« LINUX:Firewall » : différence entre les versions

← Modification précédente Modification suivante →

@@ Ligne 234 : / Ligne 234 : @@
+----
+ # '''INPUT'''
+ # refus d'accès d'Internet
+ -A INPUT -i enp0s25 -j DROP
+ -A INPUT -i ppp0    -j DROP
+ # accès venant du LAN correspondant à l'interface
+ # SSH : seule une machine du LAN n°1 peut accéder au routeur via SSH
+ -A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -s 192.168.1.2 -j ACCEPT
+ # le reste du trafic interne est bloqué
+ -A INPUT -i enp4s0 -j DROP
+ -A INPUT -i enp4s2 -j DROP
+ # '''OUTPUT'''
+ # Accès vers Internet
+ # DNS
+ -A OUTPUT -o ppp0 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
+ -A OUTPUT -o ppp0 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
+ # DNF
+ -A OUTPUT -o ppp0 -p tcp -m tcp --dport 80  -m conntrack --ctstate NEW -j ACCEPT
+ -A OUTPUT -o ppp0 -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
+ -A OUTPUT -o ppp0 -p tcp -m tcp --dport 21  -m conntrack --ctstate NEW -j ACCEPT
+ # NTP
+ -A OUTPUT -o ppp0 -p tcp -m tcp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
+ -A OUTPUT -o ppp0 -p udp -m udp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
+ # le reste du trafic est bloqué
+ -A OUTPUT -j DROP
+ # '''FORWARD'''
+# accès entre LANs privés
+# SSH du LAN 1 vers LAN 2
+-A FORWARD -i enp4s0 -o enp4s2 -s 192.168.1.2 -d 192.168.2.0/24 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
+# HTTP (serveur WEB)
+-A FORWARD -d 192.168.2.2 -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
+# restrictions LAN 2
+# DNS
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
+# NTP
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p tcp -m tcp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p udp -m udp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
+# DNF
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p tcp -m tcp --dport 80  -m conntrack --ctstate NEW -j ACCEPT
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
+-A FORWARD -i enp4s2 -o ppp0 -s 192.168.2.0/24 -p tcp -m tcp --dport 21  -m conntrack --ctstate NEW -j ACCEPT
+#
+-A FORWARD -i enp4s0  -o enp4s2  -j DROP
+-A FORWARD -i enp4s2  -o enp4s0  -j DROP
+# accès des LANs privés vers Internet
+-A FORWARD -i enp4s2  -o enp0s25 -j DROP
+-A FORWARD -i enp4s2  -o ppp0    -j DROP
+-A FORWARD -i enp4s0  -o enp0s25 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
+-A FORWARD -i enp4s0  -o ppp0    -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
+# refus d'accès d'Internet vers les LANs privés
+-A FORWARD -i enp0s25 -o enp4s0 -j DROP
+-A FORWARD -i enp0s25 -o enp4s2 -j DROP
+-A FORWARD -i ppp0    -o enp4s0 -j DROP
+-A FORWARD -i ppp0    -o enp4s2 -j DROP
+----

« LINUX:Firewall » : différence entre les versions

« LINUX:Firewall » : différence entre les versions