[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]
Re: ipchains --- Pour un spécialiste
- To:
- Subject: Re: ipchains --- Pour un spécialiste
- From: Jean-Marc Beaudoin <>
- Date: Wed, 5 Apr 2000 15:52:30 -0400
-
In-reply-to: <[email protected]>
Bonjour,
En me documentant, j'ai pu écrire ce petit script (avec l'aide de mon
bouquin Linux Unleashed).
Quelqu'un d'entre-vous (spécialiste) peut-t'il me confirmer que ce
script est valide?
Merci....à l'avance...
#!/bin/sh
#
# Script qui active les règles du garde barrière
# Jean-marc Beaudoin, T.P.
# Avril 2000
#
# Désactiver le suivi des paquets
echo 0 > /proc/sys/net/ipv4/ip_forward
# Purger toutes les règles
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
# Par défaut, on refuse tout accès
/sbin/ipchains -P input DENY
/sbin/ipchains -P output DENY
/sbin/ipchains -P forward DENY
# Accepter n'importe quoi du/vers l'hôte local
/sbin/ipchains -A input -j ACCEPT -p all -s localhost -d localhost \
-i lo
# Accepter tous les paquets en direction de l'extérieur (123.123.123.1
est fictif)
/sbin/ipchains -A output -j ACCEPT -p all -s 123.123.123.1 -d 0.0.0.0 \
-i eth0
# Accepter les destination-unreachable (icmp de type 3)
/sbin/ipchains -A input -j ACCEPT -p icmp -s 0.0.0.0 -d 123.123.123.1 \
-i eth0 -icmp-type destination-unreachable
# Les règles de bases ont été établies pour créer un garde
# barrière le plus restrictif possible.
#
# Se servir de cette section pour personnaliser les accès spéciaux
#
# format : /sbin/ipchains -A chaîne -j action -p protocole -s source
# -d destination
#
# -- Réseau Local OK -- (assumant un réseau local de 32 ip successifs)
/sbin/ipchains -A input -j ACCEPT -s 123.123.123.1/32 -d 123.123.123.1 \
-p all
# -- Service nntp OK -- (cette machine roule un serveur de niouzes
local visible
# de l'internet)
/sbin/ipchains -A input -j ACCEPT -s 0.0.0.0 -d 123.123.123.1 \
-p tcp nntp
#
# Une fois toutes les règles établies, on active la journalisation
# des événements.
#
/sbin/ipchains -A input -j DENY -l
/sbin/ipchains -A output -j DENY -l
/sbin/ipchains -A forward -j DENY -l
# Avant de quitter, on réactive le suivi des paquets
echo 1 > /proc/sys/net/ipv4/ip_forward
!!!!!
===oOOo=== o o ===oOOo=====
( + )
-
Unix est aujourd'hui ce que
Windows 2018 rêve d'être...
===========================