prise en compte des règles du parefeu
authorWilly MANGA <willy.manga@auf.org>
Mon, 13 Feb 2012 06:23:36 +0000 (07:23 +0100)
committerWilly MANGA <willy.manga@auf.org>
Mon, 13 Feb 2012 06:23:36 +0000 (07:23 +0100)
scripts/iptables.12022012 [new file with mode: 0755]

diff --git a/scripts/iptables.12022012 b/scripts/iptables.12022012
new file mode 100755 (executable)
index 0000000..2cfee54
--- /dev/null
@@ -0,0 +1,394 @@
+#!/bin/bash
+
+# Script de mise en place du filtrage
+
+IPT="/sbin/iptables"
+IPF="$IPT -t filter"
+IPN="$IPT -t nat"
+IPM="$IPT -t mangle"
+
+# quelques IP
+ADMIN_IP=192.168.18.20
+ADMIN_IP2=10.45.33.1
+#TRUST=195.24.196.114
+BACGLfw=195.24.196.113
+
+OVZ3=192.168.10.5
+BACKUPPC=192.168.10.3
+Univ_IPnet=41.67.236.9
+UnivNdere_dns=41.67.236.42
+UnivNdere_IP_global=41.67.236.0/22
+INET_IF0="eth0"
+INET_IP=41.202.211.19
+INET_IF="ppp0"
+
+DNS1_ORANGE=41.202.217.5
+DNS2_ORANGE=41.202.220.72
+
+RPV=10.0.0.0/8
+RPV_IP=10.45.33.0/24
+RPV_IF="eth1"
+RPV_IPsec="ipsec0"
+RPV_DNS=10.36.0.9
+RPV_IPfw=10.45.32.254
+
+DMZ_IP=192.168.10.0/24
+DMZ_IPfw=192.168.10.1
+DMZ_IF="eth2"
+
+LAN_IP=192.168.18.0/24
+LAN_IPfw=192.168.18.1
+LAN_IF="eth3"
+LAN_IPnfs=192.168.18.3
+
+
+#Visio
+VISIO=192.168.18.4
+
+# services DNATés
+DNAT_DNS0=192.168.10.103
+DNAT_MAIL0=192.168.10.105
+MAILMAN0=192.168.10.110
+MIROIR=192.168.10.120
+ESSQL=192.168.10.104
+KOOPA=192.168.10.211
+SUPERVISION=192.168.10.199
+webmail=192.168.10.111
+mandataire=192.168.10.121
+mandataire2=192.168.10.130
+webCNF=192.168.10.122
+
+
+#Variables diverses
+MUNIN0=192.168.10.199
+FROMhome=41.67.237.5
+reseauMontreal=199.84.140.0/24
+NFS0=10.45.33.252
+MINETTE=192.168.18.158
+
+# on ne sait jamais
+echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
+
+# on efface tout
+$IPF -F INPUT
+$IPF -F FORWARD
+$IPF -F OUTPUT
+$IPN -F PREROUTING
+$IPN -F POSTROUTING
+$IPM -F FORWARD
+
+
+# par defaut on ferme tout (sauf en sortie)
+$IPF -P INPUT DROP
+$IPF -P FORWARD DROP
+$IPF -P OUTPUT ACCEPT
+
+#commmuniction en localhost
+$IPF  -A INPUT -i lo -j ACCEPT
+$IPF  -A OUTPUT -o lo -j ACCEPT
+
+#full accès vers montréal
+$IPF -A FORWARD -d $reseauMontreal -j ACCEPT
+
+
+#Pas de sortie en port 25
+$IPF -A OUTPUT -p tcp -d $DNAT_MAIL0 --dport 25 -j ACCEPT
+$IPF -A OUTPUT -p tcp --dport 25 -j DROP
+
+#on adapte le MSS sur les demandes de connexion TCP
+$IPM -A FORWARD -o $INET_IF -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+
+#trafic refusé pour ces IP
+#for intrus in "72.55.148.230" ; do
+#    $IPF -A INPUT -i $INET_IF -s $intrus -j DROP
+#    $IPF -A FORWARD -i $INET_IF -s $intrus -j DROP
+#done 
+
+# on accepte les flux en cours
+$IPF -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+$IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# on accepte toujours les pings
+$IPF -A INPUT -p icmp  --icmp-type echo-request -j ACCEPT
+$IPF -A FORWARD -p icmp   --icmp-type echo-request -j ACCEPT
+
+
+# On évite le brute forcing un tout petit peu sur l'interface publique
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --set
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --set
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
+$IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --set
+$IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --update --seconds 65 --hitcount 4 -j DROP
+$IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --set
+$IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --update --seconds 15 --hitcount 4 -j DROP
+
+
+
+
+##ssh sur le firewall
+$IPF -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
+
+
+#Différents paramètres pour la visio
+## ON laisse tout passer :P
+$IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p udp -j ACCEPT
+$IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p tcp -j ACCEPT
+
+# Rsync pour le miroir
+$IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -m state --state NEW -o $INET_IF  -p tcp --dport 873  -j ACCEPT
+$IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -o $INET_IF  -p udp --dport 873 -j ACCEPT
+
+
+# acces ssh et rsync pour BACKUPPC
+$IPF -A FORWARD -p tcp --dport 22 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -p tcp --dport 873 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
+
+#Autoriser le serveur Munin
+$IPF -A  INPUT -p tcp -i $DMZ_IF -s $MUNIN0  --dport 4949  -m state --state NEW -j ACCEPT
+$IPF -A  FORWARD -p tcp -s $MUNIN0 -d $RPV_IP --dport 4949  -m state --state NEW -j ACCEPT
+
+#Accès snmp sur le parefeu
+$IPF -A  INPUT -p tcp -i $DMZ_IF  --dport 161  -m state --state NEW -j ACCEPT
+$IPF -A  INPUT -p udp -i $DMZ_IF  --dport 161  -j ACCEPT
+
+### config pour le RPV
+# ssh ouvert depuis le RPV vers tout  pour le RTL :)
+$IPF -A FORWARD -p tcp --dport 22 -i $RPV_IF -s $ADMIN_IP2 -m state --state NEW -j ACCEPT
+# pas d'accès à ipsec pour le réseau des usagers
+$IPF -A FORWARD -i $LAN_IF -d $RPV -j DROP
+$IPF -A FORWARD -i $INET_IF0 -d $RPV -j DROP
+$IPF -A FORWARD -i $DMZ_IF -d $RPV -j DROP
+
+#j'active dès que je comprends leur rôle
+#$IPF  -A INPUT -p ah -j ACCEPT
+$IPF  -A INPUT -p esp -j ACCEPT
+
+#emission vers le RPV
+$IPF -A FORWARD -i $RPV_IF -s $RPV_IP -d $RPV -j ACCEPT
+
+#acces pour le DNS
+$IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $RPV_DNS -j ACCEPT
+$IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
+$IPF -A FORWARD -p tcp -m state --state NEW --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
+$IPN -A POSTROUTING -s $DNAT_DNS0 -d $RPV_DNS -j SNAT --to-source $RPV_IPfw
+#on accepte au compte-goute pour la DMZ
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p udp -s $DMZ_IP --dport 53 -j ACCEPT
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 53 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 11371 -m state --state NEW -j ACCEPT
+#Uniquement le serveur MAIL0 doit envoyer sur le port 25 à l'extérieur
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DNAT_MAIL0 --dport 25 -m state --state NEW -j ACCEPT
+#$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $MAILMAN0 --dport 25 -m state --state NEW -j ACCEPT
+
+
+## NFS en direction de mail
+$IPF -A FORWARD -s $NFS0 -d $DNAT_MAIL0 -p tcp -m state --state NEW --dport 25 -j ACCEPT
+## NFS doit surveiller l'onduleur
+$IPF -A FORWARD -s $NFS0 -d $OVZ3 -p tcp -m state --state NEW --dport 3493 -j ACCEPT
+
+###
+
+# services internes
+
+# dns local
+$IPF -A FORWARD -p udp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF --dport 53 -j ACCEPT
+$IPF -A FORWARD -p tcp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
+$IPF -A FORWARD -p tcp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
+$IPF -A FORWARD -p udp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF --dport 53 -j ACCEPT
+
+# Serveur MySQL pour l'authentification centralisée
+$IPF -A FORWARD -p tcp  -s $RPV_IP -d $ESSQL  -i $RPV_IF -o $DMZ_IF --dport 3306 -j ACCEPT
+
+# Traffic en https
+$IPF -A FORWARD -p tcp  -s $RPV_IP -o $DMZ_IF --dport 443 -j ACCEPT
+$IPF -A FORWARD -p tcp  -s $LAN_IP -o $DMZ_IF --dport 443 -j ACCEPT
+
+###
+
+#eviter la redirection pour les sites locaux
+$IPN -A PREROUTING -i $LAN_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
+$IPN -A PREROUTING -i $RPV_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
+$IPF -A FORWARD  -i $LAN_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
+$IPF -A FORWARD  -i $RPV_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
+
+### Utilisation du proxy cache par le LAN
+## passage par le proxy inverse
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $webCNF -j DNAT --to-destination $mandataire
+$IPF -A FORWARD -p tcp --dport 80 -i $LAN_IF -d $mandataire -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -p tcp --dport 80 -i $RPV_IF -d $mandataire -m state --state NEW -j ACCEPT
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
