La DMZ peut aller dans l'intranet
authorWilly MANGA <willy.manga@auf.org>
Mon, 13 Feb 2012 06:35:10 +0000 (07:35 +0100)
committerWilly MANGA <willy.manga@auf.org>
Mon, 13 Feb 2012 06:35:10 +0000 (07:35 +0100)
scripts/iptables [new file with mode: 0755]
scripts/iptables.12022012 [deleted file]

diff --git a/scripts/iptables b/scripts/iptables
new file mode 100755 (executable)
index 0000000..0924c0d
--- /dev/null
@@ -0,0 +1,394 @@
+#!/bin/bash
+
+# Script de mise en place du filtrage
+
+IPT="/sbin/iptables"
+IPF="$IPT -t filter"
+IPN="$IPT -t nat"
+IPM="$IPT -t mangle"
+
+# quelques IP
+ADMIN_IP=192.168.18.20
+ADMIN_IP2=10.45.33.1
+#TRUST=195.24.196.114
+BACGLfw=195.24.196.113
+
+OVZ3=192.168.10.5
+BACKUPPC=192.168.10.3
+Univ_IPnet=41.67.236.9
+UnivNdere_dns=41.67.236.42
+UnivNdere_IP_global=41.67.236.0/22
+INET_IF0="eth0"
+INET_IP=41.202.211.19
+INET_IF="ppp0"
+
+DNS1_ORANGE=41.202.217.5
+DNS2_ORANGE=41.202.220.72
+
+RPV=10.0.0.0/8
+RPV_IP=10.45.33.0/24
+RPV_IF="eth1"
+RPV_IPsec="ipsec0"
+RPV_DNS=10.36.0.9
+RPV_IPfw=10.45.32.254
+
+DMZ_IP=192.168.10.0/24
+DMZ_IPfw=192.168.10.1
+DMZ_IF="eth2"
+
+LAN_IP=192.168.18.0/24
+LAN_IPfw=192.168.18.1
+LAN_IF="eth3"
+LAN_IPnfs=192.168.18.3
+
+
+#Visio
+VISIO=192.168.18.4
+
+# services DNATés
+DNAT_DNS0=192.168.10.103
+DNAT_MAIL0=192.168.10.105
+MAILMAN0=192.168.10.110
+MIROIR=192.168.10.120
+ESSQL=192.168.10.104
+KOOPA=192.168.10.211
+SUPERVISION=192.168.10.199
+webmail=192.168.10.111
+mandataire=192.168.10.121
+mandataire2=192.168.10.130
+webCNF=192.168.10.122
+
+
+#Variables diverses
+MUNIN0=192.168.10.199
+FROMhome=41.67.237.5
+reseauMontreal=199.84.140.0/24
+NFS0=10.45.33.252
+MINETTE=192.168.18.158
+
+# on ne sait jamais
+echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
+
+# on efface tout
+$IPF -F INPUT
+$IPF -F FORWARD
+$IPF -F OUTPUT
+$IPN -F PREROUTING
+$IPN -F POSTROUTING
+$IPM -F FORWARD
+
+
+# par defaut on ferme tout (sauf en sortie)
+$IPF -P INPUT DROP
+$IPF -P FORWARD DROP
+$IPF -P OUTPUT ACCEPT
+
+#commmuniction en localhost
+$IPF  -A INPUT -i lo -j ACCEPT
+$IPF  -A OUTPUT -o lo -j ACCEPT
+
+#full accès vers montréal
+$IPF -A FORWARD -d $reseauMontreal -j ACCEPT
+
+
+#Pas de sortie en port 25
+$IPF -A OUTPUT -p tcp -d $DNAT_MAIL0 --dport 25 -j ACCEPT
+$IPF -A OUTPUT -p tcp --dport 25 -j DROP
+
+#on adapte le MSS sur les demandes de connexion TCP
+$IPM -A FORWARD -o $INET_IF -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+
+#trafic refusé pour ces IP
+#for intrus in "72.55.148.230" ; do
+#    $IPF -A INPUT -i $INET_IF -s $intrus -j DROP
+#    $IPF -A FORWARD -i $INET_IF -s $intrus -j DROP
+#done 
+
+# on accepte les flux en cours
+$IPF -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+$IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# on accepte toujours les pings
+$IPF -A INPUT -p icmp  --icmp-type echo-request -j ACCEPT
+$IPF -A FORWARD -p icmp   --icmp-type echo-request -j ACCEPT
+
+
+# On évite le brute forcing un tout petit peu sur l'interface publique
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --set
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --set
+$IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
+$IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --set
+$IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --update --seconds 65 --hitcount 4 -j DROP
+$IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --set
+$IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --update --seconds 15 --hitcount 4 -j DROP
+
+
+
+
+##ssh sur le firewall
+$IPF -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
+
+
+#Différents paramètres pour la visio
+## ON laisse tout passer :P
+$IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p udp -j ACCEPT
+$IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p tcp -j ACCEPT
+
+# Rsync pour le miroir
+$IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -m state --state NEW -o $INET_IF  -p tcp --dport 873  -j ACCEPT
+$IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -o $INET_IF  -p udp --dport 873 -j ACCEPT
+
+
+# acces ssh et rsync pour BACKUPPC
+$IPF -A FORWARD -p tcp --dport 22 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -p tcp --dport 873 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
+
+#Autoriser le serveur Munin
+$IPF -A  INPUT -p tcp -i $DMZ_IF -s $MUNIN0  --dport 4949  -m state --state NEW -j ACCEPT
+$IPF -A  FORWARD -p tcp -s $MUNIN0 -d $RPV_IP --dport 4949  -m state --state NEW -j ACCEPT
+
+#Accès snmp sur le parefeu
+$IPF -A  INPUT -p tcp -i $DMZ_IF  --dport 161  -m state --state NEW -j ACCEPT
+$IPF -A  INPUT -p udp -i $DMZ_IF  --dport 161  -j ACCEPT
+
+### config pour le RPV
+# ssh ouvert depuis le RPV vers tout  pour le RTL :)
+$IPF -A FORWARD -p tcp --dport 22 -i $RPV_IF -s $ADMIN_IP2 -m state --state NEW -j ACCEPT
+# pas d'accès à ipsec pour le réseau des usagers
+$IPF -A FORWARD -i $LAN_IF -d $RPV -j DROP
+$IPF -A FORWARD -i $INET_IF0 -d $RPV -j DROP
+#$IPF -A FORWARD -i $DMZ_IF -d $RPV -j DROP
+
+#j'active dès que je comprends leur rôle
+#$IPF  -A INPUT -p ah -j ACCEPT
+$IPF  -A INPUT -p esp -j ACCEPT
+
+#emission vers le RPV
+$IPF -A FORWARD -i $RPV_IF -s $RPV_IP -d $RPV -j ACCEPT
+
+#acces pour le DNS
+$IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $RPV_DNS -j ACCEPT
+$IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
+$IPF -A FORWARD -p tcp -m state --state NEW --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
+$IPN -A POSTROUTING -s $DNAT_DNS0 -d $RPV_DNS -j SNAT --to-source $RPV_IPfw
+#on accepte au compte-goute pour la DMZ
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p udp -s $DMZ_IP --dport 53 -j ACCEPT
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 53 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 11371 -m state --state NEW -j ACCEPT
+#Uniquement le serveur MAIL0 doit envoyer sur le port 25 à l'extérieur
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DNAT_MAIL0 --dport 25 -m state --state NEW -j ACCEPT
+#$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $MAILMAN0 --dport 25 -m state --state NEW -j ACCEPT
+
+
+## NFS en direction de mail
+$IPF -A FORWARD -s $NFS0 -d $DNAT_MAIL0 -p tcp -m state --state NEW --dport 25 -j ACCEPT
+## NFS doit surveiller l'onduleur
+$IPF -A FORWARD -s $NFS0 -d $OVZ3 -p tcp -m state --state NEW --dport 3493 -j ACCEPT
+
+###
+
+# services internes
+
+# dns local
+$IPF -A FORWARD -p udp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF --dport 53 -j ACCEPT
+$IPF -A FORWARD -p tcp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
+$IPF -A FORWARD -p tcp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
+$IPF -A FORWARD -p udp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF --dport 53 -j ACCEPT
+
+# Serveur MySQL pour l'authentification centralisée
+$IPF -A FORWARD -p tcp  -s $RPV_IP -d $ESSQL  -i $RPV_IF -o $DMZ_IF --dport 3306 -j ACCEPT
+
+# Traffic en https
+$IPF -A FORWARD -p tcp  -s $RPV_IP -o $DMZ_IF --dport 443 -j ACCEPT
+$IPF -A FORWARD -p tcp  -s $LAN_IP -o $DMZ_IF --dport 443 -j ACCEPT
+
+###
+
+#eviter la redirection pour les sites locaux
+$IPN -A PREROUTING -i $LAN_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
+$IPN -A PREROUTING -i $RPV_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
+$IPF -A FORWARD  -i $LAN_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
+$IPF -A FORWARD  -i $RPV_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
+
+### Utilisation du proxy cache par le LAN
+## passage par le proxy inverse
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $webCNF -j DNAT --to-destination $mandataire
+$IPF -A FORWARD -p tcp --dport 80 -i $LAN_IF -d $mandataire -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -p tcp --dport 80 -i $RPV_IF -d $mandataire -m state --state NEW -j ACCEPT
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
+$IPF -A FORWARD -p tcp --dport 3128 -i $LAN_IF -d $mandataire2 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -p tcp --dport 3128 -i $RPV_IF -d $mandataire2 -m state --state NEW -j ACCEPT
+
+$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
+#$IPF -A FORWARD -o $LAN_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
+## pour l'université
+### on va utiliser le reverse proxy pour atteindre les autres
+$IPN -A PREROUTING -p tcp -i $INET_IF0 --dport 80   -d $Univ_IPnet -j DNAT --to-destination $mandataire
+$IPF -A FORWARD -p tcp --dport 80 -i $INET_IF0 -d $mandataire -m state --state NEW -j ACCEPT
+## Ouverture pour l'internet
+#via DNAT en direction de mandataire
+$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 80 -m state --state NEW -d $INET_IP -j DNAT --to-destination $mandataire
+$IPF -A FORWARD -i $INET_IF -p tcp --dport 80  -m state --state NEW -d $mandataire -j ACCEPT
+
+
+
+
+
+# ensuite redirection transparente de tout le monde pour le reste
+#for myNetwork in $LAN_IP $DMZ_IP $RPV_IP ; do
+#    $IPN -A PREROUTING -i $myNetwork  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+#done
+    
+
+#$IPN -A PREROUTING -i $LAN_IF -s $LAN_IP  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+# meme pour le RPV
+#$IPN -A PREROUTING -p tcp -i $RPV_IF -s $RPV_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+
+#pour la DMZ pour l'instant
+$IPN -A PREROUTING -p tcp -i $DMZ_IF ! -s $mandataire2 -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+#$IPN -A PREROUTING -p tcp -i $DMZ_IF -s $DMZ_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
+
+
+# Services permis de l'extérieur ###
+
+## DNS
+$IPN -A PREROUTING -p udp -i $INET_IF --dport 53   -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
+$IPF -A FORWARD -p udp -i $INET_IF --dport 53  -d $DNAT_DNS0 -j ACCEPT
+#Pour servir le réseau de l'univ
+$IPN -A PREROUTING -p udp -i $INET_IF0 --dport 53   -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
+$IPF -A FORWARD -p udp -i $INET_IF0  --dport 53  -d $DNAT_DNS0 -j ACCEPT
+#Uniquement pour le BACGL
+for DNSTRUST in 195.24.196.114 199.84.140.5 
+do
+ $IPN -A PREROUTING -p tcp -i $INET_IF -s $DNSTRUST --dport 53 -m state --state NEW -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
+ $IPF -A FORWARD -p tcp --dport 53 -s $DNSTRUST -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
+done
+
+# Pour le DNS de l'universite
+$IPN -A PREROUTING -p tcp -i $INET_IF0 -s $UnivNdere_dns --dport 53 -m state --state NEW -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
+$IPF -A FORWARD -p tcp -i $INET_IF0 --dport 53 -s $UnivNdere_dns -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
+# Teeworlds pour septox and co.
+#SEPTOX=178.202.81.97
+#$IPN -A PREROUTING -p udp -i $INET_IF -s $SEPTOX --dport 8303 -d $INET_IP -j DNAT --to-destination 192.168.18.20
+#$IPF -A FORWARD -p udp --dport 8303 -s $SEPTOX  -d 192.168.18.20 -j ACCEPT
+## Accès à Munin de l'extérieur
+#$IPN -A PREROUTING -p tcp -i $INET_IF -s $FROMhome --dport 443 -d $INET_IP -m state --state NEW -j DNAT --to-destination $SUPERVISION
+#$IPF -A FORWARD -p tcp --dport 443 -s $FROMhome -m state --state NEW  -d $SUPERVISION -j ACCEPT
+
+## Le mail
+#de l'intérieur dans le RPV
+$IPF -A FORWARD -i $RPV_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
+#de l'intérieur dans le LAN
+$IPF -A FORWARD -i $LAN_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
+#sur le monde entier
+$IPN -A PREROUTING -p tcp -i $INET_IF -m multiport --dport 25,143,587,993 -d $INET_IP -j DNAT --to-destination $DNAT_MAIL0
+$IPF -A FORWARD -i $INET_IF -p tcp -m multiport --dports 25,587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
+#courriel depuis interface web (https only)
+$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 443 -m state --state NEW -d $INET_IP -j DNAT --to-destination $webmail
+$IPF -A FORWARD -i $INET_IF -p tcp --dport 443 -m state --state NEW -d $webmail -j ACCEPT
+
+## Git
+$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 9418 -d $INET_IP -j DNAT --to-destination $KOOPA
+$IPF -A FORWARD -i $INET_IF -p tcp  --dport 9418 -m state --state NEW -d $KOOPA -j ACCEPT
+
+#Autoriser l'écoute du port 3128
+#$IPF -A  INPUT -p tcp -i $LAN_IF -s $LAN_IP --dport 3128  -j ACCEPT
+$IPF -A  INPUT -p tcp -i $DMZ_IF  -s $DMZ_IP --dport 3128  -j ACCEPT
+#$IPF -A  INPUT -p tcp -i $RPV_IF -s $RPV_IP --dport 3128  -j ACCEPT
+
+#Autoriser le LAN et les serveurs a synchroniser son heure
+$IPF -A  INPUT -p udp -i $LAN_IF -s $LAN_IP --dport 123  -j ACCEPT
+$IPF -A  INPUT -p udp -i $DMZ_IF -s $DMZ_IP --dport 123  -j ACCEPT
+$IPF -A  INPUT -p udp -i $RPV_IF -s $RPV_IP --dport 123  -j ACCEPT
+
+# serveur de test à autoriser dans le LAN public
+$IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 22 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
+
+## pour les tests sur django
+$IPF -A FORWARD -o $DMZ_IF  -s $LAN_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
+
+#acces pour minette sur ses serveurs
+#$IPF -A FORWARD -o $INET_IF0 -i $LAN_IF -s $MINETTE -p tcp --dport 22 -m state --state NEW -j ACCEPT
+#$IPN -A POSTROUTING -o $INET_IF0 -s $MINETTE -j SNAT --to-source $Univ_IPnet 
+
+
+# ce qui sort vers internet
+
+# les protocoles qu'on laisse sortir "librement"
+## les ports 1520 et 1600 sont spécifiques aux FOAD IAI
+## 3690 pour svn
+## le port 9418 est nécessaire pour git
+## 5050 pour yahoo messenger
+##5060 et 5061 pour SIP
+## 6667 pour utiliser l'IRC
+## 1935 pour 'breeze'
+## a quoi servent 5222 et 5223 ? Reponse: xmpp :)
+## 465 pour smtp over SSL
+## 11371 pour le serveur de cle sur ubuntu.com
+for TCP in 20 21 22 110 123 220 443 587 993 995 3690 5222 5223 5050 6667 11371 8443 9418
+do
+$IPF -A FORWARD -o $INET_IF -i $LAN_IF -s $LAN_IP -p tcp --dport $TCP -m state --state NEW -j ACCEPT
+done
+
+
+for TCP_rpv in  20 21 43 123 443 465 587 143 220 993 110 995 3690 5222 5050 6667 11371 
+do
+$IPF -A FORWARD -o $INET_IF -i $RPV_IF -s $RPV_IP -p tcp --dport $TCP_rpv -m state --state NEW -j ACCEPT
+done
+
+## attribution personnelle
+## 43 pour whois
+## pour torrent (mais à vérifier): 51413 6669 2710 8080 8000
+## 873 pour rsync
+## 5100 pour la webcam de Yahoo
+for TCP2 in  22 23 25 554 5060 5061 8000 9418 8484
+do
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p tcp --dport $TCP2 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p udp --dport 53  -j ACCEPT
+done
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p tcp --dport 8303 -m state --state NEW -j ACCEPT
+$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p udp --dport 8303  -j ACCEPT
+
+
+#torrent ?? c'est ici
+
+#$IPN -A PREROUTING -p tcp --dport 6969:6982 -i $INET_IF -j DNAT --to-destination 192.168.18.78
+#$IPF -A FORWARD -d 192.168.18.78 -p tcp -m state --state NEW --dport 6969:6982 -j ACCEPT
+#$IPF -A FORWARD -i $LAN_IF -o $INET_IF -p tcp -m multiport --dports 6969:6982  -s 192.168.18.78 -m state --state NEW -j ACCEPT
+
+
+# en direction du réseau public de l'univ
+#for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
+#      $IPN -A POSTROUTING -o $INET_IF0 -s $SRC -d $UnivNdere_IP_global -j SNAT --to-source $Univ_IPnet
+#done
+
+# ce qui sort des IP privées est SNATé (LANs et DMZNAT)
+for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
+       $IPN -A POSTROUTING -o $INET_IF -s $SRC -j SNAT --to-source $INET_IP # PPPoE mais avec IP fixe
+done
+
+
+
+# on rejette le reste...
+$IPF -A INPUT -j DROP
+$IPF -A FORWARD -j DROP
+
+echo ""
+if [ x"$1" != "xsave" ]
+then
+       echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
+       echo "  enregistrer avec la commande suivante :"
+       echo "           # $0 save"
+else
+       /sbin/iptables-save > /etc/network/iptables-save
+       echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
+fi
+echo ""
diff --git a/scripts/iptables.12022012 b/scripts/iptables.12022012
deleted file mode 100755 (executable)
index 2cfee54..0000000
+++ /dev/null
@@ -1,394 +0,0 @@
-#!/bin/bash
-
-# Script de mise en place du filtrage
-
-IPT="/sbin/iptables"
-IPF="$IPT -t filter"
-IPN="$IPT -t nat"
-IPM="$IPT -t mangle"
-
-# quelques IP
-ADMIN_IP=192.168.18.20
-ADMIN_IP2=10.45.33.1
-#TRUST=195.24.196.114
-BACGLfw=195.24.196.113
-
-OVZ3=192.168.10.5
-BACKUPPC=192.168.10.3
-Univ_IPnet=41.67.236.9
-UnivNdere_dns=41.67.236.42
-UnivNdere_IP_global=41.67.236.0/22
-INET_IF0="eth0"
-INET_IP=41.202.211.19
-INET_IF="ppp0"
-
-DNS1_ORANGE=41.202.217.5
-DNS2_ORANGE=41.202.220.72
-
-RPV=10.0.0.0/8
-RPV_IP=10.45.33.0/24
-RPV_IF="eth1"
-RPV_IPsec="ipsec0"
-RPV_DNS=10.36.0.9
-RPV_IPfw=10.45.32.254
-
-DMZ_IP=192.168.10.0/24
-DMZ_IPfw=192.168.10.1
-DMZ_IF="eth2"
-
-LAN_IP=192.168.18.0/24
-LAN_IPfw=192.168.18.1
-LAN_IF="eth3"
-LAN_IPnfs=192.168.18.3
-
-
-#Visio
-VISIO=192.168.18.4
-
-# services DNATés
-DNAT_DNS0=192.168.10.103
-DNAT_MAIL0=192.168.10.105
-MAILMAN0=192.168.10.110
-MIROIR=192.168.10.120
-ESSQL=192.168.10.104
-KOOPA=192.168.10.211
-SUPERVISION=192.168.10.199
-webmail=192.168.10.111
-mandataire=192.168.10.121
-mandataire2=192.168.10.130
-webCNF=192.168.10.122
-
-
-#Variables diverses
-MUNIN0=192.168.10.199
-FROMhome=41.67.237.5
-reseauMontreal=199.84.140.0/24
-NFS0=10.45.33.252
-MINETTE=192.168.18.158
-
-# on ne sait jamais
-echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
-
-# on efface tout
-$IPF -F INPUT
-$IPF -F FORWARD
-$IPF -F OUTPUT
-$IPN -F PREROUTING
-$IPN -F POSTROUTING
-$IPM -F FORWARD
-
-
-# par defaut on ferme tout (sauf en sortie)
-$IPF -P INPUT DROP
-$IPF -P FORWARD DROP
-$IPF -P OUTPUT ACCEPT
-
-#commmuniction en localhost
-$IPF  -A INPUT -i lo -j ACCEPT
-$IPF  -A OUTPUT -o lo -j ACCEPT
-
-#full accès vers montréal
-$IPF -A FORWARD -d $reseauMontreal -j ACCEPT
-
-
-#Pas de sortie en port 25
-$IPF -A OUTPUT -p tcp -d $DNAT_MAIL0 --dport 25 -j ACCEPT
-$IPF -A OUTPUT -p tcp --dport 25 -j DROP
-
-#on adapte le MSS sur les demandes de connexion TCP
-$IPM -A FORWARD -o $INET_IF -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-
-#trafic refusé pour ces IP
-#for intrus in "72.55.148.230" ; do
-#    $IPF -A INPUT -i $INET_IF -s $intrus -j DROP
-#    $IPF -A FORWARD -i $INET_IF -s $intrus -j DROP
-#done 
-
-# on accepte les flux en cours
-$IPF -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-$IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-
-# on accepte toujours les pings
-$IPF -A INPUT -p icmp  --icmp-type echo-request -j ACCEPT
-$IPF -A FORWARD -p icmp   --icmp-type echo-request -j ACCEPT
-
-
-# On évite le brute forcing un tout petit peu sur l'interface publique
-$IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --set
-$IPF -A INPUT -p tcp --dport 22 -i $INET_IF -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
-$IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --set
-$IPF -A INPUT -p tcp --dport 22 -i $INET_IF0 -m state --state NEW -m recent --update --seconds 24 --hitcount 2 -j DROP
-$IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --set
-$IPF -A FORWARD -p tcp -m multiport --dports 25,143,587,993 -i $INET_IF -m state --state NEW -m recent --update --seconds 65 --hitcount 4 -j DROP
-$IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --set
-$IPF -A FORWARD -p udp --dport 53 -i $INET_IF  -m recent --update --seconds 15 --hitcount 4 -j DROP
-
-
-
-
-##ssh sur le firewall
-$IPF -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
-
-
-#Différents paramètres pour la visio
-## ON laisse tout passer :P
-$IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p udp -j ACCEPT
-$IPF -A FORWARD  -i $LAN_IF -s $VISIO -o $INET_IF  -p tcp -j ACCEPT
-
-# Rsync pour le miroir
-$IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -m state --state NEW -o $INET_IF  -p tcp --dport 873  -j ACCEPT
-$IPF -A FORWARD  -i $DMZ_IF -s $MIROIR -o $INET_IF  -p udp --dport 873 -j ACCEPT
-
-
-# acces ssh et rsync pour BACKUPPC
-$IPF -A FORWARD -p tcp --dport 22 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -p tcp --dport 873 -i $DMZ_IF -s $BACKUPPC -m state --state NEW -j ACCEPT
-
-#Autoriser le serveur Munin
-$IPF -A  INPUT -p tcp -i $DMZ_IF -s $MUNIN0  --dport 4949  -m state --state NEW -j ACCEPT
-$IPF -A  FORWARD -p tcp -s $MUNIN0 -d $RPV_IP --dport 4949  -m state --state NEW -j ACCEPT
-
-#Accès snmp sur le parefeu
-$IPF -A  INPUT -p tcp -i $DMZ_IF  --dport 161  -m state --state NEW -j ACCEPT
-$IPF -A  INPUT -p udp -i $DMZ_IF  --dport 161  -j ACCEPT
-
-### config pour le RPV
-# ssh ouvert depuis le RPV vers tout  pour le RTL :)
-$IPF -A FORWARD -p tcp --dport 22 -i $RPV_IF -s $ADMIN_IP2 -m state --state NEW -j ACCEPT
-# pas d'accès à ipsec pour le réseau des usagers
-$IPF -A FORWARD -i $LAN_IF -d $RPV -j DROP
-$IPF -A FORWARD -i $INET_IF0 -d $RPV -j DROP
-$IPF -A FORWARD -i $DMZ_IF -d $RPV -j DROP
-
-#j'active dès que je comprends leur rôle
-#$IPF  -A INPUT -p ah -j ACCEPT
-$IPF  -A INPUT -p esp -j ACCEPT
-
-#emission vers le RPV
-$IPF -A FORWARD -i $RPV_IF -s $RPV_IP -d $RPV -j ACCEPT
-
-#acces pour le DNS
-$IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $RPV_DNS -j ACCEPT
-$IPF -A FORWARD -p udp --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
-$IPF -A FORWARD -p tcp -m state --state NEW --dport 53 -s $DNAT_DNS0 -d $LAN_IPnfs -j ACCEPT
-$IPN -A POSTROUTING -s $DNAT_DNS0 -d $RPV_DNS -j SNAT --to-source $RPV_IPfw
-#on accepte au compte-goute pour la DMZ
-$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p udp -s $DMZ_IP --dport 53 -j ACCEPT
-$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 53 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DMZ_IP --dport 11371 -m state --state NEW -j ACCEPT
-#Uniquement le serveur MAIL0 doit envoyer sur le port 25 à l'extérieur
-$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $DNAT_MAIL0 --dport 25 -m state --state NEW -j ACCEPT
-#$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -p tcp -s $MAILMAN0 --dport 25 -m state --state NEW -j ACCEPT
-
-
-## NFS en direction de mail
-$IPF -A FORWARD -s $NFS0 -d $DNAT_MAIL0 -p tcp -m state --state NEW --dport 25 -j ACCEPT
-## NFS doit surveiller l'onduleur
-$IPF -A FORWARD -s $NFS0 -d $OVZ3 -p tcp -m state --state NEW --dport 3493 -j ACCEPT
-
-###
-
-# services internes
-
-# dns local
-$IPF -A FORWARD -p udp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF --dport 53 -j ACCEPT
-$IPF -A FORWARD -p tcp  -s $LAN_IP -d $DNAT_DNS0  -i $LAN_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
-$IPF -A FORWARD -p tcp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF -m state --state NEW --dport 53 -j ACCEPT
-$IPF -A FORWARD -p udp  -s $RPV_IP -d $DNAT_DNS0  -i $RPV_IF -o $DMZ_IF --dport 53 -j ACCEPT
-
-# Serveur MySQL pour l'authentification centralisée
-$IPF -A FORWARD -p tcp  -s $RPV_IP -d $ESSQL  -i $RPV_IF -o $DMZ_IF --dport 3306 -j ACCEPT
-
-# Traffic en https
-$IPF -A FORWARD -p tcp  -s $RPV_IP -o $DMZ_IF --dport 443 -j ACCEPT
-$IPF -A FORWARD -p tcp  -s $LAN_IP -o $DMZ_IF --dport 443 -j ACCEPT
-
-###
-
-#eviter la redirection pour les sites locaux
-$IPN -A PREROUTING -i $LAN_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
-$IPN -A PREROUTING -i $RPV_IF  -d $KOOPA  -p tcp --dport 80 -j RETURN
-$IPF -A FORWARD  -i $LAN_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
-$IPF -A FORWARD  -i $RPV_IF -p tcp --dport 80 -m state --state NEW -d $KOOPA -j ACCEPT
-
-### Utilisation du proxy cache par le LAN
-## passage par le proxy inverse
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $MIROIR -j DNAT --to-destination $mandataire
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -d $webCNF -j DNAT --to-destination $mandataire
-$IPF -A FORWARD -p tcp --dport 80 -i $LAN_IF -d $mandataire -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -p tcp --dport 80 -i $RPV_IF -d $mandataire -m state --state NEW -j ACCEPT
-
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $LAN_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $RPV_IF --dport 80 -j DNAT --to-destination $mandataire2:3128
-$IPF -A FORWARD -p tcp --dport 3128 -i $LAN_IF -d $mandataire2 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -p tcp --dport 3128 -i $RPV_IF -d $mandataire2 -m state --state NEW -j ACCEPT
-
-$IPF -A FORWARD -o $INET_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
-#$IPF -A FORWARD -o $LAN_IF -i $DMZ_IF -s $mandataire2 -p tcp --dport 80 -m state --state NEW -j ACCEPT
-## pour l'université
-### on va utiliser le reverse proxy pour atteindre les autres
-$IPN -A PREROUTING -p tcp -i $INET_IF0 --dport 80   -d $Univ_IPnet -j DNAT --to-destination $mandataire
-$IPF -A FORWARD -p tcp --dport 80 -i $INET_IF0 -d $mandataire -m state --state NEW -j ACCEPT
-## Ouverture pour l'internet
-#via DNAT en direction de mandataire
-$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 80 -m state --state NEW -d $INET_IP -j DNAT --to-destination $mandataire
-$IPF -A FORWARD -i $INET_IF -p tcp --dport 80  -m state --state NEW -d $mandataire -j ACCEPT
-
-
-
-
-
-# ensuite redirection transparente de tout le monde pour le reste
-#for myNetwork in $LAN_IP $DMZ_IP $RPV_IP ; do
-#    $IPN -A PREROUTING -i $myNetwork  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
-#done
-    
-
-#$IPN -A PREROUTING -i $LAN_IF -s $LAN_IP  -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
-# meme pour le RPV
-#$IPN -A PREROUTING -p tcp -i $RPV_IF -s $RPV_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
-
-#pour la DMZ pour l'instant
-$IPN -A PREROUTING -p tcp -i $DMZ_IF ! -s $mandataire2 -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
-#$IPN -A PREROUTING -p tcp -i $DMZ_IF -s $DMZ_IP -m state --state NEW --dport 80 -j REDIRECT --to-ports 3128
-
-
-# Services permis de l'extérieur ###
-
-## DNS
-$IPN -A PREROUTING -p udp -i $INET_IF --dport 53   -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
-$IPF -A FORWARD -p udp -i $INET_IF --dport 53  -d $DNAT_DNS0 -j ACCEPT
-#Pour servir le réseau de l'univ
-$IPN -A PREROUTING -p udp -i $INET_IF0 --dport 53   -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
-$IPF -A FORWARD -p udp -i $INET_IF0  --dport 53  -d $DNAT_DNS0 -j ACCEPT
-#Uniquement pour le BACGL
-for DNSTRUST in 195.24.196.114 199.84.140.5 
-do
- $IPN -A PREROUTING -p tcp -i $INET_IF -s $DNSTRUST --dport 53 -m state --state NEW -d $INET_IP -j DNAT --to-destination $DNAT_DNS0
- $IPF -A FORWARD -p tcp --dport 53 -s $DNSTRUST -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
-done
-
-# Pour le DNS de l'universite
-$IPN -A PREROUTING -p tcp -i $INET_IF0 -s $UnivNdere_dns --dport 53 -m state --state NEW -d $Univ_IPnet -j DNAT --to-destination $DNAT_DNS0
-$IPF -A FORWARD -p tcp -i $INET_IF0 --dport 53 -s $UnivNdere_dns -m state --state NEW -d $DNAT_DNS0 -j ACCEPT
-# Teeworlds pour septox and co.
-#SEPTOX=178.202.81.97
-#$IPN -A PREROUTING -p udp -i $INET_IF -s $SEPTOX --dport 8303 -d $INET_IP -j DNAT --to-destination 192.168.18.20
-#$IPF -A FORWARD -p udp --dport 8303 -s $SEPTOX  -d 192.168.18.20 -j ACCEPT
-## Accès à Munin de l'extérieur
-#$IPN -A PREROUTING -p tcp -i $INET_IF -s $FROMhome --dport 443 -d $INET_IP -m state --state NEW -j DNAT --to-destination $SUPERVISION
-#$IPF -A FORWARD -p tcp --dport 443 -s $FROMhome -m state --state NEW  -d $SUPERVISION -j ACCEPT
-
-## Le mail
-#de l'intérieur dans le RPV
-$IPF -A FORWARD -i $RPV_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
-#de l'intérieur dans le LAN
-$IPF -A FORWARD -i $LAN_IF -p tcp -m multiport --dports 587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
-#sur le monde entier
-$IPN -A PREROUTING -p tcp -i $INET_IF -m multiport --dport 25,143,587,993 -d $INET_IP -j DNAT --to-destination $DNAT_MAIL0
-$IPF -A FORWARD -i $INET_IF -p tcp -m multiport --dports 25,587,143,993 -m state --state NEW -d $DNAT_MAIL0 -j ACCEPT
-#courriel depuis interface web (https only)
-$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 443 -m state --state NEW -d $INET_IP -j DNAT --to-destination $webmail
-$IPF -A FORWARD -i $INET_IF -p tcp --dport 443 -m state --state NEW -d $webmail -j ACCEPT
-
-## Git
-$IPN -A PREROUTING -p tcp -i $INET_IF  --dport 9418 -d $INET_IP -j DNAT --to-destination $KOOPA
-$IPF -A FORWARD -i $INET_IF -p tcp  --dport 9418 -m state --state NEW -d $KOOPA -j ACCEPT
-
-#Autoriser l'écoute du port 3128
-#$IPF -A  INPUT -p tcp -i $LAN_IF -s $LAN_IP --dport 3128  -j ACCEPT
-$IPF -A  INPUT -p tcp -i $DMZ_IF  -s $DMZ_IP --dport 3128  -j ACCEPT
-#$IPF -A  INPUT -p tcp -i $RPV_IF -s $RPV_IP --dport 3128  -j ACCEPT
-
-#Autoriser le LAN et les serveurs a synchroniser son heure
-$IPF -A  INPUT -p udp -i $LAN_IF -s $LAN_IP --dport 123  -j ACCEPT
-$IPF -A  INPUT -p udp -i $DMZ_IF -s $DMZ_IP --dport 123  -j ACCEPT
-$IPF -A  INPUT -p udp -i $RPV_IF -s $RPV_IP --dport 123  -j ACCEPT
-
-# serveur de test à autoriser dans le LAN public
-$IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 22 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -o $DMZ_IF -i $LAN_IF -s $LAN_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 9418 -m state --state NEW -j ACCEPT
-
-## pour les tests sur django
-$IPF -A FORWARD -o $DMZ_IF  -s $LAN_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -o $DMZ_IF  -s $RPV_IP -d $KOOPA -p tcp --dport 8000 -m state --state NEW -j ACCEPT
-
-#acces pour minette sur ses serveurs
-#$IPF -A FORWARD -o $INET_IF0 -i $LAN_IF -s $MINETTE -p tcp --dport 22 -m state --state NEW -j ACCEPT
-#$IPN -A POSTROUTING -o $INET_IF0 -s $MINETTE -j SNAT --to-source $Univ_IPnet 
-
-
-# ce qui sort vers internet
-
-# les protocoles qu'on laisse sortir "librement"
-## les ports 1520 et 1600 sont spécifiques aux FOAD IAI
-## 3690 pour svn
-## le port 9418 est nécessaire pour git
-## 5050 pour yahoo messenger
-##5060 et 5061 pour SIP
-## 6667 pour utiliser l'IRC
-## 1935 pour 'breeze'
-## a quoi servent 5222 et 5223 ? Reponse: xmpp :)
-## 465 pour smtp over SSL
-## 11371 pour le serveur de cle sur ubuntu.com
-for TCP in 20 21 22 110 123 220 443 587 993 995 3690 5222 5223 5050 6667 11371 8443 9418
-do
-$IPF -A FORWARD -o $INET_IF -i $LAN_IF -s $LAN_IP -p tcp --dport $TCP -m state --state NEW -j ACCEPT
-done
-
-
-for TCP_rpv in  20 21 43 123 443 465 587 143 220 993 110 995 3690 5222 5050 6667 11371 
-do
-$IPF -A FORWARD -o $INET_IF -i $RPV_IF -s $RPV_IP -p tcp --dport $TCP_rpv -m state --state NEW -j ACCEPT
-done
-
-## attribution personnelle
-## 43 pour whois
-## pour torrent (mais à vérifier): 51413 6669 2710 8080 8000
-## 873 pour rsync
-## 5100 pour la webcam de Yahoo
-for TCP2 in  22 23 25 554 5060 5061 8000 9418 8484
-do
-$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p tcp --dport $TCP2 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $INET_IF -p udp --dport 53  -j ACCEPT
-done
-$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p tcp --dport 8303 -m state --state NEW -j ACCEPT
-$IPF -A FORWARD -s $ADMIN_IP2 -i $RPV_IF -o $LAN_IF -p udp --dport 8303  -j ACCEPT
-
-
-#torrent ?? c'est ici
-
-#$IPN -A PREROUTING -p tcp --dport 6969:6982 -i $INET_IF -j DNAT --to-destination 192.168.18.78
-#$IPF -A FORWARD -d 192.168.18.78 -p tcp -m state --state NEW --dport 6969:6982 -j ACCEPT
-#$IPF -A FORWARD -i $LAN_IF -o $INET_IF -p tcp -m multiport --dports 6969:6982  -s 192.168.18.78 -m state --state NEW -j ACCEPT
-
-
-# en direction du réseau public de l'univ
-#for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
-#      $IPN -A POSTROUTING -o $INET_IF0 -s $SRC -d $UnivNdere_IP_global -j SNAT --to-source $Univ_IPnet
-#done
-
-# ce qui sort des IP privées est SNATé (LANs et DMZNAT)
-for SRC in $DMZ_IP $RPV_IP $LAN_IP;  do
-       $IPN -A POSTROUTING -o $INET_IF -s $SRC -j SNAT --to-source $INET_IP # PPPoE mais avec IP fixe
-done
-
-
-
-# on rejette le reste...
-$IPF -A INPUT -j DROP
-$IPF -A FORWARD -j DROP
-
-echo ""
-if [ x"$1" != "xsave" ]
-then
-       echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
-       echo "  enregistrer avec la commande suivante :"
-       echo "           # $0 save"
-else
-       /sbin/iptables-save > /etc/network/iptables-save
-       echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
-fi
-echo ""