Demande #908 » openvpn_firewall.patch
init.d/firewall.sh | ||
---|---|---|
12 | 12 |
IF_EXT_INTER=bond0 |
13 | 13 |
IF_EXT_BCAST="192.168.25.255" |
14 | 14 | |
15 |
IF_VPN=10.0.1.1 |
|
15 |
IF_VPN=10.0.1.1.1
|
|
16 | 16 |
IF_VPN_INTER=bond0:1 |
17 |
NET_VPN=10.0.0.0/24 |
|
17 | 18 |
|
18 | 19 |
IF_INT=192.168.1.254 |
19 | 20 |
IF_INT_INTER=dummy0 |
... | ... | |
222 | 223 |
# Monitoring munin |
223 | 224 |
${IPT} -A ext-if -p tcp --dport 4949 -j ACCEPT |
224 | 225 | |
225 |
# OpenVPN |
|
226 |
${IPT} -A if-ext -p udp --dport 1194 -j ACCEPT |
|
227 | ||
228 | 226 |
# |
229 | 227 |
# localhost -> EXT |
230 | 228 |
# |
231 |
|
|
229 | ||
232 | 230 |
# Le firewall peut faire des traceroute UDP vers Internet |
233 | 231 |
${IPT} -A if-ext -p udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT |
234 | 232 |
|
... | ... | |
237 | 235 |
|
238 | 236 |
# Le firewall peut tout faire vers l'exterieur |
239 | 237 |
${IPT} -A if-ext -j ACCEPT # @@ pour l'instant |
240 |
|
|
238 | ||
241 | 239 |
${IPT} -A if-ext -j LOG --log-level info --log-prefix "FW-pavot IFBAD DFLT DROP " |
242 | 240 |
${IPT} -A if-ext -j DROP |
243 | 241 |
|
... | ... | |
320 | 318 |
$IPT -D INPUT 2 |
321 | 319 |
$IPT -D OUTPUT 2 |
322 | 320 |
$IPT -D FORWARD 1 |
321 | ||
322 |
# OpenVPN |
|
323 |
${IPT} -I INPUT -p udp --dport 1194 -j ACCEPT |
|
324 |
${IPT} -I OUTPUT -s $NET_VPN -d $NET_VPN -p icmp -j ACCEPT |
|
325 |
${IPT} -I INPUT -s $NET_VPN -d $NET_VPN -p icmp -j ACCEPT |
|
326 |
${IPT} -I INPUT -s $NET_VPN -d $NET_VPN -p tcp --dport 22 -j ACCEPT |
|
327 |
${IPT} -I OUTPUT -s $NET_VPN -d $NET_VPN -p tcp --dport 22 -j ACCEPT |
|
323 | 328 |
} |
324 | 329 |
|
325 | 330 |
# |