je fais un routeur firewall linux

1 messages

Mise à jour: il y a 8 mois

1

OP

JE

jecouledbronze

il y a 8 mois

routeur iptables sur raspberry pi

je l'ai placé entre ma box et mon pc en filaire

!/bin/bash

Vider toutes les règles existantes

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

Définir les politiques par défaut

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Autoriser tout le trafic sur l'interface loopback

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Autoriser tout le trafic sur l'interface eth1 (réseau interne)

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

Bloquer les paquets invalides

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP

Protection contre les attaques réseau courantes

iptables -A INPUT -f -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

Autoriser les connexions établies et connexes

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Autoriser des types spécifiques d'ICMP (utiles pour le diagnostic)

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

Bloquer les requêtes ping pour rendre le routeur moins visible

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Bloquer d'autres types spécifiques d'ICMP peu utiles et potentiellement dangereux

iptables -A INPUT -p icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp --icmp-type redirect -j DROP
iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp --icmp-type timestamp-reply -j DROP
iptables -A INPUT -p icmp --icmp-type source-quench -j DROP

Règles NAT (masquerade) pour les connexions sortantes via eth0 (interface externe)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Autoriser le routage du trafic de eth1 (interne) vers eth0 (externe)

iptables -A FORWARD -i eth1 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

Autoriser le routage du trafic de eth0 (externe) vers eth1 (interne) pour les connexions établies

iptables -A FORWARD -i eth0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

À voir aussi

firewall open source

7

il y a 6 mois

Dégager le routeur de son FAI pour un autre

13

il y a 5 mois

En trottinette électrique tu te fais chier dessus sur la route

16

il y a 9 mois

Demain je fais 1h de route pour me pointer dans une entreprise

37

il y a 5 mois

410

Une fille fais 1h30 de route pour venir me voir

11

il y a 3 mois