Platon Technologies
neprihlásený Prihlásiť Registrácia
SlovakEnglish
open source software development oslavujeme 10 rokov vývoja otvoreného softvéru! Štvrtok, 28. marec 2024

Rozdiely pre scripts/shell/firewall/fw-universal.sh medzi verziami 2.69 a 2.77

verzia 2.69, 2009/07/01 12:23:11 verzia 2.77, 2011/01/24 20:26:04
Riadok 1 
Riadok 1 
 #!/bin/sh  #!/bin/bash
   
   ### BEGIN INIT INFO
   # Provides:             firewall
   # Required-Start:       networking
   # Required-Stop:
   # Default-Start:        S
   # Default-Stop:
   # Short-Description:    firewalling rules
   ### END INIT INFO
   
 #  #
 # This will be universal firewalling script for Linux kernel (iptables) in near future  # This will be universal firewalling script for Linux kernel (iptables) in near future
 # Can be started by init or by hand.  # Can be started by init or by hand.
 #  #
 # Developed by Lubomir Host 'rajo' <rajo AT platon.sk>  # Developed by Lubomir Host 'rajo' <rajo AT platon.sk>
 # Copyright (c) 2003-2006 Platon SDG, http://platon.sk/  # Copyright (c) 2003-2011 Platon Group, http://platon.sk/
 # Licensed under terms of GNU General Public License.  # Licensed under terms of GNU General Public License.
 # All rights reserved.  # All rights reserved.
 #  #
 # $Platon: scripts/shell/firewall/fw-universal.sh,v 2.68 2009-03-04 22:51:42 nepto Exp $  # $Platon: scripts/shell/firewall/fw-universal.sh,v 2.76 2011-01-16 12:18:14 nepto Exp $
 #  #
 # Changelog:  # Changelog:
 # 2003-10-24 - created  # 2003-10-24 - created
 #  #
   
   ### BEGIN INIT INFO
   # Provides:          firewall
   # Required-Start:    $network $remote_fs
   # Required-Stop:     $network $remote_fs
   # Default-Start:     2 3 4 5
   # Default-Stop:      0 1 6
   # Short-Description: Starts firewall
   # Description:       Handle universal firewall script by Platon Group
   #                    http://platon.sk/cvs/cvs.php/scripts/shell/firewall/
   # Author:            Lubomir Host <rajo@platon.sk>
   # Copyright:         (c) 2003-2011 Platon Group
   ### END INIT INFO
   
 umask 077 # security  umask 077 # security
   
 DESC="firewall"  DESC="firewall"
Riadok 419  masquerade()
Riadok 441  masquerade()
                                 $AWK -v FS=: '  (NF == 2) { remote_ip = "$lan_ip"; remote_port = $1; local_port = $2; } \                                  $AWK -v FS=: '  (NF == 2) { remote_ip = "$lan_ip"; remote_port = $1; local_port = $2; } \
                                                                 (NF == 3) { remote_ip = $2;        remote_port = $1; local_port = $3; } \                                                                  (NF == 3) { remote_ip = $2;        remote_port = $1; local_port = $3; } \
                                                                 END { printf "remote_ip=%s; remote_port=%s; local_port=%s;", remote_ip, remote_port, local_port; }'`                                                                  END { printf "remote_ip=%s; remote_port=%s; local_port=%s;", remote_ip, remote_port, local_port; }'`
                         print_info -en " $remote_port>>$remote_ip:$local_port(udp)"                          print_info -en " $remote_port>>$remote_ip:$local_port(tcp)"
                         $IPTABLES -t nat -A PREROUTING -p TCP \                          $IPTABLES -t nat -A PREROUTING -p TCP \
                                 -i ! $NAT_LAN_IFACE -d ! $lan_ip \                                  -i ! $NAT_LAN_IFACE -d ! $lan_ip \
                                 --dport $remote_port -j REDIRECT --to-port $local_port                                  --dport $remote_port -j REDIRECT --to-port $local_port
Riadok 452  masquerade()
Riadok 474  masquerade()
                         if [ "x$NAT_FORWARD_MICROSOFT" = "xno" ]; then                          if [ "x$NAT_FORWARD_MICROSOFT" = "xno" ]; then
                                 $IPTABLES -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP                                  $IPTABLES -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
   
                                 for port in 69 135 445 1434 6667; do                                  for port in 67 68 69 135 445 1434 6667; do
                                         $IPTABLES -A FORWARD -p TCP --dport $port -j DROP                                          $IPTABLES -A FORWARD -p TCP --dport $port -j DROP
                                         $IPTABLES -A FORWARD -p UDP --dport $port -j DROP                                          $IPTABLES -A FORWARD -p UDP --dport $port -j DROP
                                 done                                  done
Riadok 477  masquerade()
Riadok 499  masquerade()
                         print_info " done."                          print_info " done."
                 fi                  fi
   
                   # NAT_FORWARD_TCP_HOSTS {{{
                   if [ ! -z "$NAT_FORWARD_TCP_HOSTS" ]; then
                           print_info -en "\tAccepting FORWARD TCP hosts:"
                           for host in $NAT_FORWARD_TCP_HOSTS; do
                                   print_info -en " $host"
                                   $IPTABLES -A FORWARD -p TCP -d $host -m state --state NEW -j ACCEPT
                           done
                           print_info " done."
                   fi
                   # }}}
   
                   # NAT_FORWARD_UDP_HOSTS {{{
                   if [ ! -z "$NAT_FORWARD_UDP_HOSTS" ]; then
                           print_info -en "\tAccepting FORWARD UDP hosts:"
                           for host in $NAT_FORWARD_UDP_HOSTS; do
                                   print_info -en " $host"
                                   $IPTABLES -A FORWARD -p UDP -d $host -m state --state NEW -j ACCEPT
                           done
                           print_info " done."
                   fi
                   # }}}
   
                   # NAT_FORWARD_TCP_CLIENTS {{{
                   if [ ! -z "$NAT_FORWARD_TCP_CLIENTS" ]; then
                           print_info -en "\tAccepting FORWARD TCP clients:"
                           for client in $NAT_FORWARD_TCP_CLIENTS; do
                                   print_info -en " $client"
                                   $IPTABLES -A FORWARD -p TCP -s $client -m state --state NEW -j ACCEPT
                           done
                           print_info " done."
                   fi
                   # }}}
   
                   # NAT_FORWARD_UDP_CLIENTS {{{
                   if [ ! -z "$NAT_FORWARD_UDP_CLIENTS" ]; then
                           print_info -en "\tAccepting FORWARD UDP clients:"
                           for client in $NAT_FORWARD_UDP_CLIENTS; do
                                   print_info -en " $client"
                                   $IPTABLES -A FORWARD -p UDP -s $client -m state --state NEW -j ACCEPT
                           done
                           print_info " done."
                   fi
                   # }}}
   
                 print_info -en "\tAccepting ICMP packets:"                  print_info -en "\tAccepting ICMP packets:"
                 for type in $ACCEPT_ICMP_PACKETS; do                  for type in $ACCEPT_ICMP_PACKETS; do
                         print_info -en " $type"                          print_info -en " $type"
Riadok 652  drop_input()
Riadok 718  drop_input()
                 done                  done
                 print_info " done."                  print_info " done."
         fi          fi
           if [ ! -z "$REAL_DROP_INPUT_TCP" ]; then
                   print_info -en "Drop REAL all INPUT TCP connections for ALL interfaces on ports:"
                   for port in $REAL_DROP_INPUT_TCP; do
                           print_info -en " $port(ALL)"
                           $IPTABLES -A INPUT -p TCP --dport $port -j DROP
                   done
                   print_info " done."
           fi
           if [ ! -z "$REAL_DROP_INPUT_UDP" ]; then
                   print_info -en "Drop REAL all INPUT UDP connections for ALL interfaces on ports:"
                   for port in $REAL_DROP_INPUT_UDP; do
                           print_info -en " $port(ALL)"
                           $IPTABLES -A INPUT -p UDP --dport $port -j DROP
                   done
                   print_info " done."
           fi
 } # }}}  } # }}}
   
 reject_input()  reject_input()
Riadok 676  reject_input()
Riadok 758  reject_input()
                 done                  done
                 print_info " done."                  print_info " done."
         fi          fi
           if [ ! -z "$REAL_REJECT_INPUT_TCP" ]; then
                   print_info -en "Reject REAL all INPUT TCP connections for ALL interfaces on ports:"
                   for port in $REAL_REJECT_INPUT_TCP; do
                           print_info -en " $port(ALL)"
                           $IPTABLES -A INPUT -p TCP --dport $port -j REJECT --reject-with $REJECT_WITH
                   done
                   print_info " done."
           fi
           if [ ! -z "$REAL_REJECT_INPUT_UDP" ]; then
                   print_info -en "Reject REAL all INPUT UDP connections for ALL interfaces on ports:"
                   for port in $REAL_REJECT_INPUT_UDP; do
                           for riface in $REAL_INTERFACES; do
                                   print_info -en " $port(ALL)"
                                   $IPTABLES -A INPUT -p UDP --dport $port -j REJECT --reject-with $REJECT_WITH
                           done
                   done
                   print_info " done."
           fi
 } # }}}  } # }}}
   
 allow_input()  allow_input()
 { # {{{  { # {{{
   
         if [ ! -z "$ALL_ACCEPT_INPUT_TCP" ]; then          if [ ! -z "$ALL_ACCEPT_INPUT_TCP" ]; then
                 print_info -en "Accepting ALL INPUT TCP connections on ports:"                  print_info -en "Accepting ALL INPUT TCP connections on ports:"
                 for port in $ALL_ACCEPT_INPUT_TCP; do                  for port in $ALL_ACCEPT_INPUT_TCP; do
Riadok 710  allow_input()
Riadok 809  allow_input()
                                 riface="IFname_$iface";                                  riface="IFname_$iface";
                                 print_info -en " $port($iface)"`[ ! -z $src_ip ] && echo "[$src_ip]"`                                  print_info -en " $port($iface)"`[ ! -z $src_ip ] && echo "[$src_ip]"`
                                 IPS="IP_$iface";                                  IPS="IP_$iface";
                                 for ip in ${!IPS}; do                                  if [ "$port" -eq 67 ]; then # DHCP requests doesn't have destination IP specified
                                         if [ -z "$src_ip" ]; then                                          $IPTABLES -A INPUT -i ${!riface} -p UDP --dport $port -j ACCEPT
                                                 $IPTABLES -A INPUT -i ${!riface} -d $ip -p UDP --dport $port -j ACCEPT                                  else
                                         else                                          for ip in ${!IPS}; do
                                                 $IPTABLES -A INPUT -i ${!riface} -s $src_ip -d $ip -p UDP --dport $port -j ACCEPT                                                  if [ -z "$src_ip" ]; then
                                         fi                                                          $IPTABLES -A INPUT -i ${!riface} -d $ip -p UDP --dport $port -j ACCEPT
                                 done                                                  else
                                                           $IPTABLES -A INPUT -i ${!riface} -s $src_ip -d $ip -p UDP --dport $port -j ACCEPT
                                                   fi
                                           done
                                   fi
                         done                          done
                 done                  done
                 print_info " done."                  print_info " done."
         fi          fi
   
           if [ ! -z "$REAL_ACCEPT_INPUT_TCP" ]; then
                   print_info -en "Accepting REAL all INPUT TCP connections for ALL interfaces on ports:"
                   for port in $REAL_ACCEPT_INPUT_TCP; do
                           src_ip=""
                           eval `echo $port | awk -v FS=: '/:/ { printf "src_ip=\"%s\"; port=\"%s\";", $1, $2; }'`
                           print_info -en " $port(ALL)"`[ ! -z $src_ip ] && echo "[$src_ip]"`
                           if [ -z "$src_ip" ]; then
                                   $IPTABLES -A INPUT -p TCP --dport $port -j ACCEPT
                           else
                                   $IPTABLES -A INPUT -s $src_ip -p TCP --dport $port -j ACCEPT
                           fi
                   done
                   print_info " done."
           fi
           if [ ! -z "$REAL_ACCEPT_INPUT_UDP" ]; then
                   print_info -en "Accepting REAL all INPUT UDP connections for ALL interfaces on ports:"
                   for port in $REAL_ACCEPT_INPUT_UDP; do
                           src_ip=""
                           eval `echo $port | awk -v FS=: '/:/ { printf "src_ip=\"%s\"; port=\"%s\";", $1, $2; }'`
                           print_info -en " $port(ALL)"`[ ! -z $src_ip ] && echo "[$src_ip]"`
                           if [ -z "$src_ip" ]; then
                                   $IPTABLES -A INPUT -p UDP --dport $port -j ACCEPT
                           else
                                   $IPTABLES -A INPUT -s $src_ip -p UDP --dport $port -j ACCEPT
                           fi
                   done
                   print_info " done."
           fi
   
         for iface in $INTERFACES; do          for iface in $INTERFACES; do
                 riface="IFname_$iface";                  riface="IFname_$iface";
                 IPS="IP_$iface";                  IPS="IP_$iface";
Riadok 841  allow_input()
Riadok 973  allow_input()
                                 print_info -en " $port"`[ ! -z $src_ip ] && echo "[$src_ip]"`                                  print_info -en " $port"`[ ! -z $src_ip ] && echo "[$src_ip]"`
                                 #$IPTABLES -A INPUT -i $iface -d ${!INET_IP} -p UDP --dport $port -j ACCEPT                                  #$IPTABLES -A INPUT -i $iface -d ${!INET_IP} -p UDP --dport $port -j ACCEPT
                                 #$IPTABLES -A INPUT -i $iface --source 192.168.1.0/16 -p UDP --dport $port -j ACCEPT                                  #$IPTABLES -A INPUT -i $iface --source 192.168.1.0/16 -p UDP --dport $port -j ACCEPT
                                 for ip in ${!IPS}; do                                  if [ "$port" -eq 67 ]; then # DHCP requests doesn't have destination IP specified
                                         if [ -z $src_ip ]; then                                          $IPTABLES -A INPUT -i ${!riface} -p UDP --dport $port -j ACCEPT
                                                 $IPTABLES -A INPUT -i ${!riface} -d $ip -p UDP --dport $port -j ACCEPT                                  else
                                         else                                          for ip in ${!IPS}; do
                                                 if [ "$port" = "ALL" ]; then                                                  if [ -z $src_ip ]; then
                                                         $IPTABLES -A INPUT -i ${!riface} -s $src_ip -d $ip -p UDP -j ACCEPT                                                          $IPTABLES -A INPUT -i ${!riface} -d $ip -p UDP --dport $port -j ACCEPT
                                                 else                                                  else
                                                         $IPTABLES -A INPUT -i ${!riface} -s $src_ip -d $ip -p UDP --dport $port -j ACCEPT                                                          if [ "$port" = "ALL" ]; then
                                                                   $IPTABLES -A INPUT -i ${!riface} -s $src_ip -d $ip -p UDP -j ACCEPT
                                                           else
                                                                   $IPTABLES -A INPUT -i ${!riface} -s $src_ip -d $ip -p UDP --dport $port -j ACCEPT
                                                           fi
                                                 fi                                                  fi
                                         fi                                          done
                                 done                                  fi
                         done                          done
                         print_info " done."                          print_info " done."
                 fi                  fi
Riadok 963  configure_special_rules()
Riadok 1099  configure_special_rules()
   
 } # }}}  } # }}}
   
   custom_rules()
   { # {{{
           print_info -en "Executing custom rules: "
           for max_rule_num in 9 99 999; do
                   initialized="no";
                   for i in `seq -w 0 "$max_rule_num"`; do
                           varname="CUSTOM_RULE_$i";
                           if [ -z "${!varname}" ]; then
                                   break;
                           fi
                           print_info -n "#$i";
                           $IPTABLES ${!varname};
                           rc="$?";
                           if [ "$rc" -eq 0 ]; then
                                   print_info -n "[OK] ";
                           else
                                   print_info -n "[rc:$?] ";
                           fi;
                           initialized="yes";
                   done
                   if [ "X$initialized" = "Xyes" ]; then
                           break;
                   fi
           done
           print_info " done.";
   } # }}}
   
 do_ip_accounting()  do_ip_accounting()
 { # {{{  { # {{{
   
Riadok 1347  case "$1" in
Riadok 1510  case "$1" in
                 shaping_off                  shaping_off
                 shaping_on                  shaping_on
                 configure_special_rules                  configure_special_rules
                   custom_rules
                 $IPTABLES_SAVE -c > $CACHE_FILE                  $IPTABLES_SAVE -c > $CACHE_FILE
                 ;;                  ;;
   

Legend:
Odstranené z verzie2.69  
zmenené riadky
  Pridané vo verzii2.77

Platon Group <platon@platon.sk> http://platon.sk/
Copyright © 2002-2006 Platon Group
Stránka používa redakčný systém Metafox
Na začiatok