diff options
Diffstat (limited to 'base')
-rw-r--r-- | base/iptables/.footprint | 159 | ||||
-rw-r--r-- | base/iptables/.md5sum | 2 | ||||
-rwxr-xr-x | base/iptables/Pkgfile | 34 | ||||
-rw-r--r-- | base/iptables/rc.iptables | 81 |
4 files changed, 276 insertions, 0 deletions
diff --git a/base/iptables/.footprint b/base/iptables/.footprint new file mode 100644 index 000000000..e7a347329 --- /dev/null +++ b/base/iptables/.footprint @@ -0,0 +1,159 @@ +drwxr-xr-x root/root etc/ +drwxr-xr-x root/root etc/rc.d/ +drwxr-xr-x root/root etc/rc.d/init.d/ +-rwxr-xr-- root/root etc/rc.d/init.d/iptables +-rw-r--r-- root/root etc/rc.d/rc.iptables +drwxr-xr-x root/root etc/rc.d/rc0.d/ +drwxr-xr-x root/root etc/rc.d/rc1.d/ +drwxr-xr-x root/root etc/rc.d/rc2.d/ +drwxr-xr-x root/root etc/rc.d/rc3.d/ +lrwxrwxrwx root/root etc/rc.d/rc3.d/S19iptables -> ../init.d/iptables +drwxr-xr-x root/root etc/rc.d/rc4.d/ +lrwxrwxrwx root/root etc/rc.d/rc4.d/S19iptables -> ../init.d/iptables +drwxr-xr-x root/root etc/rc.d/rc5.d/ +lrwxrwxrwx root/root etc/rc.d/rc5.d/S19iptables -> ../init.d/iptables +drwxr-xr-x root/root etc/rc.d/rc6.d/ +drwxr-xr-x root/root etc/rc.d/rcsysinit.d/ +drwxr-xr-x root/root etc/sysconfig/ +drwxr-xr-x root/root lib/ +-rw-r--r-- root/root lib/libipq.a +-rwxr-xr-x root/root lib/libiptc.la +lrwxrwxrwx root/root lib/libiptc.so -> libiptc.so.0.0.0 +lrwxrwxrwx root/root lib/libiptc.so.0 -> libiptc.so.0.0.0 +-rwxr-xr-x root/root lib/libiptc.so.0.0.0 +-rwxr-xr-x root/root lib/libxtables.la +lrwxrwxrwx root/root lib/libxtables.so -> libxtables.so.2.0.0 +lrwxrwxrwx root/root lib/libxtables.so.2 -> libxtables.so.2.0.0 +-rwxr-xr-x root/root lib/libxtables.so.2.0.0 +drwxr-xr-x root/root lib/pkgconfig/ +-rw-r--r-- root/root lib/pkgconfig/libiptc.pc +-rw-r--r-- root/root lib/pkgconfig/xtables.pc +drwxr-xr-x root/root sbin/ +-rwxr-xr-x root/root sbin/ip6tables +-rwxr-xr-x root/root sbin/ip6tables-multi +-rwxr-xr-x root/root sbin/ip6tables-restore +-rwxr-xr-x root/root sbin/ip6tables-save +-rwxr-xr-x root/root sbin/iptables +-rwxr-xr-x root/root sbin/iptables-multi +-rwxr-xr-x root/root sbin/iptables-restore +-rwxr-xr-x root/root sbin/iptables-save +-rwxr-xr-x root/root sbin/iptables-xml +drwxr-xr-x root/root usr/ +drwxr-xr-x root/root usr/include/ +-rw-r--r-- root/root usr/include/libipq.h +drwxr-xr-x root/root usr/include/libiptc/ +-rw-r--r-- root/root usr/include/libiptc/ipt_kernel_headers.h +-rw-r--r-- root/root usr/include/libiptc/libip6tc.h +-rw-r--r-- root/root usr/include/libiptc/libiptc.h +-rw-r--r-- root/root usr/include/libiptc/libxtc.h +-rw-r--r-- root/root usr/include/xtables.h +drwxr-xr-x root/root usr/lib/ +drwxr-xr-x root/root usr/lib/xtables/ +-rwxr-xr-x root/root usr/lib/xtables/libip6t_HL.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_LOG.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_REJECT.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_ah.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_dst.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_eui64.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_frag.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_hbh.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_hl.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_icmp6.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_ipv6header.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_mh.so +-rwxr-xr-x root/root usr/lib/xtables/libip6t_rt.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_CLUSTERIP.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_DNAT.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_ECN.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_LOG.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_MASQUERADE.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_MIRROR.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_NETMAP.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_REDIRECT.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_REJECT.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_SAME.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_SET.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_SNAT.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_TTL.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_ULOG.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_addrtype.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_ah.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_ecn.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_icmp.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_realm.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_set.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_ttl.so +-rwxr-xr-x root/root usr/lib/xtables/libipt_unclean.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_CLASSIFY.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_CONNMARK.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_CONNSECMARK.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_DSCP.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_MARK.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_NFLOG.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_NFQUEUE.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_NOTRACK.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_RATEEST.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_SECMARK.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_TCPMSS.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_TCPOPTSTRIP.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_TOS.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_TPROXY.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_TRACE.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_cluster.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_comment.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_connbytes.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_connlimit.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_connmark.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_conntrack.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_dccp.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_dscp.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_esp.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_hashlimit.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_helper.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_iprange.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_length.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_limit.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_mac.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_mark.