maj firewall
authorOngolaboy <willy.manga@auf.org>
Thu, 6 Aug 2015 11:27:33 +0000 (12:27 +0100)
committerOngolaboy <willy.manga@auf.org>
Thu, 6 Aug 2015 11:27:33 +0000 (12:27 +0100)
scripts/parefeu/firewall.bacgl

index 064dea1..2fda1ed 100644 (file)
@@ -2,7 +2,6 @@
 modprobe ip_tables
 modprobe ip_nat_ftp
 modprobe ip_nat_irc
-modprobe iptable_filter
 modprobe iptable_nat
 modprobe ip_conntrack_ftp
 #
@@ -15,91 +14,120 @@ IPN="$IPT -t nat"
 IPM="$IPT -t mangle"
 
 ##Interfaces
-IF_INTERNET=eth2.2
-IF_DMZ_PUB=eth2.112
-IF_DMZ_PRIV=eth2.10
-IF_RPV=eth2.20
-IF_RPV_ADMIN=eth2.15
-IF_USAGER_ADMIN=eth2.25
-IF_FORMATION='eth2.30'
-IF_PROF='eth2.32'
-IF_FOAD='eth2.33'
+IF_INTERNET=eth0.2
+IF_DMZ_PUB=eth0.112
+IF_DMZ2=eth0.12
+IF_DMZ_PRIV=eth0.10
+IF_RPV=eth0.20
+IF_RPV_ADMIN='eth0.15'
+IF_USAGER_ADMIN='eth0.25'
+IF_FORMATION='eth0.30'
+IF_CAI='eth0.31'
+IF_PROF='eth0.32'
+IF_FOAD='eth0.33'
+IF_SONDE='eth0.3'
+IF_DMZ_PARTENAIRE='eth0.11'
+
 #
 ##IP
 ### Public
 IP_PUB_NAT=195.24.196.113
 IP_PUB_DNS=195.24.196.114
+IP_PUB_DNS3=195.24.196.120
 IP_PUB_SMTP=195.24.196.114
+IP_PUB_AMAVIS=195.24.196.114
 IP_PUB_MAILMAN=195.24.196.114
 IP_PUB_WEB=195.24.196.115
+IP_PUB_WEB2=195.24.195.226
+IP_PUB_MIROIR=195.24.196.115
 IP_PUB_SOGO=195.24.196.116
 IP_PUB_VOIP=195.24.196.117
 IP_PUB_VOIP_test=195.24.196.117
 IP_PUB_MAIL=195.24.196.118
-IP_PUB_SOGO_TEST=195.24.196.118
 IP_PUB_DMZPriv_NAT=195.24.196.119
 IP_PUB_NAT_RPV=195.24.196.120
+IP_PUB_DMZ_PARTENAIRE=195.24.196.121
+IP_PUB_SONDE=195.24.196.122
 IP_PUB_NOMADE=195.24.196.123
+IP_PUB_AFRIPEDIA=195.24.196.115
 IP_PUB_VISIO_Directeur=195.24.196.124
 IP_PUB_VISIO_Reunion=195.24.196.125
 IP_PUB_VISIO_Formation=195.24.196.126
 IP_VOIP_NOMADE_CA=199.84.140.31
-### Privée
+### Privée
 IP_BACKUP=192.168.10.2
 IP_DNS=192.168.10.3
-IP_SQL=192.168.10.4
+IP_DNS3=192.168.10.2
+IP_SQL=192.168.10.12
 IP_SMTP=192.168.10.5
 IP_AMAVIS=192.168.10.6
 IP_MAIL=192.168.10.7
 IP_FRONTAL=192.168.10.8
 IP_WEB=192.168.10.9
+IP_WEB2=192.168.10.21
 IP_MIROIR=192.168.10.10
 IP_WEBMAIL=192.168.10.11
-IP_WEB_LEGACY=192.168.10.11
+IP_ADU=192.168.10.11
 IP_DOCUMENTS=192.168.10.14
 IP_FREERADIUS=192.168.10.15
-IP_SOGO_TEST=192.168.10.16
 IP_VOIP_test=192.168.10.17
-IP_COURS_EN_LIGNE=192.168.10.19
 IP_GIT_CM=192.168.10.18
+IP_COURS_EN_LIGNE=192.168.10.19
+IP_AFRIPEDIA=192.168.10.20
+IP_MOODLE_ACSI=192.168.10.22
+IP_ADIFOAD=192.168.11.10
+IP_ACSI=192.168.11.11
+IP_FLE=192.168.11.12
 IP_SUPERVISION=10.45.0.1
+IP_SUPERVISION2=10.45.0.5
 IP_CAPTIF_SENSE=192.168.0.5
-IP_CAPTIF_SENSE2=192.168.0.10
-IP_MIROIR_RPV=10.45.1.10
+IP_CAPTIF_SENSE2=192.168.0.6
+IP_LEO=10.45.1.183
 IP_MANDATAIRE_RPV=10.45.1.185
-IP_RTR=10.45.1.15
+IP_RTR=10.45.1.49
 IP_Directeur=10.45.1.44
+IP_NUT=10.45.0.2
+IP_SONDE=192.168.35.12
+
 ###Externes
+IP_Tri_vietnam=42.116.8.148
 IP_UnivPoitiers=195.83.66.24
 IP_PUB_DNS_PARIS=81.80.122.2
 IP_PUB_DNS_MONTREAL=199.84.140.5
 IP_PUB_DNS_SOA=41.67.224.16
-IP_CAMAIRCO=195.24.211.146
 IP_BRAZZAVILLE=77.70.184.26
 IP_InstitutFrDLA=196.202.238.15
 IP_GLPI_AUF=199.84.140.41
 IP_CAMPUSVirtualUY1=41.204.93.114
 IP_CentreCalculUY1=41.67.208.201
 IP_AUF_PIWIK=178.23.121.99
+IP_PUB_FW_BANGUI=77.70.183.125
 
 #
 ## reseaux
 NET_CAMTEL=195.24.196.112/28
+NET_CAMTEL2=195.24.195.224/29
+NET_DMZ2=195.24.195.224/29
 NET_DMZ=192.168.10.0/24
+NET_DMZ_PARTENAIRE=192.168.11.0/24
 NET_RPV_SVR=10.45.0.0/24
 NET_RPV=10.45.0.0/20
 NET_RPV_AUF=10.0.0.0/8
 NET_RPV_PERSONNEL=10.45.1.0/24
 NET_FORMATION=192.168.30.0/24
+NET_CAI=192.168.31.0/24
 NET_PROF=192.168.32.0/24
 NET_FOAD=192.168.33.0/24
 NET_NOMADE=192.168.34.0/24
 NET_MONTREAL=199.84.140.0/24
-NET_PARIS=81.80.122.0/23
+NET_PARIS=77.158.56.0/24
+NET_RENATER_VISIO=194.214.0.0/16
+NET_RENATER2_VISIO=195.220.0.0/16
+NET_MTN=41.205.0.0/19
 
 PORT_AUTORISES_tcp="20 21 22 43 80 110 119 123 143 161 220 317 443 465 \
         563 554 587 993 995 1194 1500 1520 1600 1863 1935 5222 5223 5050 \
-       5060 5223 6667 9418 9447 11371 7070"
+       5060 5223 6667 6697 9418 9447 11371 7070"
 PORT_AUTORISES_udp="123 1194"
 #
 ## on efface tout
@@ -129,15 +157,19 @@ $IPF -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 #
 ##appelle fichier iptables pour sogo 
 "/etc/network/firewall-sogo"
-#"/etc/network/firewall-sogo-test"
 
 $IPT -A FORWARD -m state --state NEW -j SOGoForward
 #
+
 ## on accepte toujours les pings
 $IPF -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
 $IPF -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
+
+#on accepte les acces depuis le reseau MTN
+$IPF -I INPUT -p tcp -s $NET_MTN -j ACCEPT
+
 #
-## Tous les chemins doivent mener à rome si on souhaite y aller :)
+## Tous les chemins doivent mener à rome si on souhaite y aller :)
 $IPF -A FORWARD -d $NET_MONTREAL -j ACCEPT
 $IPF -A FORWARD -s $NET_MONTREAL -j ACCEPT
 $IPF -A FORWARD -d $NET_PARIS -j ACCEPT
@@ -146,7 +178,7 @@ $IPF -A FORWARD -s $NET_PARIS -j ACCEPT
 ##communication en localhost
 $IPF  -A INPUT -i lo -j ACCEPT
 #
-## La règle au plus haut niveau au cas où on aurait oublié plus bas
+## La règle au plus haut niveau au cas où on aurait oublié plus bas
 #$IPF -A FORWARD -o $IF_INTERNET ! -s $IP_PUB_SMTP \
 #      -p tcp --dport 25 -j REJECT
 
@@ -160,43 +192,95 @@ $IPF  -A INPUT -i lo -j ACCEPT
 #done
 
 $IPN -A PREROUTING -p tcp -i $IF_INTERNET -m state --state NEW \
-       --dport 53 -d $IP_PUB_DNS -j DNAT --to-destination $IP_DNS
+       --dport domain -d $IP_PUB_DNS -j DNAT --to-destination $IP_DNS
+
+$IPN -A PREROUTING -p udp -i $IF_INTERNET \
+       --dport domain -d $IP_PUB_DNS -j DNAT --to-destination $IP_DNS
+
+$IPN -A PREROUTING -p tcp -i $IF_INTERNET -m state --state NEW \
+       --dport domain -d $IP_PUB_DNS3 -j DNAT --to-destination $IP_DNS3
 
 $IPN -A PREROUTING -p udp -i $IF_INTERNET \
-       --dport 53 -d $IP_PUB_DNS -j DNAT --to-destination $IP_DNS
+       --dport domain -d $IP_PUB_DNS3 -j DNAT --to-destination $IP_DNS3
 
 $IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
-       --dport 25 -d $IP_PUB_SMTP -j DNAT --to-destination $IP_SMTP
+       --dport smtp -d $IP_PUB_SMTP -j DNAT --to-destination $IP_SMTP
 
 $IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_USAGER_ADMIN \
-       -m multiport --dports 993,587 -d $IP_PUB_MAIL \
+       -m multiport --dports imaps,submission -d $IP_PUB_MAIL \
        -j DNAT --to-destination $IP_MAIL
 
 $IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
-       -m multiport --dports 993,587 -d $IP_PUB_MAIL \
+       -m multiport --dports imaps,submission -d $IP_PUB_MAIL \
        -j DNAT --to-destination $IP_MAIL
 
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
+       --dport ssh -d $IP_PUB_MAIL -j DNAT --to-destination $IP_MAIL
+
 $IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_USAGER_ADMIN \
-       --dport 80 -d $IP_PUB_WEB -j DNAT --to-destination $IP_FRONTAL
+       --dport http -d $IP_PUB_WEB -j DNAT --to-destination $IP_FRONTAL
 
 $IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
-       --dport 80 -d $IP_PUB_WEB -j DNAT --to-destination $IP_FRONTAL
+       --dport http -d $IP_PUB_WEB -j DNAT --to-destination $IP_FRONTAL
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
+       --dport http -d $IP_PUB_WEB2 -j DNAT --to-destination $IP_ADIFOAD
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_INTERNET \
+       --dport ssh -d $IP_PUB_WEB2 -j DNAT --to-destination $IP_ADIFOAD
+
 
+$IPN -A PREROUTING -p tcp -m state --state NEW ! -i $IF_INTERNET \
+       --dport http -d $IP_PUB_AFRIPEDIA -j DNAT \
+        --to-destination $IP_FRONTAL
 
 # pour le cache web
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_PROF --dport 80 \
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_PROF --dport http \
         -j REDIRECT --to-ports 3128
 
-$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_FOAD --dport 80 \
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_FOAD --dport http \
         -j REDIRECT --to-ports 3128
 
 $IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_FORMATION \
-         --dport 80 -j REDIRECT --to-ports 3128
+         --dport http -j REDIRECT --to-ports 3128
+
+$IPN -A PREROUTING -p tcp -m state --state NEW -i $IF_CAI \
+         --dport http -j REDIRECT --to-ports 3128
 
 
 #Chaines perso principalement pour le FORWARD
 #
 
+
+$IPT -N Direction_Dmz2
+
+$IPF -A Direction_Dmz2 -d $IP_ADIFOAD -p tcp -m state \
+    --state NEW --dport http -j ACCEPT
+
+$IPF -A Direction_Dmz2 -d $IP_ADIFOAD -p tcp -m state \
+    --state NEW --dport ssh -j ACCEPT
+
+$IPF -A Direction_Dmz2 -j REJECT
+
+$IPF -A FORWARD -o $IF_DMZ2 -j Direction_Dmz2
+
+
+$IPT -N Origine_Dmz2
+
+#$IPF -A Origine_Dmz2 -s IP_ADIFOAD -d $IP_DNS -p tcp -m state \
+#    --state NEW --dport domain -j ACCEPT
+
+#$IPF -A Origine_Dmz2 -s IP_ADIFOAD -d $IP_DNS -p udp \
+#    --dport domain -j ACCEPT
+
+#$IPF -A Origine_Dmz2 -s IP_ADIFOAD -d $IP_MIROIR -p tcp 
+#    -m state --state NEW --dport domain -j ACCEPT
+
+$IPF -A Origine_Dmz2 -j REJECT
+
+$IPF -A FORWARD -i $IF_DMZ2 -j Origine_Dmz2
+
+
 #pour le RTR
 $IPF -A FORWARD -s $IP_RTR -j ACCEPT
 
@@ -207,6 +291,85 @@ $IPF -A Origine_RpvAdmin -j ACCEPT
 $IPF -A FORWARD -i $IF_RPV_ADMIN -j Origine_RpvAdmin
 
 
+$IPT -N Sonde_Internet
+$IPF -A Sonde_Internet -j ACCEPT
+$IPF -A FORWARD  -i $IF_SONDE -o $IF_INTERNET -j Sonde_Internet
+
+
+# tout ce qui concerne la DMZ partenaire
+
+
+
+$IPT -N NetLocaux_DmzPartenaire
+
+$IPF -A NetLocaux_DmzPartenaire -j ACCEPT
+
+$IPF -A FORWARD  -i $IF_CAI -o $IF_DMZ_PARTENAIRE -j NetLocaux_DmzPartenaire
+$IPF -A FORWARD  -i $IF_RPV -o $IF_DMZ_PARTENAIRE -j NetLocaux_DmzPartenaire
+$IPF -A FORWARD  -i $IF_FOAD -o $IF_DMZ_PARTENAIRE -j NetLocaux_DmzPartenaire
+$IPF -A FORWARD  -i $IF_FORMATION -o $IF_DMZ_PARTENAIRE -j NetLocaux_DmzPartenaire
+
+
+
+$IPT -N Internet_DmzPartenaire
+
+$IPF -A Internet_DmzPartenaire -d $IP_ADIFOAD -p tcp -m state \
+    --state NEW --dport http -j ACCEPT
+
+$IPF -A Internet_DmzPartenaire -d $IP_ADIFOAD -p tcp -m state \
+    --state NEW --dport ssh -j ACCEPT
+
+$IPF -A Internet_DmzPartenaire -d $IP_ACSI -p tcp -m state \
+    --state NEW --dport http -j ACCEPT
+
+$IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PARTENAIRE -j Internet_DmzPartenaire
+
+
+$IPT -N DmzPartenaire_DmzPub
+
+$IPF -A DmzPartenaire_DmzPub -p tcp -m state --state NEW\
+    --dport http -d $IP_PUB_WEB -j ACCEPT
+
+$IPF -A DmzPartenaire_DmzPub -j REJECT
+
+$IPF -A FORWARD -i $IF_DMZ_PARTENAIRE -o $IF_DMZ_PUB -j DmzPartenaire_DmzPub
+
+$IPT -N DmzPartenaire_DmzPriv
+
+$IPF -A DmzPartenaire_DmzPriv -p tcp -m state --state NEW \
+    --dport smtp -s $IP_ACSI -j ACCEPT
+
+$IPF -A DmzPartenaire_DmzPriv -p tcp -m state --state NEW \
+    --dport smtp -s $IP_ADIFOAD -j ACCEPT
+
+$IPF -A DmzPartenaire_DmzPriv -p tcp -m state --state NEW \
+    --dport domain -d $IP_DNS -j ACCEPT
+
+$IPF -A DmzPartenaire_DmzPriv -p udp --dport domain -d $IP_DNS -j ACCEPT
+
+$IPF -A DmzPartenaire_DmzPriv -p tcp -m state --state NEW \
+    --dport http -d $IP_MIROIR -j ACCEPT
+
+$IPF -A DmzPartenaire_DmzPriv -j REJECT
+
+$IPF -A FORWARD -i $IF_DMZ_PARTENAIRE -o $IF_DMZ_PRIV -j DmzPartenaire_DmzPriv
+
+
+$IPT -N DmzPartenaire_Internet
+
+$IPF -A DmzPartenaire_Internet  -d $IP_AUF_PIWIK -p tcp \
+     -m state --state NEW --dport https -j ACCEPT
+
+
+$IPF -A DmzPartenaire_Internet  -d $IP_AUF_PIWIK -p tcp \
+     -m state --state NEW --dport http -j ACCEPT
+
+$IPF -A DmzPartenaire_Internet -j REJECT
+
+$IPF -A FORWARD -i $IF_DMZ_PARTENAIRE -o $IF_INTERNET -j DmzPartenaire_Internet
+
+#######
+
 
 $IPT -N DmzPriv_NetLocaux
 
@@ -235,41 +398,69 @@ $IPF -A FORWARD -i $IF_DMZ_PUB ! -o $IF_INTERNET -j DmzPub_NetLocaux
 
 $IPT -N NetLocaux_DmzPriv
 
-$IPF -A NetLocaux_DmzPriv -p udp --dport 53 -d $IP_DNS -j ACCEPT
+# pour asterisk
+$IPF -A NetLocaux_DmzPriv -p udp --dport iax -d $IP_VOIP_test -j ACCEPT
+
+$IPF -A NetLocaux_DmzPriv -p udp --dport sip -d $IP_VOIP_test -j ACCEPT
+
+$IPF -A NetLocaux_DmzPriv -p udp -m multiport \
+    --dports 61001:62000 -d $IP_VOIP_test -j ACCEPT
+
+
+$IPF -A NetLocaux_DmzPriv -p udp --dport domain -d $IP_DNS -j ACCEPT
+$IPF -A NetLocaux_DmzPriv -p udp --dport domain -d $IP_DNS3 -j ACCEPT
 
 $IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
-    --dport 22 -j ACCEPT
+    --dport ssh -j ACCEPT
 
 $IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
-    --dport 53 -d $IP_DNS -j ACCEPT
+    --dport domain -d $IP_DNS -j ACCEPT
 
 $IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
-    --dport 80 -d $IP_MIROIR -j ACCEPT
+    --dport domain -d $IP_DNS3 -j ACCEPT
 
 $IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
-    --dport 80 -d $IP_MIROIR_RPV -j ACCEPT
+    --dport http -d $IP_MIROIR -j ACCEPT
 
-for serveurWeb in $IP_WEBMAIL $IP_FRONTAL $IP_WEB $IP_COURS_EN_LIGNE
+for serveurWeb in $IP_WEBMAIL $IP_FRONTAL $IP_WEB $IP_MOODLE_ACSI \
+ $IP_WEB2 $IP_FLE
 do
     $IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
-        --dport 80 -d $serveurWeb -j ACCEPT
+        --dport http -d $serveurWeb -j ACCEPT
 done
 
-$IPF -A FORWARD ! -i $IF_INTERNET -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
+$IPF -A NetLocaux_DmzPriv -p tcp -m state --state NEW \
+    --dport 4202 -d $IP_AFRIPEDIA -j ACCEPT
+
+$IPF -A FORWARD  -i $IF_RPV -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
+$IPF -A FORWARD  -i $IF_FORMATION -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
+$IPF -A FORWARD  -i $IF_CAI -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
+$IPF -A FORWARD  -i $IF_PROF -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
+$IPF -A FORWARD  -i $IF_FOAD -o $IF_DMZ_PRIV -j NetLocaux_DmzPriv
 
 
 
 
 $IPT -N NetLocaux_DmzPub
 
-$IPF -A NetLocaux_DmzPub -d $IP_PUB_WEB -p tcp --dport 80 \
+for VISIO in $IP_PUB_VISIO_Formation $IP_PUB_VISIO_Reunion \
+        $IP_PUB_VISIO_Directeur
+do
+        for RESEAU in $NET_RPV $NET_FORMATION $NET_NOMADE $NET_CAI
+        do
+                $IPF -A NetLocaux_DmzPub -s $RESEAU -d $VISIO \
+                -p tcp --dport http -m state --state NEW -j ACCEPT
+        done
+done
+
+$IPF -A NetLocaux_DmzPub -d $IP_PUB_WEB -p tcp --dport http \
        -m state --state NEW -j ACCEPT
 
 $IPF -A NetLocaux_DmzPub -d $IP_PUB_SOGO -p tcp -m state --state NEW \
-       -m multiport --dports 80,443 -j ACCEPT
+       -m multiport --dports http,https -j ACCEPT
 
 $IPF -A NetLocaux_DmzPub -d $IP_PUB_VOIP -p udp -m multiport \
-       --dports 2000,4569,5060,61000:62000 -j ACCEPT
+       --dports 2000,iax,5060,61000:62000 -j ACCEPT
 
 $IPF -A FORWARD ! -i $IF_INTERNET -o $IF_DMZ_PUB -j NetLocaux_DmzPub
 
@@ -278,13 +469,23 @@ $IPF -A FORWARD ! -i $IF_INTERNET -o $IF_DMZ_PUB -j NetLocaux_DmzPub
 
 $IPT -N Destination_RpvAdmin
 
+$IPF -A Destination_RpvAdmin ! -i $IF_INTERNET -d $IP_NUT -p tcp \
+       -m state --state NEW --dport nut -j ACCEPT
+
 $IPF -A Destination_RpvAdmin  -s $NET_RPV_AUF -d $IP_SUPERVISION -j ACCEPT
+$IPF -A Destination_RpvAdmin  -s $NET_RPV_AUF -d $IP_SUPERVISION2 -j ACCEPT
 
 $IPF -A Destination_RpvAdmin  -s $NET_CAMTEL -d $IP_SUPERVISION -p udp \
-       --dport 514 -j ACCEPT
+       --dport syslog -j ACCEPT
 
 $IPF -A Destination_RpvAdmin ! -i $IF_INTERNET -d $IP_SUPERVISION -p udp \
-       --dport 514 -j ACCEPT
+       --dport syslog -j ACCEPT
+
+$IPF -A Destination_RpvAdmin  -s $NET_CAMTEL -d $IP_SUPERVISION2 -p udp \
+       --dport syslog -j ACCEPT
+
+$IPF -A Destination_RpvAdmin ! -i $IF_INTERNET -d $IP_SUPERVISION2 -p udp \
+       --dport syslog -j ACCEPT
 
 
 $IPF -A FORWARD -o $IF_RPV_ADMIN -j Destination_RpvAdmin
@@ -293,28 +494,53 @@ $IPF -A FORWARD -o $IF_RPV_ADMIN -j Destination_RpvAdmin
 
 
 ##Le parefeu
+
+$IPT -N Internet_Fw
+#chaines dediees pour TocToc
+$IPT -N Step2
+$IPT -A Step2 -m recent --name Key1 --remove
+$IPT -A Step2 -m recent --name Key2 --set
+
+$IPT -N Step3
+$IPT -A Step3 -m recent --name Key2 --remove
+$IPT -A Step3 -m recent --name Key3 --set
+
+$IPF -A INPUT -i $IF_INTERNET -p tcp --dport 147 -m recent \
+     --set --name Key1
+$IPF -A INPUT -i $IF_INTERNET -p tcp --dport 342 -m recent \
+     --rcheck --name Key1 -j Step2
+$IPF -A INPUT -i $IF_INTERNET -p tcp --dport 411 -m recent \
+     --rcheck --name Key2 -j Step3
+
+$IPF -A INPUT -i $IF_INTERNET -p tcp --dport ssh -m recent \
+     --rcheck --seconds 25 --name Key3 -j ACCEPT
+
+
 $IPT -N Direction_Fw
 
-$IPF -A Direction_Fw ! -i $IF_INTERNET -p tcp -m state --state NEW \
-       --dport 123 -j ACCEPT
-$IPF -A Direction_Fw ! -i $IF_INTERNET -p udp --dport 123 -j ACCEPT
+
 
 $IPF -A Direction_Fw -s $IP_SUPERVISION -p tcp -m state --state NEW \
-       --dport 4949 -j ACCEPT
+       --dport munin -j ACCEPT
 
-$IPF -A Direction_Fw -i $IF_INTERNET -p tcp --dport 22 \
-       -m state --state NEW  -m recent --name ssh_recent --set
-$IPF -A Direction_Fw -i $IF_INTERNET -p tcp --dport 22 \
-       -m state --state NEW  -m recent --name ssh_recent --update \
-       --seconds 24 --hitcount 3 -j DROP
+$IPF -A Direction_Fw -s $IP_SUPERVISION2 -p tcp -m state --state NEW \
+       --dport munin -j ACCEPT
+
+#$IPF -A Direction_Fw -i $IF_INTERNET -p tcp --dport 22 \
+#      -m state --state NEW  -m recent --name ssh_recent --set
+#$IPF -A Direction_Fw -i $IF_INTERNET -p tcp --dport 22 \
+#      -m state --state NEW  -m recent --name ssh_recent --update \
+#      --seconds 24 --hitcount 3 -j DROP
 
 $IPF -A Direction_Fw  -p tcp -m state --state NEW \
-       --dport 22 -j ACCEPT
+       --dport ssh -j ACCEPT
 
-$IPF -A Direction_Fw ! -i $IF_INTERNET -p tcp -m state --state NEW \
+$IPF -A Direction_Fw -p tcp -m state --state NEW \
        --dport 3128 -j ACCEPT
 
-$IPF -A INPUT -j Direction_Fw
+$IPF -A Direction_Fw  -p udp --dport ntp -j ACCEPT
+
+$IPF -A INPUT ! -i $IF_INTERNET -j Direction_Fw
 
 
 
@@ -338,6 +564,7 @@ $IPF -A Rpv_UsagerAdmin -d $IP_CAPTIF_SENSE -j ACCEPT
 $IPF -A Rpv_UsagerAdmin -d $IP_CAPTIF_SENSE2 -j ACCEPT
 
 $IPF -A Rpv_UsagerAdmin -d $IP_SUPERVISION -j ACCEPT
+$IPF -A Rpv_UsagerAdmin -d $IP_SUPERVISION2 -j ACCEPT
 