+$IPF -A FORWARD -p tcp --dport 3128 -i $LAN_IF -d $mandataire2 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -p tcp --dport 3128 -i $RPV_IF -d $mandataire2 -m state --state NEW -j ACCEPT
+
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
+#$IPF -A FORWARD -o $LAN_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
+## pour l'université
+### on va utiliser le reverse proxy pour atteindre les autres
+$IPN -A PREROUTING -p tcp -i $INET_IF0 --dport 80   -d $Univ_IPnet -j DNAT --to-destination $mandataire
+$IPF -A FORWARD -p tcp --dport 80 -i $INET_IF0 -d $mandataire -m state --state NEW -j ACCEPT
+## Ouverture pour l'internet
+#via DNAT en direction de mandataire
+$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 80 -m state --state NEW -d $INET_IP -j DNAT --to-destination $mandataire
+$IPF -A FORWARD -i $INET_IF -p tcp --dport 80  -m state --state NEW -d $mandataire -j ACCEPT
+
+
+
+
+
+# ensuite redirection transparente de tout le monde pour le reste
+#for myNetwork in $LAN_IP $DMZ_IP $RPV_IP ; do
+#    $IPN -A PREROUTING -i $myNetwork  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+#done
+    
+
+#$IPN -A PREROUTING -i $LAN_IF -s $LAN_IP  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+# meme pour le RPV
+#$IPN -A PREROUTING -p tcp -i $RPV_IF -s $RPV_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+
+#pour la DMZ pour l'instant
+$IPN -A PREROUTING -p tcp -i $DMZ_IF ! -s $mandataire2 -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+#$IPN -A PREROUTING -p tcp -i $DMZ_IF -s $DMZ_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+
+
+# Services permis de l'extérieur ###
+
+## DNS
+$IPN -A PREROUTING -p udp -i $INET_IF --dport 53   -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
+$IPF -A FORWARD -p udp -i $INET_IF --dport 53  -d $DNAT_DNS0 -j ACCEPT
+#Pour servir le réseau de l'univ
+$IPN -A PREROUTING -p udp -i $INET_IF0 --dport 53   -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
+$IPF -A FORWARD -p udp -i $INET_IF0  --dport 53  -d $DNAT_DNS0 -j ACCEPT
+#Uniquement pour le BACGL
+for DNSTRUST in 195.24.196.114 199.84.140.5 
+do
+ $IPN -A PREROUTING -p tcp -i $INET_IF -s $DNSTRUST --dport 53 -m state --state NEW -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
+ $IPF -A FORWARD -p tcp --dport 53 -s $DNSTRUST -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
+done
+
+# Pour le DNS de l'universite
+$IPN -A PREROUTING -p tcp -i $INET_IF0 -s $UnivNdere_dns --dport 53 -m state --state NEW -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
+$IPF -A FORWARD -p tcp -i $INET_IF0 --dport 53 -s $UnivNdere_dns -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
+# Teeworlds pour septox and co.
+#SEPTOX=178.202.81.97
+#$IPN -A PREROUTING -p udp -i $INET_IF -s $SEPTOX --dport 8303 -d $INET_IP -j DNAT --to-destination 192.168.18.20
+#$IPF -A FORWARD -p udp --dport 8303 -s $SEPTOX  -d 192.168.18.20 -j ACCEPT
+## Accès à Munin de l'extérieur
+#$IPN -A PREROUTING -p tcp -i $INET_IF -s $FROMhome --dport 443 -d $INET_IP -m state --state NEW -j DNAT --to-destination $SUPERVISION
+#$IPF -A FORWARD -p tcp --dport 443 -s $FROMhome -m state --state NEW  -d $SUPERVISION -j ACCEPT
+
+## Le mail
+#de l'intérieur dans le RPV
+$IPF -A FORWARD -i $RPV_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
+#de l'intérieur dans le LAN
+$IPF -A FORWARD -i $LAN_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
+#sur le monde entier
+$IPN -A PREROUTING -p tcp -i $INET_IF -m multiport --dport 25,143,587,993 -d $INET_IP -j DNAT --to-destination $DNAT_MAIL0
+$IPF -A FORWARD -i $INET_IF -p tcp -m multiport --dports 25,587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
+#courriel depuis interface web (https only)
+$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 443 -m state --state NEW -d $INET_IP -j DNAT --to-destination $webmail
+$IPF -A FORWARD -i $INET_IF -p tcp --dport 443 -m state --state NEW -d $webmail -j ACCEPT
+
+## Git
+$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 9418 -d $INET_IP -j DNAT --to-destination $KOOPA
+$IPF -A FORWARD -i $INET_IF -p tcp  --dport 9418 -m state --state NEW -d $KOOPA -j ACCEPT
+
+#Autoriser l'écoute du port 3128
+#$IPF -A  INPUT -p tcp -i $LAN_IF -s $LAN_IP --dport 3128  -j ACCEPT
+$IPF -A  INPUT -p tcp -i $DMZ_IF  -s $DMZ_IP --dport 3128  -j ACCEPT
+#$IPF -A  INPUT -p tcp -i $RPV_IF -s $RPV_IP --dport 3128  -j ACCEPT
+
+#Autoriser le LAN et les serveurs a synchroniser son heure
+$IPF -A  INPUT -p udp -i $LAN_IF -s $LAN_IP --dport 123  -j ACCEPT
+$IPF -A  INPUT -p udp -i $DMZ_IF -s $DMZ_IP --dport 123  -j ACCEPT
+$IPF -A  INPUT -p udp -i $RPV_IF -s $RPV_IP --dport 123  -j ACCEPT
+
+# serveur de test à autoriser dans le LAN public
+$IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 22 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
+
+## pour les tests sur django
+$IPF -A FORWARD -o $DMZ_IF  -s $LAN_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
+
+#acces pour minette sur ses serveurs
+#$IPF -A FORWARD -o $INET_IF0 -i $LAN_IF -s $MINETTE -p tcp --dport 22 -m state --state NEW -j ACCEPT
+#$IPN -A POSTROUTING -o $INET_IF0 -s $MINETTE -j SNAT --to-source $Univ_IPnet 
+
+
+# ce qui sort vers internet
+
+# les protocoles qu'on laisse sortir "librement"
+## les ports 1520 et 1600 sont spécifiques aux FOAD IAI
+## 3690 pour svn
+## le port 9418 est nécessaire pour git
+## 5050 pour yahoo messenger
+##5060 et 5061 pour SIP
+## 6667 pour utiliser l'IRC
+## 1935 pour 'breeze'
+## a quoi servent 5222 et 5223 ? Reponse: xmpp :)
+## 465 pour smtp over SSL
+## 11371 pour le serveur de cle sur ubuntu.com
+for TCP in 20 21 22 110 123 220 443 587 993 995 3690 5222 5223 5050 6667 11371 8443 9418
+do
+$IPF -A FORWARD -o $INET_IF -i $LAN_IF -s $LAN_IP -p tcp --dport $TCP -m state --state NEW -j ACCEPT
+done
+
+
+for TCP_rpv in  20 21 43 123 443 465 587 143 220 993 110 995 3690 5222 5050 6667 11371 
+do
+$IPF -A FORWARD -o $INET_IF -i $RPV_IF -s $RPV_IP -p tcp --dport $TCP_rpv -m state --state NEW -j ACCEPT
+done
+
+## attribution personnelle
+## 43 pour whois
+## pour torrent (mais à vérifier): 51413 6669 2710 8080 8000
+## 873 pour rsync
+## 5100 pour la webcam de Yahoo
+for TCP2 in  22 23 25 554 5060 5061 8000 9418 8484
+do
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p tcp --dport $TCP2 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p udp --dport 53  -j ACCEPT
+done
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p tcp --dport 8303 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p udp --dport 8303  -j ACCEPT
+
+
+#torrent ?? c'est ici
+
+#$IPN -A PREROUTING -p tcp --dport 6969:6982 -i $INET_IF -j DNAT --to-destination 192.168.18.78
+#$IPF -A FORWARD -d 192.168.18.78 -p tcp -m state --state NEW --dport 6969:6982 -j ACCEPT
+#$IPF -A FORWARD -i $LAN_IF -o $INET_IF -p tcp -m multiport --dports 6969:6982  -s 192.168.18.78 -m state --state NEW -j ACCEPT
+
+
+# en direction du réseau public de l'univ
+#for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
+#      $IPN -A POSTROUTING -o $INET_IF0 -s $SRC -d $UnivNdere_IP_global -j SNAT --to-source $Univ_IPnet
+#done
+
+# ce qui sort des IP privées est SNATé (LANs et DMZNAT)
+for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
+       $IPN -A POSTROUTING -o $INET_IF -s $SRC -j SNAT --to-source $INET_IP # PPPoE mais avec IP fixe
+done
+
+
+
+# on rejette le reste...
+$IPF -A INPUT -j DROP
+$IPF -A FORWARD -j DROP
+
+echo ""
+if [ x"$1" != "xsave" ]
+then
+       echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
+       echo "  enregistrer avec la commande suivante :"
+       echo "           # $0 save"
+else
+       /sbin/iptables-save > /etc/network/iptables-save
+       echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
+fi
+echo ""