[Linux-bruxelles] serveur voip sour fedora core 4 /configurationfirewall et routes statiques)

Thibault Richard thibault.richard at skynet.be
Ven 23 Sep 00:50:58 CEST 2005


Journée iptables pour moi aujourd'hui ;-)

Je ne vais pas tout te faire mais inspire toi de ma config qui est une juste 
avec une IP publique

#!/bin/sh -x

local="0.0.0.0/0"

# Vide les tables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Règles des chaines par défaut : on rejette tout !
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Protection syn-flood:
 iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Test de ports furtif:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 
1/s -j ACCEPT

#Ping de la mort:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j 
ACCEPT

# autorise vers Internet
iptables -A OUTPUT -m state --state ! INVALID -j ACCEPT

# Interdit explicitement le traffic IRC.
iptables -A OUTPUT -p TCP --dport 6667 -j DROP

# autorise d'Internet seulement si initié par moi !
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# accepte les connexions d'Internet sur certains ports
iptables -A INPUT -m state --state NEW -p TCP --dport 20 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 21 -m limit --limit 
5/s -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 51000:51250 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 22 --syn -m 
limit --limit 3/s --limit-burst 15 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 25 --syn -m 
limit --limit 3/s --limit-burst 15 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 110 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 143 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 993 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 3306 -j ACCEPT
iptables -A INPUT -m state --state NEW -p TCP --dport 10000 -j ACCEPT

#SNMP Ikoula 1
iptables -A INPUT  -s 213.246.33.104 -j ACCEPT
#SNMP Ikoula 2
iptables -A INPUT  -s 213.246.33.172 -j ACCEPT
#Skynet
iptables -A INPUT  -s 194.78.5.130 -j ACCEPT
#EBP
iptables -A INPUT  -s 62.72.116.42 -j ACCEPT
#Belgacom Techos
iptables -A INPUT  -s 195.238.24.200 -j ACCEPT
# Rules for Gaming
iptables -A INPUT -m state --state NEW -p UDP --dport 27012 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 27015 -j ACCEPT
iptables -A INPUT -m state --state NEW -p UDP --dport 27025 -j ACCEPT

# AUTORISE LES CONNEXIONS LOCALES MACHINES
#iptables -A OUTPUT -o lo -s $local -d $local -j ACCEPT
iptables -A INPUT -i lo -s $local -d $local -j ACCEPT

# rejette toute demande venant d'Internet
iptables -A INPUT -m state --state NEW -j DROP




----- Original Message ----- 
From: "jacobso1" <jacobso1 at scarlet.be>
To: "'Mailing-list du BxLUG'" <linux-bruxelles at lists.bxlug.be>
Sent: Thursday, September 22, 2005 8:21 PM
Subject: [Linux-bruxelles] serveur voip sour fedora core 4 
/configurationfirewall et routes statiques)


> Bonjour la liste,
>
> Le serveur semble prêt à être mis en collocation
> Mais j'ai du arrêter selinux et le firewall.
>
> Je n'aime pas trop ça pour une machine avec adresse 'publique'
>
> Je suis trop nouveau pour bien saisir toute la syntaxe d'iptables
>
> Situation :
> 2 ports ethernet :
> Public : 1.2.3.4 (par exemple)
> Privé : 19.168.1.10
>
> Le port public doit
> - accepter les flots voip en udp sur 5060 à 5064
> et 10000 à 65534 ainsi que de 5060 à 5064 en tcp.
> - refuser telnet, syslog, http, ftp, tftp, ...
> (bien que http (80) pourait être utilisé par la suite)
> Ping serait bloqué en première instance
> - certainement refuser vnc, mysql, ...
>
> Le port public accepte tout
>
> Aussi je dois indiquer par une route statique que le réseau vpn passe par 
> le
> port privé. Donc 192.168.2.0, 192.168.3.0, 192.168.4.0 doivent être routés
> via le 192.168.1.1 (bon, ça ce n'est pas iptable)
>
>
> J'apprécierais un coup de main ou des url's avec des exemples
>
> Merci beaucoup
>
> PS
> Le serveur voip  est basé sur 'asterisk'
>
>
> t. jacobson
>
> -- 
> No virus found in this outgoing message.
> Checked by AVG Anti-Virus.
> Version: 7.0.344 / Virus Database: 267.11.3/107 - Release Date: 20/09/2005
>
>
>
> -- 
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>
>
> 





Plus d'informations sur la liste de diffusion Linux-bruxelles