Stages chez Proxience

Outils pour utilisateurs

Outils du site

Piste:
anthony_messe:banana_pi:iptables_ipv4_classe_a

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
anthony_messe:banana_pi:iptables_ipv4_classe_a [2018/05/16 09:16]
Anthony Messé 		anthony_messe:banana_pi:iptables_ipv4_classe_a [2018/06/12 13:29] (Version actuelle)
Anthony Messé
Ligne 1: Ligne 1:
-Lien vers l'[[anthony_messe:​anthony_messe|accueil]]+Lien vers [[anthony_messe:​anthony_messe|l'accueil]]
  
 ====== Redirection du trafic avec iptables pour une classe A IPv4 ====== ====== Redirection du trafic avec iptables pour une classe A IPv4 ======
 +
 +Tor ne supporte pas le protocole UDP, excepté les requêtes DNS sur un port spécialement créé pour cela par le service Tor.
  
 ===== Rediriger uniquement le trafic de l'​interface wifi ===== ===== Rediriger uniquement le trafic de l'​interface wifi =====
Ligne 10: Ligne 12:
 Placez-y le code ci-dessous Placez-y le code ci-dessous
 > ctrl + c pour copier et ctrl + maj + v pour coller dans nano dans un terminal > ctrl + c pour copier et ctrl + maj + v pour coller dans nano dans un terminal
- 
-==== Script court en policy accept ==== 
- 
-<​code=bash>​ 
-#!/bin/sh 
-#Variables 
-_trans_port="​9040"​ 
-_dns_port="​5353"​ 
-_interface_wifi="​wlx503eaa3d7d6c"​ 
-#Adresse du router (adresse de la machine ayant le point d'​accès wifi) 
-_router="​10.255.255.254"​ 
-_reseau_wifi="​10.0.0.0/​8"​ 
-#Adresse dont on empêche l'​accès 
-_unreachable="​192.168.200.0/​24"​ 
-#On efface toutes les règles iptables 
-iptables -F 
-iptables -X 
-iptables -t nat -F 
-iptables -t nat -X 
-iptables -t mangle -F 
-iptables -t mangle -X 
-iptables -P INPUT ACCEPT 
-iptables -P FORWARD DROP 
-iptables -P OUTPUT ACCEPT 
- 
-iptables -t nat -A PREROUTING -i $_interface_wifi -p tcp --syn -j REDIRECT --to-ports $_trans_port 
-iptables -t nat -A PREROUTING -i $_interface_wifi -p udp --dport 53 -j REDIRECT --to-ports $_dns_port 
-iptables -A INPUT -s $_reseau_wifi -d $_unreachable -j DROP 
-</​code>​ 
  
 ==== Script long en policy drop ==== ==== Script long en policy drop ====
Ligne 51: Ligne 24:
 _router="​10.255.255.254"​ #Adresse du router (adresse de la machine ayant le point d'​accès wifi) _router="​10.255.255.254"​ #Adresse du router (adresse de la machine ayant le point d'​accès wifi)
 _reseau_wifi="​10.0.0.0/​8"​ _reseau_wifi="​10.0.0.0/​8"​
-_unreachable="192.168.16.20/​24" ​#Adresse dont on empêche l'​accès+_interface_phy="eth0"
  
 #On efface toutes les règles iptables #On efface toutes les règles iptables
Ligne 68: Ligne 41:
 ip6tables -P FORWARD DROP ip6tables -P FORWARD DROP
 ip6tables -P OUTPUT DROP ip6tables -P OUTPUT DROP
- 
 #On redirige le traffic TCP vers Tor #On redirige le traffic TCP vers Tor
 iptables -t nat -A PREROUTING -i $_interface_wifi -p tcp --syn -j REDIRECT --to-ports $_trans_port iptables -t nat -A PREROUTING -i $_interface_wifi -p tcp --syn -j REDIRECT --to-ports $_trans_port
Ligne 78: Ligne 50:
 #On autorise les requêtes DHCP à entrer #On autorise les requêtes DHCP à entrer
 iptables -A INPUT -i $_interface_wifi -p udp --dport 67:68 --sport 67:68 -j ACCEPT iptables -A INPUT -i $_interface_wifi -p udp --dport 67:68 --sport 67:68 -j ACCEPT
-#On autorise les connexion SSH 
-iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT 
 #On autorise les connexions déja établies #On autorise les connexions déja établies
 iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
 #On autorise la boucle locale #On autorise la boucle locale
-iptables -A INPUT -i lo -j ACCEPT 
-#On autorise les requêtes vers le routeur et le port DNS 
 iptables -A INPUT -d $_router -i $_interface_wifi -p udp -m udp --dport $_dns_port -j ACCEPT iptables -A INPUT -d $_router -i $_interface_wifi -p udp -m udp --dport $_dns_port -j ACCEPT
 #On autorise les requêtes vers le routeur pour le traffic TCP #On autorise les requêtes vers le routeur pour le traffic TCP
 iptables -A INPUT -d $_router -i $_interface_wifi -p tcp -m tcp --dport $_trans_port --tcp-flags FIN,​SYN,​RST,​ACK SYN -j ACCEPT iptables -A INPUT -d $_router -i $_interface_wifi -p tcp -m tcp --dport $_trans_port --tcp-flags FIN,​SYN,​RST,​ACK SYN -j ACCEPT
 +#On autorise le trafic vers eth0
 +iptables -A INPUT -i $_interface_phy -j ACCEPT
 +ip6tables -A INPUT -i $_interface_phy -j ACCEPT
  
-#On log le trafic sortant 
-iptables -I OUTPUT -m owner --uid-owner $_tor_uid -j LOG --log-prefix "New output connection: " 
 #On drop le paquet si il n'est pas dans l état new, established,​ ou related #On drop le paquet si il n'est pas dans l état new, established,​ ou related
 iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP
 #On autorise ls connexions déja établies #On autorise ls connexions déja établies
-iptables -A OUTPUT -m state --state ​NEW,ESTABLISHED -j ACCEPT+iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
 #On autorise les requêtes DHCP à sortir #On autorise les requêtes DHCP à sortir
 iptables -A OUTPUT -o $_interface_wifi -p udp --dport 67:68 --sport 67:68 -j ACCEPT iptables -A OUTPUT -o $_interface_wifi -p udp --dport 67:68 --sport 67:68 -j ACCEPT
-#On autorise le traffic issu de la carte et de l'​utilisateur root +#On autorise le traffic issu de la carte 
-iptables -A OUTPUT ​-$_reseau_wifi ​-m owner --uid-owner 0 -j ACCEPT+iptables -A OUTPUT -$_interface_phy ​-j ACCEPT 
 +ip6tables ​-A OUTPUT ​-o $_interface_phy ​-j ACCEPT
 </​code>​ </​code>​
  
anthony_messe/banana_pi/iptables_ipv4_classe_a.1526455002.txt.gz · Dernière modification: 2018/05/16 09:16 par Anthony Messé

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC0 1.0 Universal
CC0 1.0 Universal Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki