prise en compte des règles du parefeu
[ongolaboy.git] / scripts / iptables.12022012
1 #!/bin/bash
2
3 # Script de mise en place du filtrage
4
5 IPT="/sbin/iptables"
6 IPF="$IPT -t filter"
7 IPN="$IPT -t nat"
8 IPM="$IPT -t mangle"
9
10 # quelques IP
11 ADMIN_IP=192.168.18.20
12 ADMIN_IP2=10.45.33.1
13 #TRUST=195.24.196.114
14 BACGLfw=195.24.196.113
15
16 OVZ3=192.168.10.5
17 BACKUPPC=192.168.10.3
18 Univ_IPnet=41.67.236.9
19 UnivNdere_dns=41.67.236.42
20 UnivNdere_IP_global=41.67.236.0/22
21 INET_IF0="eth0"
22 INET_IP=41.202.211.19
23 INET_IF="ppp0"
24
25 DNS1_ORANGE=41.202.217.5
26 DNS2_ORANGE=41.202.220.72
27
28 RPV=10.0.0.0/8
29 RPV_IP=10.45.33.0/24
30 RPV_IF="eth1"
31 RPV_IPsec="ipsec0"
32 RPV_DNS=10.36.0.9
33 RPV_IPfw=10.45.32.254
34
35 DMZ_IP=192.168.10.0/24
36 DMZ_IPfw=192.168.10.1
37 DMZ_IF="eth2"
38
39 LAN_IP=192.168.18.0/24
40 LAN_IPfw=192.168.18.1
41 LAN_IF="eth3"
42 LAN_IPnfs=192.168.18.3
43
44
45 #Visio
46 VISIO=192.168.18.4
47
48 # services DNATés
49 DNAT_DNS0=192.168.10.103
50 DNAT_MAIL0=192.168.10.105
51 MAILMAN0=192.168.10.110
52 MIROIR=192.168.10.120
53 ESSQL=192.168.10.104
54 KOOPA=192.168.10.211
55 SUPERVISION=192.168.10.199
56 webmail=192.168.10.111
57 mandataire=192.168.10.121
58 mandataire2=192.168.10.130
59 webCNF=192.168.10.122
60
61
62 #Variables diverses
63 MUNIN0=192.168.10.199
64 FROMhome=41.67.237.5
65 reseauMontreal=199.84.140.0/24
66 NFS0=10.45.33.252
67 MINETTE=192.168.18.158
68
69 # on ne sait jamais
70 echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
71
72 # on efface tout
73 $IPF -F INPUT
74 $IPF -F FORWARD
75 $IPF -F OUTPUT
76 $IPN -F PREROUTING
77 $IPN -F POSTROUTING
78 $IPM -F FORWARD
79
80
81 # par defaut on ferme tout (sauf en sortie)
82 $IPF -P INPUT DROP
83 $IPF -P FORWARD DROP
84 $IPF -P OUTPUT ACCEPT
85
86 #commmuniction en localhost
87 $IPF  -A INPUT -i lo -j ACCEPT
88 $IPF  -A OUTPUT -o lo -j ACCEPT
89
90 #full accès vers montréal
91 $IPF -A FORWARD -d $reseauMontreal -j ACCEPT
92
93
94 #Pas de sortie en port 25
95 $IPF -A OUTPUT -p tcp -d $DNAT_MAIL0 --dport 25 -j ACCEPT
96 $IPF -A OUTPUT -p tcp --dport 25 -j DROP
97
98 #on adapte le MSS sur les demandes de connexion TCP
99 $IPM -A FORWARD -o $INET_IF -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
100
101 #trafic refusé pour ces IP
102 #for intrus in "72.55.148.230" ; do
103 #    $IPF -A INPUT -i $INET_IF -s $intrus -j DROP
104 #    $IPF -A FORWARD -i $INET_IF -s $intrus -j DROP
105 #done 
106
107 # on accepte les flux en cours
108 $IPF -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
109 $IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
110
111 # on accepte toujours les pings
112 $IPF -A INPUT -p icmp  --icmp-type echo-request -j ACCEPT
113 $IPF -A FORWARD -p icmp   --icmp-type echo-request -j ACCEPT
114
115
116 # On évite le brute forcing un tout petit peu sur l'interface publique
117 $IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --set
118 $IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
119 $IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --set
120 $IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
121 $IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --set
122 $IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --update --seconds 65 --hitcount 4 -j DROP
123 $IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --set
124 $IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --update --seconds 15 --hitcount 4 -j DROP
125
126
127
128
129 ##ssh sur le firewall
130 $IPF -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
131
132
133 #Différents paramètres pour la visio
134 ## ON laisse tout passer :P
135 $IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p udp -j ACCEPT
136 $IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p tcp -j ACCEPT
137
138 # Rsync pour le miroir
139 $IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -m state --state NEW -o $INET_IF  -p tcp --dport 873  -j ACCEPT
140 $IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -o $INET_IF  -p udp --dport 873 -j ACCEPT
141
142
143 # acces ssh et rsync pour BACKUPPC
144 $IPF -A FORWARD -p tcp --dport 22 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
145 $IPF -A FORWARD -p tcp --dport 873 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
146
147 #Autoriser le serveur Munin
148 $IPF -A  INPUT -p tcp -i $DMZ_IF -s $MUNIN0  --dport 4949  -m state --state NEW -j ACCEPT
149 $IPF -A  FORWARD -p tcp -s $MUNIN0 -d $RPV_IP --dport 4949  -m state --state NEW -j ACCEPT
150
151 #Accès snmp sur le parefeu
152 $IPF -A  INPUT -p tcp -i $DMZ_IF  --dport 161  -m state --state NEW -j ACCEPT
153 $IPF -A  INPUT -p udp -i $DMZ_IF  --dport 161  -j ACCEPT
154
155 ### config pour le RPV
156 # ssh ouvert depuis le RPV vers tout  pour le RTL :)
157 $IPF -A FORWARD -p tcp --dport 22 -i $RPV_IF -s $ADMIN_IP2 -m state --state NEW -j ACCEPT
158 # pas d'accès à ipsec pour le réseau des usagers
159 $IPF -A FORWARD -i $LAN_IF -d $RPV -j DROP
160 $IPF -A FORWARD -i $INET_IF0 -d $RPV -j DROP
161 $IPF -A FORWARD -i $DMZ_IF -d $RPV -j DROP
162
163 #j'active dès que je comprends leur rôle
164 #$IPF  -A INPUT -p ah -j ACCEPT
165 $IPF  -A INPUT -p esp -j ACCEPT
166
167 #emission vers le RPV
168 $IPF -A FORWARD -i $RPV_IF -s $RPV_IP -d $RPV -j ACCEPT
169
170 #acces pour le DNS
171 $IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $RPV_DNS -j ACCEPT
172 $IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
173 $IPF -A FORWARD -p tcp -m state --state NEW --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
174 $IPN -A POSTROUTING -s $DNAT_DNS0 -d $RPV_DNS -j SNAT --to-source $RPV_IPfw
175 #on accepte au compte-goute pour la DMZ
176 $IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p udp -s $DMZ_IP --dport 53 -j ACCEPT
177 $IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 53 -m state --state NEW -j ACCEPT
178 $IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 11371 -m state --state NEW -j ACCEPT
179 #Uniquement le serveur MAIL0 doit envoyer sur le port 25 à l'extérieur
180 $IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DNAT_MAIL0 --dport 25 -m state --state NEW -j ACCEPT
181 #$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $MAILMAN0 --dport 25 -m state --state NEW -j ACCEPT
182
183
184 ## NFS en direction de mail
185 $IPF -A FORWARD -s $NFS0 -d $DNAT_MAIL0 -p tcp -m state --state NEW --dport 25 -j ACCEPT
186 ## NFS doit surveiller l'onduleur
187 $IPF -A FORWARD -s $NFS0 -d $OVZ3 -p tcp -m state --state NEW --dport 3493 -j ACCEPT
188
189 ###
190
191 # services internes
192
193 # dns local
194 $IPF -A FORWARD -p udp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF --dport 53 -j ACCEPT
195 $IPF -A FORWARD -p tcp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
196 $IPF -A FORWARD -p tcp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
197 $IPF -A FORWARD -p udp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF --dport 53 -j ACCEPT
198
199 # Serveur MySQL pour l'authentification centralisée
200 $IPF -A FORWARD -p tcp  -s $RPV_IP -d $ESSQL  -i $RPV_IF -o $DMZ_IF --dport 3306 -j ACCEPT
201
202 # Traffic en https
203 $IPF -A FORWARD -p tcp  -s $RPV_IP -o $DMZ_IF --dport 443 -j ACCEPT
204 $IPF -A FORWARD -p tcp  -s $LAN_IP -o $DMZ_IF --dport 443 -j ACCEPT
205
206 ###
207
208 #eviter la redirection pour les sites locaux
209 $IPN -A PREROUTING -i $LAN_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
210 $IPN -A PREROUTING -i $RPV_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
211 $IPF -A FORWARD  -i $LAN_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
212 $IPF -A FORWARD  -i $RPV_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
213
214 ### Utilisation du proxy cache par le LAN
215 ## passage par le proxy inverse
216 $IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
217 $IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
218 $IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $webCNF -j DNAT --to-destination $mandataire
219 $IPF -A FORWARD -p tcp --dport 80 -i $LAN_IF -d $mandataire -m state --state NEW -j ACCEPT
220 $IPF -A FORWARD -p tcp --dport 80 -i $RPV_IF -d $mandataire -m state --state NEW -j ACCEPT
221
222 $IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
223 $IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
224 $IPF -A FORWARD -p tcp --dport 3128 -i $LAN_IF -d $mandataire2 -m state --state NEW -j ACCEPT
225 $IPF -A FORWARD -p tcp --dport 3128 -i $RPV_IF -d $mandataire2 -m state --state NEW -j ACCEPT
226
227 $IPF -A FORWARD -o $INET_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
228 #$IPF -A FORWARD -o $LAN_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
229 ## pour l'université
230 ### on va utiliser le reverse proxy pour atteindre les autres
231 $IPN -A PREROUTING -p tcp -i $INET_IF0 --dport 80   -d $Univ_IPnet -j DNAT --to-destination $mandataire
232 $IPF -A FORWARD -p tcp --dport 80 -i $INET_IF0 -d $mandataire -m state --state NEW -j ACCEPT
233 ## Ouverture pour l'internet
234 #via DNAT en direction de mandataire
235 $IPN -A PREROUTING -p tcp -i $INET_IF  --dport 80 -m state --state NEW -d $INET_IP -j DNAT --to-destination $mandataire
236 $IPF -A FORWARD -i $INET_IF -p tcp --dport 80  -m state --state NEW -d $mandataire -j ACCEPT
237
238
239
240
241
242 # ensuite redirection transparente de tout le monde pour le reste
243 #for myNetwork in $LAN_IP $DMZ_IP $RPV_IP ; do
244 #    $IPN -A PREROUTING -i $myNetwork  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
245 #done
246     
247
248 #$IPN -A PREROUTING -i $LAN_IF -s $LAN_IP  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
249 # meme pour le RPV
250 #$IPN -A PREROUTING -p tcp -i $RPV_IF -s $RPV_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
251
252 #pour la DMZ pour l'instant
253 $IPN -A PREROUTING -p tcp -i $DMZ_IF ! -s $mandataire2 -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
254 #$IPN -A PREROUTING -p tcp -i $DMZ_IF -s $DMZ_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
255
256
257 # Services permis de l'extérieur ###
258
259 ## DNS
260 $IPN -A PREROUTING -p udp -i $INET_IF --dport 53   -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
261 $IPF -A FORWARD -p udp -i $INET_IF --dport 53  -d $DNAT_DNS0 -j ACCEPT
262 #Pour servir le réseau de l'univ
263 $IPN -A PREROUTING -p udp -i $INET_IF0 --dport 53   -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
264 $IPF -A FORWARD -p udp -i $INET_IF0  --dport 53  -d $DNAT_DNS0 -j ACCEPT
265 #Uniquement pour le BACGL
266 for DNSTRUST in 195.24.196.114 199.84.140.5 
267 do
268  $IPN -A PREROUTING -p tcp -i $INET_IF -s $DNSTRUST --dport 53 -m state --state NEW -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
269  $IPF -A FORWARD -p tcp --dport 53 -s $DNSTRUST -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
270 done
271
272 # Pour le DNS de l'universite
273 $IPN -A PREROUTING -p tcp -i $INET_IF0 -s $UnivNdere_dns --dport 53 -m state --state NEW -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
274 $IPF -A FORWARD -p tcp -i $INET_IF0 --dport 53 -s $UnivNdere_dns -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
275 # Teeworlds pour septox and co.
276 #SEPTOX=178.202.81.97
277 #$IPN -A PREROUTING -p udp -i $INET_IF -s $SEPTOX --dport 8303 -d $INET_IP -j DNAT --to-destination 192.168.18.20
278 #$IPF -A FORWARD -p udp --dport 8303 -s $SEPTOX  -d 192.168.18.20 -j ACCEPT
279 ## Accès à Munin de l'extérieur
280 #$IPN -A PREROUTING -p tcp -i $INET_IF -s $FROMhome --dport 443 -d $INET_IP -m state --state NEW -j DNAT --to-destination $SUPERVISION
281 #$IPF -A FORWARD -p tcp --dport 443 -s $FROMhome -m state --state NEW  -d $SUPERVISION -j ACCEPT
282
283 ## Le mail
284 #de l'intérieur dans le RPV
285 $IPF -A FORWARD -i $RPV_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
286 #de l'intérieur dans le LAN
287 $IPF -A FORWARD -i $LAN_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
288 #sur le monde entier
289 $IPN -A PREROUTING -p tcp -i $INET_IF -m multiport --dport 25,143,587,993 -d $INET_IP -j DNAT --to-destination $DNAT_MAIL0
290 $IPF -A FORWARD -i $INET_IF -p tcp -m multiport --dports 25,587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
291 #courriel depuis interface web (https only)
292 $IPN -A PREROUTING -p tcp -i $INET_IF  --dport 443 -m state --state NEW -d $INET_IP -j DNAT --to-destination $webmail
293 $IPF -A FORWARD -i $INET_IF -p tcp --dport 443 -m state --state NEW -d $webmail -j ACCEPT
294
295 ## Git
296 $IPN -A PREROUTING -p tcp -i $INET_IF  --dport 9418 -d $INET_IP -j DNAT --to-destination $KOOPA
297 $IPF -A FORWARD -i $INET_IF -p tcp  --dport 9418 -m state --state NEW -d $KOOPA -j ACCEPT
298
299 #Autoriser l'écoute du port 3128
300 #$IPF -A  INPUT -p tcp -i $LAN_IF -s $LAN_IP --dport 3128  -j ACCEPT
301 $IPF -A  INPUT -p tcp -i $DMZ_IF  -s $DMZ_IP --dport 3128  -j ACCEPT
302 #$IPF -A  INPUT -p tcp -i $RPV_IF -s $RPV_IP --dport 3128  -j ACCEPT
303
304 #Autoriser le LAN et les serveurs a synchroniser son heure
305 $IPF -A  INPUT -p udp -i $LAN_IF -s $LAN_IP --dport 123  -j ACCEPT
306 $IPF -A  INPUT -p udp -i $DMZ_IF -s $DMZ_IP --dport 123  -j ACCEPT
307 $IPF -A  INPUT -p udp -i $RPV_IF -s $RPV_IP --dport 123  -j ACCEPT
308
309 # serveur de test à autoriser dans le LAN public
310 $IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 22 -m state --state NEW -j ACCEPT
311 $IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
312 $IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
313
314 ## pour les tests sur django
315 $IPF -A FORWARD -o $DMZ_IF  -s $LAN_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
316 $IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
317
318 #acces pour minette sur ses serveurs
319 #$IPF -A FORWARD -o $INET_IF0 -i $LAN_IF -s $MINETTE -p tcp --dport 22 -m state --state NEW -j ACCEPT
320 #$IPN -A POSTROUTING -o $INET_IF0 -s $MINETTE -j SNAT --to-source $Univ_IPnet 
321
322
323 # ce qui sort vers internet
324
325 # les protocoles qu'on laisse sortir "librement"
326 ## les ports 1520 et 1600 sont spécifiques aux FOAD IAI
327 ## 3690 pour svn
328 ## le port 9418 est nécessaire pour git
329 ## 5050 pour yahoo messenger
330 ##5060 et 5061 pour SIP
331 ## 6667 pour utiliser l'IRC
332 ## 1935 pour 'breeze'
333 ## a quoi servent 5222 et 5223 ? Reponse: xmpp :)
334 ## 465 pour smtp over SSL
335 ## 11371 pour le serveur de cle sur ubuntu.com
336 for TCP in 20 21 22 110 123 220 443 587 993 995 3690 5222 5223 5050 6667 11371 8443 9418
337 do
338 $IPF -A FORWARD -o $INET_IF -i $LAN_IF -s $LAN_IP -p tcp --dport $TCP -m state --state NEW -j ACCEPT
339 done
340
341
342 for TCP_rpv in  20 21 43 123 443 465 587 143 220 993 110 995 3690 5222 5050 6667 11371 
343 do
344 $IPF -A FORWARD -o $INET_IF -i $RPV_IF -s $RPV_IP -p tcp --dport $TCP_rpv -m state --state NEW -j ACCEPT
345 done
346
347 ## attribution personnelle
348 ## 43 pour whois
349 ## pour torrent (mais à vérifier): 51413 6669 2710 8080 8000
350 ## 873 pour rsync
351 ## 5100 pour la webcam de Yahoo
352 for TCP2 in  22 23 25 554 5060 5061 8000 9418 8484
353 do
354 $IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p tcp --dport $TCP2 -m state --state NEW -j ACCEPT
355 $IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p udp --dport 53  -j ACCEPT
356 done
357 $IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p tcp --dport 8303 -m state --state NEW -j ACCEPT
358 $IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p udp --dport 8303  -j ACCEPT
359
360
361 #torrent ?? c'est ici
362
363 #$IPN -A PREROUTING -p tcp --dport 6969:6982 -i $INET_IF -j DNAT --to-destination 192.168.18.78
364 #$IPF -A FORWARD -d 192.168.18.78 -p tcp -m state --state NEW --dport 6969:6982 -j ACCEPT
365 #$IPF -A FORWARD -i $LAN_IF -o $INET_IF -p tcp -m multiport --dports 6969:6982  -s 192.168.18.78 -m state --state NEW -j ACCEPT
366
367
368 # en direction du réseau public de l'univ
369 #for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
370 #       $IPN -A POSTROUTING -o $INET_IF0 -s $SRC -d $UnivNdere_IP_global -j SNAT --to-source $Univ_IPnet
371 #done
372
373 # ce qui sort des IP privées est SNATé (LANs et DMZNAT)
374 for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
375         $IPN -A POSTROUTING -o $INET_IF -s $SRC -j SNAT --to-source $INET_IP # PPPoE mais avec IP fixe
376 done
377
378
379
380 # on rejette le reste...
381 $IPF -A INPUT -j DROP
382 $IPF -A FORWARD -j DROP
383
384 echo ""
385 if [ x"$1" != "xsave" ]
386 then
387         echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
388         echo "  enregistrer avec la commande suivante :"
389         echo "           # $0 save"
390 else
391         /sbin/iptables-save > /etc/network/iptables-save
392         echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
393 fi
394 echo ""