IPTABLES - modifs d'un script firewall de base pour distcc

si on veut utiliser la puissance de calcul d'un firewall pour compiler avec distcc on peut modifier comme suit notre petit script :



#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward



DMZ=10.0.0.0/24

IPT='/sbin/iptables'



$IPT -F

$IPT -F -t nat



$IPT -P INPUT DROP



$IPT -P FORWARD DROP



# accept localhost internal trafic

$IPT -A INPUT -i lo -s localhost -j ACCEPT



#$IPT -P INPUT ACCEPT

#$IPT -P FORWARD ACCEPT



# accept ssh from dmz

$IPT -A INPUT -s $DMZ -i eth1 -p tcp --dport 22 -j ACCEPT



$IPT -A FORWARD -s $DMZ -i eth1 -p udp --dport 53 -j ACCEPT

$IPT -A FORWARD -d $DMZ -i eth0 -p udp --sport 53 -j ACCEPT

$IPT -A FORWARD -s $DMZ -i eth1 -p tcp --dport 80 -j ACCEPT

$IPT -A FORWARD -d $DMZ -i eth0 -p tcp --sport 80 -j ACCEPT

$IPT -A FORWARD -s $DMZ -i eth1 -p tcp --dport 9999 -j ACCEPT

$IPT -A FORWARD -d $DMZ -i eth0 -p tcp --sport 9999 -j ACCEPT

#allow all trafic for our network to go the internet

$IPT -t nat -A POSTROUTING -s $DMZ -j MASQUERADE



# on laisse venir de l'intérieur des demandes distcc

$IPT -A INPUT -s $DMZ -i eth1 -p tcp --dport 3632 -j ACCEPT

$IPT -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT

$IPT -A INPUT -i eth0 -p tcp --sport 9999 -j ACCEPT

$IPT -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT



$IPT -A INPUT -j LOG --log-prefix  "##DROPPED INPUT -- "

$IPT -A FORWARD -j LOG --log-prefix "##DROPPED FORWARD -- "

#show the actual iptables rules

iptables-save

Rechercher dans ce blog

LAPT (Linux And Perl Tips)

IPTABLES - modifs d'un script firewall de base pour distcc

Commentaires