Demande #908 » openvpn_firewall.patch
| init.d/firewall.sh | ||
|---|---|---|
| 12 | 12 |
IF_EXT_INTER=bond0 |
| 13 | 13 |
IF_EXT_BCAST="192.168.25.255" |
| 14 | 14 | |
| 15 |
IF_VPN=10.0.1.1 |
|
| 15 |
IF_VPN=10.0.1.1.1
|
|
| 16 | 16 |
IF_VPN_INTER=bond0:1 |
| 17 |
NET_VPN=10.0.0.0/24 |
|
| 17 | 18 |
|
| 18 | 19 |
IF_INT=192.168.1.254 |
| 19 | 20 |
IF_INT_INTER=dummy0 |
| ... | ... | |
| 222 | 223 |
# Monitoring munin |
| 223 | 224 |
${IPT} -A ext-if -p tcp --dport 4949 -j ACCEPT
|
| 224 | 225 | |
| 225 |
# OpenVPN |
|
| 226 |
${IPT} -A if-ext -p udp --dport 1194 -j ACCEPT
|
|
| 227 | ||
| 228 | 226 |
# |
| 229 | 227 |
# localhost -> EXT |
| 230 | 228 |
# |
| 231 |
|
|
| 229 | ||
| 232 | 230 |
# Le firewall peut faire des traceroute UDP vers Internet |
| 233 | 231 |
${IPT} -A if-ext -p udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
|
| 234 | 232 |
|
| ... | ... | |
| 237 | 235 |
|
| 238 | 236 |
# Le firewall peut tout faire vers l'exterieur |
| 239 | 237 |
${IPT} -A if-ext -j ACCEPT # @@ pour l'instant
|
| 240 |
|
|
| 238 | ||
| 241 | 239 |
${IPT} -A if-ext -j LOG --log-level info --log-prefix "FW-pavot IFBAD DFLT DROP "
|
| 242 | 240 |
${IPT} -A if-ext -j DROP
|
| 243 | 241 |
|
| ... | ... | |
| 320 | 318 |
$IPT -D INPUT 2 |
| 321 | 319 |
$IPT -D OUTPUT 2 |
| 322 | 320 |
$IPT -D FORWARD 1 |
| 321 | ||
| 322 |
# OpenVPN |
|
| 323 |
${IPT} -I INPUT -p udp --dport 1194 -j ACCEPT
|
|
| 324 |
${IPT} -I OUTPUT -s $NET_VPN -d $NET_VPN -p icmp -j ACCEPT
|
|
| 325 |
${IPT} -I INPUT -s $NET_VPN -d $NET_VPN -p icmp -j ACCEPT
|
|
| 326 |
${IPT} -I INPUT -s $NET_VPN -d $NET_VPN -p tcp --dport 22 -j ACCEPT
|
|
| 327 |
${IPT} -I OUTPUT -s $NET_VPN -d $NET_VPN -p tcp --dport 22 -j ACCEPT
|
|
| 323 | 328 |
} |
| 324 | 329 |
|
| 325 | 330 |
# |