Bonjour, je viens de mettre en place mon firewall pour ma passerrelle (qui fonctionne a merveille), et j’aurais voulu avoir l’avis d’experts (comme j’ai piqué a gauche et a droite)…
Alors, qu’en pensez vous ?
ps : - wlan0 -> interface connecté a ma livebox
- eth0 -> mon reseau local
- Mes services mis en place sur ma passerelle sont apache 2 (avec ssl), mysql, vsftp (avec ssl).
[code]
************************************************
** Script de configuration d’iptables **
** Cree par Ced le 22/06/2007 **
************************************************
#******************
Mise a zero **
#******************
# Supprime les chaînes de la table filter (INPUT, FORWARD et OUTPUT)
iptables -F
# Supprime les chaînes personnelles de la table filter
iptables -X
#Compteur de Paquets
iptables -Z
# Supprime les chaînes de la table nat (PREROUTING, OUTPUT et POSTROUTI NG)
iptables -t nat -F
# Supprime les chaînes personnelles de la table nat
iptables -t nat -X
# Supprime les chaînes personnelles de la table nat
iptables -t nat -Z
# Supprime les chaînes de la table mangle # -> PREROUTING, OUTPUT, INPUT,$
iptables -t mangle -F
# Supprime les chaînes personnelles de la table mangle
iptables -t mangle -X
#Compteur de Paquets
iptables -t mangle -Z
echo - Vidage : [OK]
#**********************
Regles par default **
#**********************
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo - Default : [OK]
#**************
Regles Nat **
#**************
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
echo - Accept Nat : [OK]
#*****************
Regles Mangle **
#*****************
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
echo - Accept Mangle : [OK]
#********************
Regles localhost **
#********************
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo - Accept lo : [OK]
#**************
Regles Lan **
#**************
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
echo - Accept Lan : [OK]
#**************
Regles Nat **
#**************
iptables -t nat -A POSTROUTING -s 192.169.0.0/255.255.255.0 -o wlan0 -j MASQUERADE
# Lan -> Net ACCEPTED
iptables -A FORWARD -i eth0 -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Net -> Lan ACCEPTED si ESTABLISHED
iptables -A FORWARD -i wlan0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Accept Nat 169 : [OK]
#**************
Regles ssh **
#**************
iptables -A INPUT -p tcp --dport ssh -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o wlan0 -j ACCEPT
echo - Accept ssh : [OK]
#***************
Regles icmp **
#***************
iptables -A INPUT -p icmp -m state --state RELATED -j ACCEPT
echo - Accept icmp : [OK]
#****************
Regles https **
#****************
iptables -A INPUT -p tcp --dport https -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport https -o wlan0 -j ACCEPT
echo - Accept https : [OK]
#***************
Regles http **
#***************
iptables -A INPUT -p tcp --dport http -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport http -o wlan0 -j ACCEPT
echo - Accept http : [OK]
#***************
DNS Local **
#***************
iptables -A OUTPUT -o wlan0 -p udp --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i wlan0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Accept dns : [OK]
#***************
Regles ftp **
#***************
iptables -A INPUT -p tcp --dport 20 -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -o wlan0 -j ACCEPT
echo - Accept ftp : [OK]
iptables -A INPUT -p tcp --dport 21 -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -o wlan0 -j ACCEPT
echo - Accept ftp_data : [OK]
iptables -A INPUT -i wlan0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
#********************
Accept emule **
#********************
iptables -A INPUT -p tcp --dport 4662 -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 4662 -o wlan0 -j ACCEPT
echo - Accept emule-tcp : [OK]
iptables -A INPUT -p tcp --dport 4672 -i wlan0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 4672 -o wlan0 -j ACCEPT
echo - Accept emule-udp : [OK]
#******************
AntiScanPort **
#******************
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
echo - Limit antiscanport : [OK]
#******************
AntiPingDead **
#******************
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo - Accept antipingdead : [OK]
#*********
Log **
#*********
iptables -t filter -A INPUT -j LOG
echo - Accept Log : [OK][/code]
Voili voila voilou, lachez vous, je prendrais toutes idées et modifications en compte… 
Merci
ced
, elle a l’air sympa et utile) :