 $IPF -A FORWARD -i $IF_RPV -o $IF_USAGER_ADMIN -j Rpv_UsagerAdmin
 
@@ -351,30 +578,46 @@ for IP_VISIOS in $IP_PUB_VISIO_Directeur $IP_PUB_VISIO_Reunion \
        $IP_PUB_VISIO_Formation
 
 do
-       $IPF -A Internet_DmzPub -d $IP_VISIOS -p tcp -m multiport \
-               --dports 22,80,443 -j REJECT
-       $IPF -A Internet_DmzPub -d $IP_VISIOS -j ACCEPT
-done
+# On autorise le réseau de RENATER sur ces visio parce que
+# je ne connais pas à priori les ports qu'ils vont solliciter
+       $IPF -A Internet_DmzPub -s $NET_RENATER_VISIO -d $IP_VISIOS \
+            -j ACCEPT
+       $IPF -A Internet_DmzPub -s $NET_RENATER2_VISIO -d $IP_VISIOS \
+            -j ACCEPT
 
-$IPF -A Internet_DmzPub -d $IP_PUB_VOIP -p udp  \
-       --dport 4569 -j ACCEPT
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p udp \
+            --dport 1720 -j ACCEPT
 
-for serveurDNSdeConfiance in $IP_PUB_DNS_SOA
-do
-       $IPF -A Internet_DmzPub -s $serveurDNSdeConfiance -p tcp \
-       -m state --state NEW --dport 53 -j ACCEPT
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p tcp -m state \
+            --state NEW --dport 1720 -j ACCEPT
+
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p udp \
+            --dport sip -j ACCEPT
+
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p tcp -m state \
+            --state NEW --dport sip -j ACCEPT
+
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p tcp -m state \
+            --state NEW -m multiport --dports 3230:3235 -j ACCEPT
+
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -p udp -m multiport \
+               --dports 3230:3253 -j ACCEPT
+
+#      $IPF -A Internet_DmzPub -d $IP_VISIOS -p tcp -m multiport \
+#              --dports ssh,http,https,telnet -j REJECT
+       $IPF -A Internet_DmzPub -d $IP_VISIOS -j REJECT
 done
 
+$IPF -A Internet_DmzPub -d $IP_PUB_VOIP -p udp  \
+       --dport 4569 -j ACCEPT
 
 #$IPF -A Internet_DmzPub -p tcp -m multiport --dports 25,587,993 \
-       #-m state --state NEW -m recent --set
-#$IPF -A Internet_DmzPub -p tcp -m multiport --dports 25,587,993 \
        #-m state --state NEW -m recent --update \
        #--seconds 25 --hitcount 5 -j DROP
 
 
 $IPF -A Internet_DmzPub -d $IP_PUB_SOGO -p tcp -m state --state NEW \
-       -m multiport --dports 80,443 -j ACCEPT
+       -m multiport --dports http,https -j ACCEPT
 
 
 $IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PUB -j Internet_DmzPub
@@ -384,23 +627,24 @@ $IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PUB -j Internet_DmzPub
 $IPT -N Internet_DmzPriv
 
 
-$IPF -A Internet_DmzPriv -d $IP_DNS -p udp --dport 53 -j ACCEPT
+$IPF -A Internet_DmzPriv -d $IP_DNS -p udp --dport domain -j ACCEPT
+$IPF -A Internet_DmzPriv -d $IP_DNS3 -p udp --dport domain -j ACCEPT
 
-for serveurDNSdeConfiance in $IP_PUB_DNS_SOA
+$IPF -A Internet_DmzPriv -d $IP_DNS -p tcp -m state --state NEW \
+       --dport domain -j ACCEPT
+
+$IPF -A Internet_DmzPriv -d $IP_DNS3 -p tcp -m state --state NEW \
+       --dport domain -j ACCEPT
 
-do
-       $IPF -A Internet_DmzPriv -s $serveurDNSdeConfiance -p tcp \
-       -m state --state NEW --dport 53 -j ACCEPT
-done
 
 $IPF -A Internet_DmzPriv -d $IP_SMTP -p tcp -m state --state NEW \
-       --dport 25 -j ACCEPT
+       --dport smtp -j ACCEPT
 
 $IPF -A Internet_DmzPriv -d $IP_MAIL -p tcp -m state --state NEW \
-       -m multiport --dports 587,993 -j ACCEPT
+       -m multiport --dports submission,imaps -j ACCEPT
 
 $IPF -A Internet_DmzPriv -d $IP_FRONTAL -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+       --dport http -j ACCEPT
 
 
 $IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PRIV -j Internet_DmzPriv
@@ -409,7 +653,7 @@ $IPF -A FORWARD -i $IF_INTERNET -o $IF_DMZ_PRIV -j Internet_DmzPriv
 
 
 $IPT -N Fw_Internet
-$IPF -A Fw_Internet -p tcp --dport 25 -j REJECT
+$IPF -A Fw_Internet -p tcp --dport smtp -j REJECT
 
 $IPF -A OUTPUT -o $IF_INTERNET -j Fw_Internet
 
@@ -425,43 +669,64 @@ done
 
 $IPF -A DmzPub_Internet  -s $IP_PUB_VOIP -j ACCEPT
 
+$IPF -A DmzPub_Internet  -s $IP_PUB_SOGO -p tcp -m state --state NEW \
+     -m multiport --dports 587,993 -j ACCEPT
+
+$IPF -A DmzPub_Internet  -s $IP_PUB_SOGO -p tcp -m state --state NEW \
+    --dport 80 -j ACCEPT
+
+$IPF -A DmzPub_Internet -j REJECT
+
 $IPF -A FORWARD -i $IF_DMZ_PUB -o $IF_INTERNET -j DmzPub_Internet
 
 
 