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_multiport.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_owner.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_physdev.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_pkttype.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_policy.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_quota.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_rateest.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_recent.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_sctp.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_socket.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_standard.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_state.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_statistic.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_string.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_tcp.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_tcpmss.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_time.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_tos.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_u32.so +-rwxr-xr-x root/root usr/lib/xtables/libxt_udp.so +drwxr-xr-x root/root usr/share/ +drwxr-xr-x root/root usr/share/man/ +drwxr-xr-x root/root usr/share/man/man3/ +-rw-r--r-- root/root usr/share/man/man3/ipq_create_handle.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_destroy_handle.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_errstr.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_get_msgerr.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_get_packet.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_message_type.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_perror.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_read.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_set_mode.3.gz +-rw-r--r-- root/root usr/share/man/man3/ipq_set_verdict.3.gz +-rw-r--r-- root/root usr/share/man/man3/libipq.3.gz +drwxr-xr-x root/root usr/share/man/man8/ +-rw-r--r-- root/root usr/share/man/man8/ip6tables-restore.8.gz +-rw-r--r-- root/root usr/share/man/man8/ip6tables-save.8.gz +-rw-r--r-- root/root usr/share/man/man8/ip6tables.8.gz +-rw-r--r-- root/root usr/share/man/man8/iptables-restore.8.gz +-rw-r--r-- root/root usr/share/man/man8/iptables-save.8.gz +-rw-r--r-- root/root usr/share/man/man8/iptables-xml.8.gz +-rw-r--r-- root/root usr/share/man/man8/iptables.8.gz diff --git a/base/iptables/.md5sum b/base/iptables/.md5sum new file mode 100644 index 000000000..150db687d --- /dev/null +++ b/base/iptables/.md5sum @@ -0,0 +1,2 @@ +08cd9196881657ea0615d926334cb7e9 iptables-1.4.4.tar.bz2 +c4f416633e88935e966873f4ea89775c rc.iptables diff --git a/base/iptables/Pkgfile b/base/iptables/Pkgfile new file mode 100755 index 000000000..72b6727ba --- /dev/null +++ b/base/iptables/Pkgfile @@ -0,0 +1,34 @@ +# Description: L'outil de contrôle pour le filtrage des paquets de données aux travers des interfaces réseaux +# URL: http://www.iptables.org/ +# Maintainer: NuTyX core team +# Packager: thierryn1 at hispeed dot ch +# Depends on: + +name=iptables +version=1.4.4 +release=1 +source=(ftp://ftp.netfilter.org/pub/iptables/$name-$version.tar.bz2 \ + rc.iptables ) + + +build() { + source /etc/blfs-bootscripts + wget http://www.linuxfromscratch.org/blfs/downloads/svn/$scripts-$scriptsversion.tar.bz2 + tar xvf $scripts-$scriptsversion.tar.bz2 + + cd $name-$version + ./configure --prefix=/usr \ + --exec_prefix="" \ + --libdir=/lib \ + --bindir=/sbin \ + --mandir=/usr/share/man \ + --libexecdir=/usr/lib \ + --enable-libipq + make + make DESTDIR=$PKG install + cd ../$scripts-$scriptsversion + make DESTDIR=$PKG install-$name + install -m644 $SRC/rc.iptables \ + $PKG/etc/rc.d/rc.iptables + +} diff --git a/base/iptables/rc.iptables b/base/iptables/rc.iptables new file mode 100644 index 000000000..f696ac984 --- /dev/null +++ b/base/iptables/rc.iptables @@ -0,0 +1,81 @@ +#!/bin/sh + +# Begin $rc_base/rc.iptables + +# Insérer les modules necessaires +# (pas necessaire si ils sont en dur dans le kernel) +modprobe ip_tables +modprobe iptable_filter +modprobe ip_conntrack +modprobe ip_conntrack_ftp +modprobe ipt_state +modprobe ipt_LOG + +# Activer la protection "broadcast echo" +echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts + +# Déactiver les paquets sources "routés" +echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route +echo 0 > /proc/sys/net/ipv4/conf/default/accept_source_route + +# Activer la protection "TCP SYN Cookie" +echo 1 > /proc/sys/net/ipv4/tcp_syncookies + +# Déactiver la "ICMP Redirect Acceptance" +echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects + +# Ne pas envoyer les "Redirect Messages" +echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects +echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects + + +# Laisser tomber les "Spoofed Packets" venant sur une interface, d'ou les +# réponses résulteraient à une réponse à une interface différente +echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter +echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter + +# Archiver les adresse sources impossibles +echo 1 > /proc/sys/net/ipv4/conf/all/log_martians +echo 1 > /proc/sys/net/ipv4/conf/default/log_martians + +# Soyons + parlant si adresse dynamique, (pas necessaire si adresse statique) +echo 2 > /proc/sys/net/ipv4/ip_dynaddr + +# déactiver "Explicit Congestion Notification", +# trop de routeurs sont encore ignorants +echo 0 > /proc/sys/net/ipv4/tcp_ecn + +# Mettre les tables dans un état connu +iptables -P INPUT DROP +iptables -P FORWARD DROP +iptables -P OUTPUT DROP + +# Ces lignes sont ici dans le cas où des règles étaient déjà en place et +# si le script est relancé directement. On souhaite supprimer toutes les +# règles déjà établies avant d'en implémenter des nouvelles +iptables -F +iptables -X +iptables -Z + +iptables -t nat -F + +# Permet les connections locales uniquement +iptables -A INPUT -i lo -j ACCEPT + +# Libére toute sortie sur quelque interface que ce soit pour toutes les ip +# et pour tous les services +# (equivalent à -P ACCEPT) +iptables -A OUTPUT -j ACCEPT + +# Accepte les paquets destinés à ssh +iptables -A INPUT -p tcp --dport 22 -j ACCEPT + +# Permet les réponses des connections déjà établies +# et permet les nouvelles connections liés à ces premières +# (p.e. port mode ftp) +iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT + +# archiver tout le reste. La dernière vulnérabilitée de Microsoft Windows? +iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT " + +# End $rc_base/rc.iptables |