summaryrefslogtreecommitdiffstats
diff options
context:
space:
mode:
-rw-r--r--base/iptables/.footprint159
-rw-r--r--base/iptables/.md5sum2
-rwxr-xr-xbase/iptables/Pkgfile34
-rw-r--r--base/iptables/rc.iptables81
4 files changed, 276 insertions, 0 deletions
diff --git a/base/iptables/.footprint b/base/iptables/.footprint
new file mode 100644
index 000000000..e7a347329
--- /dev/null
+++ b/base/iptables/.footprint
@@ -0,0 +1,159 @@
+drwxr-xr-x root/root etc/
+drwxr-xr-x root/root etc/rc.d/
+drwxr-xr-x root/root etc/rc.d/init.d/
+-rwxr-xr-- root/root etc/rc.d/init.d/iptables
+-rw-r--r-- root/root etc/rc.d/rc.iptables
+drwxr-xr-x root/root etc/rc.d/rc0.d/
+drwxr-xr-x root/root etc/rc.d/rc1.d/
+drwxr-xr-x root/root etc/rc.d/rc2.d/
+drwxr-xr-x root/root etc/rc.d/rc3.d/
+lrwxrwxrwx root/root etc/rc.d/rc3.d/S19iptables -> ../init.d/iptables
+drwxr-xr-x root/root etc/rc.d/rc4.d/
+lrwxrwxrwx root/root etc/rc.d/rc4.d/S19iptables -> ../init.d/iptables
+drwxr-xr-x root/root etc/rc.d/rc5.d/
+lrwxrwxrwx root/root etc/rc.d/rc5.d/S19iptables -> ../init.d/iptables
+drwxr-xr-x root/root etc/rc.d/rc6.d/
+drwxr-xr-x root/root etc/rc.d/rcsysinit.d/
+drwxr-xr-x root/root etc/sysconfig/
+drwxr-xr-x root/root lib/
+-rw-r--r-- root/root lib/libipq.a
+-rwxr-xr-x root/root lib/libiptc.la
+lrwxrwxrwx root/root lib/libiptc.so -> libiptc.so.0.0.0
+lrwxrwxrwx root/root lib/libiptc.so.0 -> libiptc.so.0.0.0
+-rwxr-xr-x root/root lib/libiptc.so.0.0.0
+-rwxr-xr-x root/root lib/libxtables.la
+lrwxrwxrwx root/root lib/libxtables.so -> libxtables.so.2.0.0
+lrwxrwxrwx root/root lib/libxtables.so.2 -> libxtables.so.2.0.0
+-rwxr-xr-x root/root lib/libxtables.so.2.0.0
+drwxr-xr-x root/root lib/pkgconfig/
+-rw-r--r-- root/root lib/pkgconfig/libiptc.pc
+-rw-r--r-- root/root lib/pkgconfig/xtables.pc
+drwxr-xr-x root/root sbin/
+-rwxr-xr-x root/root sbin/ip6tables
+-rwxr-xr-x root/root sbin/ip6tables-multi
+-rwxr-xr-x root/root sbin/ip6tables-restore
+-rwxr-xr-x root/root sbin/ip6tables-save
+-rwxr-xr-x root/root sbin/iptables
+-rwxr-xr-x root/root sbin/iptables-multi
+-rwxr-xr-x root/root sbin/iptables-restore
+-rwxr-xr-x root/root sbin/iptables-save
+-rwxr-xr-x root/root sbin/iptables-xml
+drwxr-xr-x root/root usr/
+drwxr-xr-x root/root usr/include/
+-rw-r--r-- root/root usr/include/libipq.h
+drwxr-xr-x root/root usr/include/libiptc/
+-rw-r--r-- root/root usr/include/libiptc/ipt_kernel_headers.h
+-rw-r--r-- root/root usr/include/libiptc/libip6tc.h
+-rw-r--r-- root/root usr/include/libiptc/libiptc.h
+-rw-r--r-- root/root usr/include/libiptc/libxtc.h
+-rw-r--r-- root/root usr/include/xtables.h
+drwxr-xr-x root/root usr/lib/
+drwxr-xr-x root/root usr/lib/xtables/
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_HL.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_LOG.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_REJECT.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_ah.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_dst.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_eui64.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_frag.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_hbh.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_hl.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_icmp6.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_ipv6header.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_mh.so
+-rwxr-xr-x root/root usr/lib/xtables/libip6t_rt.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_CLUSTERIP.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_DNAT.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_ECN.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_LOG.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_MASQUERADE.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_MIRROR.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_NETMAP.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_REDIRECT.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_REJECT.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_SAME.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_SET.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_SNAT.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_TTL.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_ULOG.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_addrtype.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_ah.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_ecn.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_icmp.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_realm.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_set.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_ttl.so
+-rwxr-xr-x root/root usr/lib/xtables/libipt_unclean.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_CLASSIFY.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_CONNMARK.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_CONNSECMARK.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_DSCP.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_MARK.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_NFLOG.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_NFQUEUE.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_NOTRACK.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_RATEEST.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_SECMARK.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_TCPMSS.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_TCPOPTSTRIP.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_TOS.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_TPROXY.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_TRACE.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_cluster.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_comment.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_connbytes.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_connlimit.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_connmark.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_conntrack.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_dccp.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_dscp.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_esp.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_hashlimit.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_helper.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_iprange.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_length.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_limit.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_mac.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_mark.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_multiport.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_owner.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_physdev.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_pkttype.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_policy.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_quota.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_rateest.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_recent.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_sctp.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_socket.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_standard.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_state.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_statistic.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_string.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_tcp.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_tcpmss.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_time.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_tos.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_u32.so
+-rwxr-xr-x root/root usr/lib/xtables/libxt_udp.so
+drwxr-xr-x root/root usr/share/
+drwxr-xr-x root/root usr/share/man/
+drwxr-xr-x root/root usr/share/man/man3/
+-rw-r--r-- root/root usr/share/man/man3/ipq_create_handle.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_destroy_handle.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_errstr.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_get_msgerr.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_get_packet.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_message_type.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_perror.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_read.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_set_mode.3.gz
+-rw-r--r-- root/root usr/share/man/man3/ipq_set_verdict.3.gz
+-rw-r--r-- root/root usr/share/man/man3/libipq.3.gz
+drwxr-xr-x root/root usr/share/man/man8/
+-rw-r--r-- root/root usr/share/man/man8/ip6tables-restore.8.gz
+-rw-r--r-- root/root usr/share/man/man8/ip6tables-save.8.gz
+-rw-r--r-- root/root usr/share/man/man8/ip6tables.8.gz
+-rw-r--r-- root/root usr/share/man/man8/iptables-restore.8.gz
+-rw-r--r-- root/root usr/share/man/man8/iptables-save.8.gz
+-rw-r--r-- root/root usr/share/man/man8/iptables-xml.8.gz
+-rw-r--r-- root/root usr/share/man/man8/iptables.8.gz
diff --git a/base/iptables/.md5sum b/base/iptables/.md5sum
new file mode 100644
index 000000000..150db687d
--- /dev/null
+++ b/base/iptables/.md5sum
@@ -0,0 +1,2 @@
+08cd9196881657ea0615d926334cb7e9 iptables-1.4.4.tar.bz2
+c4f416633e88935e966873f4ea89775c rc.iptables
diff --git a/base/iptables/Pkgfile b/base/iptables/Pkgfile
new file mode 100755
index 000000000..72b6727ba
--- /dev/null
+++ b/base/iptables/Pkgfile
@@ -0,0 +1,34 @@
+# Description: L'outil de contrôle pour le filtrage des paquets de données aux travers des interfaces réseaux
+# URL: http://www.iptables.org/
+# Maintainer: NuTyX core team
+# Packager: thierryn1 at hispeed dot ch
+# Depends on:
+
+name=iptables
+version=1.4.4
+release=1
+source=(ftp://ftp.netfilter.org/pub/iptables/$name-$version.tar.bz2 \
+ rc.iptables )
+
+
+build() {
+ source /etc/blfs-bootscripts
+ wget http://www.linuxfromscratch.org/blfs/downloads/svn/$scripts-$scriptsversion.tar.bz2
+ tar xvf $scripts-$scriptsversion.tar.bz2
+
+ cd $name-$version
+ ./configure --prefix=/usr \
+ --exec_prefix="" \
+ --libdir=/lib \
+ --bindir=/sbin \
+ --mandir=/usr/share/man \
+ --libexecdir=/usr/lib \
+ --enable-libipq
+ make
+ make DESTDIR=$PKG install
+ cd ../$scripts-$scriptsversion
+ make DESTDIR=$PKG install-$name
+ install -m644 $SRC/rc.iptables \
+ $PKG/etc/rc.d/rc.iptables
+
+}
diff --git a/base/iptables/rc.iptables b/base/iptables/rc.iptables
new file mode 100644
index 000000000..f696ac984
--- /dev/null
+++ b/base/iptables/rc.iptables
@@ -0,0 +1,81 @@
+#!/bin/sh
+
+# Begin $rc_base/rc.iptables
+
+# Insérer les modules necessaires
+# (pas necessaire si ils sont en dur dans le kernel)
+modprobe ip_tables
+modprobe iptable_filter
+modprobe ip_conntrack
+modprobe ip_conntrack_ftp
+modprobe ipt_state
+modprobe ipt_LOG
+
+# Activer la protection "broadcast echo"
+echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
+
+# Déactiver les paquets sources "routés"
+echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
+echo 0 > /proc/sys/net/ipv4/conf/default/accept_source_route
+
+# Activer la protection "TCP SYN Cookie"
+echo 1 > /proc/sys/net/ipv4/tcp_syncookies
+
+# Déactiver la "ICMP Redirect Acceptance"
+echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
+
+# Ne pas envoyer les "Redirect Messages"
+echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
+echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
+
+
+# Laisser tomber les "Spoofed Packets" venant sur une interface, d'ou les
+# réponses résulteraient à une réponse à une interface différente
+echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
+echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
+
+# Archiver les adresse sources impossibles
+echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
+echo 1 > /proc/sys/net/ipv4/conf/default/log_martians
+
+# Soyons + parlant si adresse dynamique, (pas necessaire si adresse statique)
+echo 2 > /proc/sys/net/ipv4/ip_dynaddr
+
+# déactiver "Explicit Congestion Notification",
+# trop de routeurs sont encore ignorants
+echo 0 > /proc/sys/net/ipv4/tcp_ecn
+
+# Mettre les tables dans un état connu
+iptables -P INPUT DROP
+iptables -P FORWARD DROP
+iptables -P OUTPUT DROP
+
+# Ces lignes sont ici dans le cas où des règles étaient déjà en place et
+# si le script est relancé directement. On souhaite supprimer toutes les
+# règles déjà établies avant d'en implémenter des nouvelles
+iptables -F
+iptables -X
+iptables -Z
+
+iptables -t nat -F
+
+# Permet les connections locales uniquement
+iptables -A INPUT -i lo -j ACCEPT
+
+# Libére toute sortie sur quelque interface que ce soit pour toutes les ip
+# et pour tous les services
+# (equivalent à -P ACCEPT)
+iptables -A OUTPUT -j ACCEPT
+
+# Accepte les paquets destinés à ssh
+iptables -A INPUT -p tcp --dport 22 -j ACCEPT
+
+# Permet les réponses des connections déjà établies
+# et permet les nouvelles connections liés à ces premières
+# (p.e. port mode ftp)
+iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# archiver tout le reste. La dernière vulnérabilitée de Microsoft Windows?
+iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT "
+
+# End $rc_base/rc.iptables