Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- ### BEGIN INIT INFO
- # Provides: firewall
- # Required-Start: $remote_fs $syslog
- # Required-Stop: $remote_fs $syslog
- # Default-Start: 2 3 4 5
- # Default-Stop: 0 1 6
- # Short-Description: Start daemon at boot time
- # Description: Enable service provided by daemon.
- ### END INIT INFO
- #!/bin/sh
- # On remet le FIREWALL a zéro
- iptables -F
- iptables -X
- # On bloque tout par defaut en mettant la politique par défaut à DROP
- # Revient au même que d'écrire une régle DROP à la fin de toutes les régles
- iptables -P INPUT DROP
- iptables -P OUTPUT DROP
- iptables -P FORWARD DROP
- # On accepte tout le traffic sur l'interface locale
- iptables -A INPUT -i lo -j ACCEPT
- iptables -A OUTPUT -o lo -j ACCEPT
- # On accepte tout le traffic qui est déja établi
- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- #anti-scan de ports
- iptables -A FORWARD -p tcp -i eth0 --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
- #Autoriser tous les ports en sortie pour utliser transmission-daemon
- iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
- # On autorise les prémiers paquets des connexions, marche pas avec transmission-daemon
- #iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp --dport 8080 --syn -j ACCEPT
- #iptables -A OUTPUT -m state --state NEW -o eth0 -p udp --dport 53 -j ACCEPT
- # Autoriser le WEB , le DNS, TORRENT, SSH, TRANSMISSION, MAIL, VPN vers le serveur
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 80 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 22 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 9987 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 9987 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 9988 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 9988 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 9989 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 9989 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 27115 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 27115 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 110 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 81 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 143 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 162 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 79 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 111 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 1 --syn -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 1 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 69 -j ACCEPT
- iptables -A INPUT -m state --state NEW -i eth0 -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "IPTables : " --log-level 7
- iptables -A INPUT -m state --state NEW -i eth0 -p udp --dport 27115 -j LOG --log-prefix "IPTables : " --log-level 7
- # DMA Monitoring Dedibox
- #iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p tcp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A INPUT -i eth0 -s 88.191.254.0/24 -p udp --dport 161 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p tcp --sport 161 -m state --state ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -d 88.191.254.0/24 -p udp --sport 161 -m state --state ESTABLISHED -j ACCEPT
- #Création d'une nouvelle chaine
- iptables -N PING
- #Creation de la chaine qui drop les paquets,2 regles une pour loger l'autre pour droper
- #iptables -N log_n_drop
- #iptables -A log_n_drop -j LOG --log-prefix '[paquet rejete]:'
- #iptables -A log_n_drop -j DROP
- #Creer une chaine qui interdit l'usage des adresses RFC 1919 et qui log
- #iptables -N RFC
- #iptables -A RFC -s 10.0.0.0/8 -j log_n_drop
- #iptables -A RFC -s 192.168.0.0/16 -j log_n_drop
- #iptables -A RFC -s 172.16.0.0/12 -j log_n_drop
- #Une regle qui redirige dans la chaine RFC si le paquet vient de l'interface externe
- #iptables -A INPUT -i eth0 -j RFC
- #Une regle qui nat toutes les requetes venant de l'interne
- #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- #Ajout de règles dans la chaîne PING pour autoriser l'echo resquest et l'echo reply (ping)
- iptables -A PING -m state --state NEW -p icmp --icmp-type 0 -j ACCEPT
- iptables -A PING -m state --state NEW -p icmp --icmp-type 8 -j ACCEPT
- # Appel de la chaîne PING depuis les chaines INPUT et OUTPUT
- iptables -A INPUT -p icmp -j PING
- iptables -A OUTPUT -p icmp -j PING
- # Ouverture du torrent
- #iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp --dport 6881 --syn -j ACCEPT
- # Ajout d'une réle de NAT
- #iptables -t nat -A POSTROUTING -o eth1 -j MASQUERAD
- #Bloquer le ping depuis le net
- #iptables -A INPUT -p icmp -i eth0 --icmp-type echo-reply -j DROP
- #iptables -A INPUT -p icmp -i eth0 --icmp-type echo-request -j DROP
- #iptables -A INPUT -p icmp -i eth0 --icmp-type source-quench -j DROP
- #iptables -A INPUT -p icmp -i eth0 --icmp-type destination-unreachable -j DROP
- #iptables -A INPUT -p icmp -i eth0 --icmp-type time-exceeded -j DROP
- #iptables -A INPUT -p icmp -i eth0 --icmp-type parameter-problem -j DROP
- #Blocage de certaines port lors d'un scan
- #iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
- #iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
- #iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
- #iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
- iptables -I INPUT -d 5.196.242.78 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
- # bittorrent trackers Drop
- # # tracker.prq.to
- #iptables -A INPUT -d 85.17.80.0/24 -j DROP
- # # tracker.openbittorrent.com
- #iptables -A INPUT -d 188.126.64.0/24 -j DROP
- # # free.btr.kz
- #iptables -A INPUT -d 195.210.47.0/24 -j DROP
- # # tracker.mightynova.com
- #iptables -A INPUT -d 209.50.48.0/24 -j DROP
- # # tracker.torrentbay.to
- #iptables -A INPUT -d 94.228.210.0/24 -j DROP
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement