
# je la commente, pourtant le ftp passif fonctionne quand meme!
#$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport $UP -j DNAT --to-destination 192.168.0.3:$UP
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 20 -j DNAT --to-destination 192.168.0.3:20
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur SSH
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_SSH_INT*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 22 -j DNAT --to-destination 192.168.0.3:22
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur SMB
#$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 139 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_SMB*>==--"
#$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 139 -j DNAT --to-destination 192.168.0.3:139
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur WEBMIN
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 10000 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_WEBMIN*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 10000 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 10000 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 10000 -j DNAT --to-destination 192.168.0.3:10000
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur SMTP
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 25 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_SMTP*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 25 -j DNAT --to-destination 192.168.0.3:25
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur NTP
$IPTABLES -A FORWARD -i $PPP -o eth0 -p udp --dport 123 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_NTP*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p udp --sport 123 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p udp --dport 123 -j DNAT --to-destination 192.168.0.3:123
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur IRC
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 6667 -m state --state NEW -j LOG --log-prefix "--==<*CONNEX_IRC*>==--"
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 6667 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 6667 -j DNAT --to-destination 192.168.0.3:6667
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur MLDONKEY
$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 4662 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 4662 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.3:4662
# ------------------------------------------------------------------------------
# chaine pour la redirection de MLDONKEY
$IPTABLES -A FORWARD -i $PPP -o eth0 -p udp --dport 4666 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -o $PPP -i eth0 -p udp --sport 4666 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $PPP -p udp --dport 4666 -j DNAT --to-destination 192.168.0.3:4666
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur VNC
#$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 5802 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 5802 -m state --state ESTABLISHED -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 5802 -j DNAT --to-destination 192.168.0.3:5802
# ------------------------------------------------------------------------------
# chaine pour la redirection du serveur VNC
#$IPTABLES -A FORWARD -i $PPP -o eth0 -p tcp --dport 5902 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPTABLES -A FORWARD -o $PPP -i eth0 -p tcp --sport 5902 -m state --state ESTABLISHED -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i $PPP -p tcp --dport 5902 -j DNAT --to-destination 192.168.0.3:5902
;;
stop)
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -t nat -X
;;
status)
$IPTABLES -L -n -v -x
;;
*)
echo recommence petit scarabé
exit
esac
######################## FIN DU FIREWALL ######################