 $IPT -N DmzPriv_Internet
 
-$IPF -A DmzPriv_Internet  -d $IP_GLPI_AUF -p tcp -m state --state NEW \
-       --dport 443 -j ACCEPT
+$IPF -A DmzPriv_Internet  -d $IP_AUF_PIWIK -p tcp -m state --state NEW \
+       --dport https -j ACCEPT
 
 $IPF -A DmzPriv_Internet  -d $IP_AUF_PIWIK -p tcp -m state --state NEW \
-       --dport 443 -j ACCEPT
+       --dport http -j ACCEPT
 
 $IPF -A DmzPriv_Internet -s $IP_SMTP -p tcp -m state --state NEW \
-       --dport 25 -j ACCEPT
+       --dport smtp -j ACCEPT
+
+$IPF -A DmzPriv_Internet -s $IP_SMTP -p tcp -m state --state NEW \
+       --dport submission -j ACCEPT
 
 $IPF -A DmzPriv_Internet -s $IP_DNS -p tcp -m state --state NEW \
-       --dport 53 -j ACCEPT
+       --dport domain -j ACCEPT
 $IPF -A DmzPriv_Internet -s $IP_DNS -p udp --dport 53 -j ACCEPT
 
-$IPF -A DmzPriv_Internet -s $IP_WEB_LEGACY -p udp --dport 53 -j ACCEPT
+$IPF -A DmzPriv_Internet -s $IP_DNS3 -p tcp -m state --state NEW \
+       -m multiport --dports domain,http,https -j ACCEPT
+$IPF -A DmzPriv_Internet -s $IP_DNS3 -p udp --dport 53 -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_MIROIR -p tcp -m state --state NEW \
+       --dport http -j ACCEPT
 
 $IPF -A DmzPriv_Internet  -s $IP_MIROIR -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+       --dport hkp -j ACCEPT
 
 $IPF -A DmzPriv_Internet  -s $IP_MIROIR -p tcp -m state --state NEW \
-       --dport 11371 -j ACCEPT
+       --dport rsync -j ACCEPT
 
 $IPF -A DmzPriv_Internet  -s $IP_WEB -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+       --dport http -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_ADU -p tcp -m state --state NEW \
+       --dport http -j ACCEPT
+
+$IPF -A DmzPriv_Internet  -s $IP_MAIL -p tcp -m state --state NEW \
+       --dport http -j ACCEPT
 
-$IPF -A DmzPriv_Internet  -s $IP_WEB_LEGACY -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+$IPF -A DmzPriv_Internet  -s $IP_MOODLE_ACSI -p tcp -m state --state NEW \
+       --dport http -j ACCEPT
 
-$IPF -A DmzPriv_Internet  -s $IP_DOCUMENTS -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+$IPF -A DmzPriv_Internet  -s $IP_AMAVIS -p tcp -m state --state NEW \
+       --dport http -j ACCEPT
 
-#$IPF -A DmzPriv_Internet -j ACCEPT
 
 $IPF -A FORWARD -i $IF_DMZ_PRIV -o $IF_INTERNET -j DmzPriv_Internet
 
@@ -535,15 +800,17 @@ $IPF -A FORWARD -i $IF_RPV -o $IF_INTERNET -j NetLocaux_Internet
 $IPF -A FORWARD -i $IF_FORMATION -o $IF_INTERNET -j NetLocaux_Internet
 $IPF -A FORWARD -i $IF_FOAD -o $IF_INTERNET -j NetLocaux_Internet
 $IPF -A FORWARD -i $IF_PROF -o $IF_INTERNET -j NetLocaux_Internet
+$IPF -A FORWARD -i $IF_CAI -o $IF_INTERNET -j NetLocaux_Internet
 
 
 
 $IPT -N Formation_Rpv
 $IPT -N Prof_Rpv
 $IPT -N Foad_Rpv
+$IPT -N Cai_Rpv
 
 
-for chaineUsager in Formation_Rpv Prof_Rpv Foad_Rpv
+for chaineUsager in Formation_Rpv Prof_Rpv Foad_Rpv Cai_Rpv
 do
        for port_tcp in 80 443
        do
@@ -554,6 +821,7 @@ do
 done
 
 $IPF -A FORWARD -i $IF_FORMATION -o $IF_RPV -j Formation_Rpv
+$IPF -A FORWARD -i $IF_CAI -o $IF_RPV -j Cai_Rpv
 $IPF -A FORWARD -i $IF_FOAD -o $IF_RPV -j Foad_Rpv
 $IPF -A FORWARD -i $IF_PROF -o $IF_RPV -j Prof_Rpv
 
@@ -566,66 +834,67 @@ $IPF -A Destination_DmzPriv -d $IP_DNS -p tcp -m state --state NEW \
        --dport 53 -j ACCEPT
 $IPF -A Destination_DmzPriv -d $IP_DNS -p udp --dport 53 -j ACCEPT
 
+$IPF -A Destination_DmzPriv -d $IP_DNS3 -p tcp -m state --state NEW \
+       --dport 53 -j ACCEPT
+$IPF -A Destination_DmzPriv -d $IP_DNS3 -p udp --dport 53 -j ACCEPT
+
 $IPF -A Destination_DmzPriv -d $IP_SMTP -p tcp -m state --state NEW \
        --dport 25 -j ACCEPT
 
 $IPF -A Destination_DmzPriv -d $IP_MAIL -p tcp -m state --state NEW \
        -m multiport --dports 587,993 -j ACCEPT
 
-for port_freeradius in 1812 1813 1814
-do
-       $IPF -A Destination_DmzPriv -p udp -d $IP_FREERADIUS \
-               --dport $port_freeradius -j ACCEPT
-done
+$IPF -A Destination_DmzPriv -d $IP_FREERADIUS -p udp --dport radius -j ACCEPT
 
 $IPF -A Destination_DmzPriv -d $IP_GIT_CM -p tcp -m state --state NEW \
-       --dport 22 -j ACCEPT
+       --dport ssh -j ACCEPT
 
 $IPF -A Destination_DmzPriv -d $IP_MIROIR -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+       --dport http -j ACCEPT
 
 $IPF -A Destination_DmzPriv -d $IP_FRONTAL -p tcp -m state --state NEW \
-       --dport 80 -j ACCEPT
+       --dport http -j ACCEPT
 
 
-$IPF -A Destination_DmzPriv -s $IP_RTR -d $IP_BACKUP -p tcp -m state \
-        --state NEW --dport 80 -j ACCEPT
-
 $IPF -A FORWARD -o $IF_DMZ_PRIV -j Destination_DmzPriv
 
 
 
-$IPT -N Rtr_NetLocaux
-
-$IPF -A Rtr_NetLocaux -p tcp --dport 22 -m state --state NEW  -j ACCEPT
+#$IPT -N Rtr_NetLocaux
 
-$IPF -A FORWARD ! -o $IF_INTERNET -s $IP_RTR -j Rtr_NetLocaux
+#$IPF -A Rtr_NetLocaux -p tcp --dport 22 -m state --state NEW  -j ACCEPT
 
+#$IPF -A FORWARD ! -o $IF_INTERNET -s $IP_RTR -j Rtr_NetLocaux
 
 
 
 
 ## Tout ce qui concerne le POSTROUTING
-$IPN -A POSTROUTING -d $NET_RPV_AUF -j RETURN
+$IPN -A POSTROUTING -s $NET_DMZ2 -o $IF_INTERNET -j RETURN
+
+$IPN -A POSTROUTING -s $NET_RPV -d $NET_RPV_AUF -j RETURN
 
 $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_DNS -j SNAT \
        --to-source $IP_PUB_DNS
 
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_DNS3 -j SNAT \
+       --to-source $IP_PUB_DNS3
+
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_MAIL -j SNAT \
+       --to-source $IP_PUB_MAIL
+
 $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_SMTP -j SNAT \
        --to-source $IP_PUB_SMTP
 
 $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_FRONTAL -j SNAT \
        --to-source $IP_PUB_WEB
 
-$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_WEB_LEGACY -j SNAT \
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_ADU -j SNAT \
        --to-source $IP_PUB_WEB
 
 $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_WEB -j SNAT \
        --to-source $IP_PUB_WEB
 
-$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_DOCUMENTS -j SNAT \
-       --to-source $IP_PUB_MAIL
-
 $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_CAPTIF_SENSE -j SNAT \
        --to-source $IP_PUB_NOMADE
 
@@ -633,7 +902,22 @@ $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_CAPTIF_SENSE2 -j SNAT \
        --to-source $IP_PUB_NOMADE
 
 $IPN -A POSTROUTING -o $IF_INTERNET -s $IP_MIROIR -j SNAT \
-       --to-source $IP_PUB_DMZPriv_NAT
+       --to-source $IP_PUB_MIROIR
+
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_SONDE -j SNAT \
+       --to-source $IP_PUB_SONDE
+
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_MOODLE_ACSI -j SNAT \
+       --to-source $IP_PUB_NAT
+
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_ACSI -j SNAT \
+       --to-source $IP_PUB_WEB
+
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_ADIFOAD -j SNAT \
+       --to-source $IP_PUB_WEB2
+
+$IPN -A POSTROUTING -o $IF_INTERNET -s $IP_AMAVIS -j SNAT \
+       --to-source $IP_PUB_AMAVIS
 
 # pour tous les autres serveurs de la DMZ qui doivent
 # absolument sortir pour assurer l'inventaire
@@ -643,10 +927,13 @@ $IPN -A POSTROUTING -o $IF_INTERNET -s $NET_DMZ -d $IP_GLPI_AUF -j SNAT \
 $IPN -A POSTROUTING -o $IF_INTERNET -s $NET_DMZ -d $IP_AUF_PIWIK -j SNAT \
        --to-source $IP_PUB_NAT
 
+$IPN -A POSTROUTING -o $IF_INTERNET -s $NET_DMZ -j SNAT \
+       --to-source $IP_PUB_NAT
+
 $IPN -A POSTROUTING -o $IF_INTERNET -s $NET_RPV -j SNAT \
        --to-source $IP_PUB_NAT
 
-for reseau_utilisateur in $NET_FORMATION $NET_FOAD $NET_PROF
+for reseau_utilisateur in $NET_FORMATION $NET_FOAD $NET_PROF $NET_CAI
 do
        $IPN -A POSTROUTING -o $IF_INTERNET -s $reseau_utilisateur \
                -j SNAT --to-source $IP_PUB_NAT
@@ -656,11 +943,11 @@ done
 echo ""
 if [ x"$1" != "xsave" ]
 then
-       echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
+       echo "  Pare-feu installé. Si les regles semblent bonnes, il faut les"
        echo "  enregistrer avec la commande suivante :"
        echo "           # $0 save"
 else
        /sbin/iptables-save > /etc/network/iptables-save
-       echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
+       echo "  Parefeu installé et règles enregistrées (/etc/network/iptables-save)"
 fi
 echo ""