Re: Script firewall au =?iso-8859-1?B?ZOlt?= =?iso-8859-1?Q?arrage?=

Sat, 14 May 2005 10:10:23 -0700 

Troumad a écrit, samedi 14 mai 2005, à 18:38 :
> Jacques L'helgoualc'h a écrit :
> >guillaume a écrit, samedi 14 mai 2005, à 17:30 :
[citations inutiles]

> #!/bin/sh
[...]
> # Pour simplifier une modification éventuelle des cartes réseaux
> LOCAL="eth0"
> NET="eth1"

# J'ai préféré mettre le fichier de configuration (plus long) à part

# définitions de variables
DEFS="/etc/network/fw.conf"
if [ -f "$DEFS" ] ; then
    source $DEFS
else
    echo "$0 : fichier de configuration $DEFS manquant..." >&2
    exit 1
fi

version="$(uname -r)"
case "$version" in
    2.2.*)
        source /etc/init.d/fw-2.2.sh
        ;;
    2.4.*)
        source /etc/init.d/fw-2.4.sh
        ;;
    *)
        echo "erreur de version, noyau $version"
        exit 1
esac

> case "$1" in
>    start)
>      Ton script

à voir ...

>    stop)
>       echo "Arret du mur de feu"
>       # On vide (flush) toutes les regle existantes
>       $ipt -F
>       $ipt -X
>
>       # On remet la police par defaut
>       $ipt -P INPUT ACCEPT
>       $ipt -P FORWARD ACCEPT
>       $ipt -P OUTPUT ACCEPT

$iptables -F
$iptables -t nat -F
$iptables -t mangle -F

$iptables -X
$iptables -t nat -X
$iptables -t mangle -X

$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
$iptables -t nat -P PREROUTING ACCEPT
$iptables -t nat -P POSTROUTING ACCEPT
$iptables -t nat -P OUTPUT ACCEPT

$iptables -A OUTPUT -o lo -j ACCEPT
$iptables -A INPUT  -i lo -j ACCEPT

# Un bon firewall arrêté est un firewall *fermé*,
# je suis laxiste, je laisse le loopback ouvert.

>       ;;
> 
>    restart)
[...]
> + le mettre dans les /etc/rcX.d :
> 
> # ll /etc/rc1.d/
> [...]
> lrwxrwxrwx  1 root root 20 avr 16 21:41 K90firewall -> /etc/init.d/firewall*
> [...]
> #ll /etc/rc2.d/
> [...]
> lrwxrwxrwx  1 root root 20 avr 16 21:42 S10firewall -> /etc/init.d/firewall*
> [...]

Je préfère démarrer avant le réseau, dans rcS.d, et ne jamais l'ouvrir ;
là, avec ta définition de stop),  la machine serait ouverte à tous vents
en mode single ...
-- 
Jacques L'helgoualc'h


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Répondre à