mon scripts netfilter

par **sticmou** » 16 Juil 2003 14:17

hello a tous, voila j'ai un machine qui fait proxy, firewall et xmule .......... voilas mon script ( actuellemnet il marche mais je ne pense pas que cela soit la meilleur solution..... )

Code: Tout sélectionner: #!/bin/sh #@(#) DATE DE LA DERNIERE MODIFICATION : 10/07/2003 #@(#) VERSION : 2.000 #@(#) POUR : Redhat 7.3 ; Mandrake 9.1 #@(#) Script /etc/darkfirewall/darkfirewall.sh #@(#)---------------------------------------------------------------------- # # eth0 = (LAN) # ADSL = ppp0 (ADSL) # #========================================================================== #========================================================================== # # CONFIGURATION DU SCRIPT # #========================================================================== #========================================================================== set_vars() { # Les Interfaces. ADSL="ppp0" LAN="eth0" # Les Adresses IP. IPAdmin="x.X.X.X" VPN="x.X.X.X" SMTP="x.X.X.X" # Les Couleurs. GRIS=$'e[30;01m' ROUGE=$'e[31;01m' VERT=$'e[32;01m' JAUNE=$'e[33;01m' BLEU=$'e[34;01m' ROSE=$'e[35;01m' BLEUCIEL=$'e[36;01m' BLANC=$'e[37;01m' DEFAULT=$'e[0m' # Set le nombre ce colones du stty getcols() { echo "$2" } COLS="`stty size 2> /dev/null`" COLS="`getcols ${COLS}`" COLS=$((${COLS} - 7)) ENDCOL=$'e[Ae['${COLS}'G' # Les Variables divers VER=V2.000 ERROR=1 } MSGTITRE() { # Message de Titre. echo " ${GRIS}${*}" return 0 } MSGTETE() { # Message de tete. echo -e " ${BLEU}*${DEFAULT} ${*}..." return 0 } MSGFIN() { # Message de fin. local retval= if [ "$#" -eq 0 ] || ([ -n "$1" ] && [ "$1" -eq 0 ]) then echo -e "${ENDCOL} ${BLEU}[ ${VERT}ok${BLEU} ]${DEFAULT}" else retval="$1" if [ "$#" -ge 2 ] then shift echo -e " ${ROUGE}*${DEFAULT} ${*}" fi echo -e "${ENDCOL} ${BLEU}[ ${ROUGE}!!${BLEU} ]${DEFAULT}" echo return ${retval} fi return 0 } MSGDEBUT() { # Message du Debut. echo " ${BLEU} ${*} ${VERT} $VER ${DEFAULT}" return 0 } #========================================================================== #========================================================================== # # INITIALISATION DE IPTABLES # #========================================================================== #========================================================================== INIT_IPTABLES () { MSGTITRE "Initialisation de iptables." #========================================================================== # Activation du forwarding pour que les paquets traversent la machine, donc on met # ce fichier à 1. #========================================================================== MSGTETE "Activation du FORWARDING" echo 1 > /proc/sys/net/ipv4/ip_forward MSGFIN #========================================================================== # On va utiliser iptables. Il faut charger les modules iptables. #========================================================================== MSGTETE "Chargement du module ip_tables" modprobe ip_tables MSGFIN MSGTETE "Chargement du module ip_nat_ftp" modprobe ip_nat_ftp MSGFIN MSGTETE "Chargement du module iptable_filter" modprobe iptable_filter MSGFIN MSGTETE "Chargement du module iptable_nat" modprobe iptable_nat MSGFIN MSGTETE "Chargement du module ip_conntrack_ftp" modprobe ip_conntrack_ftp MSGFIN #========================================================================== # On va vider toutes les règles avant d'appliquer les nouvelles # Règles de firewall #========================================================================== MSGTETE "Nettoyage des anciennes regles" iptables -F iptables -t nat -F iptables -X iptables -t nat -X MSGFIN } #========================================================================== #========================================================================== # # PROTECTION CONTRE LES ATTAQUES. # #========================================================================== #========================================================================== INIT_PROTECT () { MSGTITRE "Protection contre les attaques." #========================================================================== # Pour empêcher les attaques de type spoofing et bloquer les réponses # ICMP du firewall. Attention, le fait de bloquer le trafic # ICMP sur le firewall bloque les pings. #========================================================================== MSGTETE "Bloquage du pings" if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done fi MSGFIN #========================================================================== # Protection contre l'echo en broadcast. #========================================================================== MSGTETE "Ignore l'echo en ICMP" echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts MSGFIN #========================================================================== # Protection contre les mauvais messages d'erreur. #========================================================================== MSGTETE "Ignore messages d'erreur ICMP" echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses MSGFIN #========================================================================== # Protection contre l'acceptation des messages ICMP redirigés. #========================================================================== MSGTETE "Protection contre l'acceptation des messages ICMP redirigés" for f in /proc/sys/net/ipv4/conf/*/accept_source_route do echo 0 > $filtre done MSGFIN #========================================================================== # Protection contre le syn-flood. #========================================================================== MSGTETE "Protection contre le syn-flood" iptables -A FORWARD -p TCP --syn -m limit --limit 1/s -j ACCEPT MSGFIN #========================================================================== # Protection contre le test de port furtif. #========================================================================== MSGTETE "Protection contre le test de port furtif" iptables -A FORWARD -p TCP --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT MSGFIN #========================================================================== # Protection contre le ping de la mort. #========================================================================== MSGTETE "Protection contre le ping de la mort" iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT MSGFIN #========================================================================== # Loger les paquets spoofés et redirigés. #========================================================================== MSGTETE "Loger les paquets spoofés et redirigés" for f in /proc/sys/net/ipv4/conf/*/log_martians do echo 1 > $filtre done MSGFIN #========================================================================== # Pas de ICMP. #========================================================================== MSGTETE "Pas de ICMP" echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts MSGFIN } #========================================================================== #========================================================================== # # Initialisation du Firewall. # #========================================================================== #========================================================================== INIT_FIREWALL () { MSGTITRE "Initialisation du Firewall." #========================================================================== # On va rajouter 2 nouvelles chaînes. Ceci permettra d'ajouter des # Nouvelles cibles qui auront la possibilité de loguer ce qui se passe. # On logue et on drop ou accepte les paquets, # on rajoute un préfixe pour pouvoir s'y retrouver dans les logs. #========================================================================== MSGTETE "Log les paquets drope ou accepte" iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP iptables -N LOG_ACCEPT iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : ' iptables -A LOG_ACCEPT -j ACCEPT MSGFIN #========================================================================== # On veut faire un firewall efficace, donc la politique a appliquer est # de tout refuser par défaut et rajouter une a une les règles # que l'on autorise. #========================================================================== MSGTETE "La politique par defaut REFUSER TOUT" iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP MSGFIN #========================================================================== # Pour éviter les problèmes, on va tout accepter sur la machine # en local (interface lo). #========================================================================== MSGTETE "Tout accepter en local" iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT MSGFIN } #========================================================================== #========================================================================== # # FIREWALL -> INTERNET. # #========================================================================== #========================================================================== INIT_OUTADSL () { MSGTITRE "FIREWALL -> INTERNET." #========================================================================== # Pour le HTTP (port 80 TCP) #========================================================================== MSGTETE "Pour le HTTP (port 80 TCP)" iptables -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i $ADSL -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT MSGFIN #========================================================================== # Pour le https (port 443 TCP) #========================================================================== MSGTETE "Pour le https (port 443 TCP)" iptables -A OUTPUT -o $ADSL -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $ADSL -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour le DNS (port 53 udp) #========================================================================== MSGTETE "Pour le DNS (port 53 udp)" iptables -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED -p udp --dport 53 -j ACCEPT iptables -A INPUT -i $ADSL -m state --state ESTABLISHED -p udp --sport 53 -j ACCEPT MSGFIN #========================================================================== # Pour Xmule (port 4661 & 4242 tcp) #========================================================================== MSGTETE "Pour Xmule (port 4661 & 4242 tcp)" iptables -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED -p tcp --dport 4661 -j ACCEPT iptables -A INPUT -i $ADSL -m state --state ESTABLISHED -p tcp --sport 4661 -j ACCEPT iptables -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED -p tcp --dport 4242 -j ACCEPT iptables -A INPUT -i $ADSL -m state --state ESTABLISHED -p tcp --sport 4242 -j ACCEPT MSGFIN #========================================================================== # Pour le ftp (port 21 & 20 TCP) #========================================================================== MSGTETE "Pour le ftp (port 21 & 20 TCP)" iptables -A OUTPUT -o $ADSL -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $ADSL -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $ADSL -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $ADSL -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT MSGFIN } #========================================================================== #========================================================================== # # LAN -> INTERNET. # #========================================================================== #========================================================================== INIT_FORWARD () { MSGTITRE "LAN -> INTERNET." #========================================================================== # Pour le DNS (port 53 udp) #========================================================================== MSGTETE "Pour le DNS (port 53 udp)" iptables -A FORWARD -i $LAN -o $ADSL -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour SMTP (port 25 TCP) #========================================================================== MSGTETE "Pour SMTP (port 25 TCP)" iptables -A FORWARD -i $LAN -o $ADSL -p tcp --destination $SMTP --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p tcp --source $SMTP --sport 25 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour POP (port 110 TCP) #========================================================================== MSGTETE "Pour POP (port 110 TCP)" iptables -A FORWARD -i $LAN -o $ADSL -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour le ftp (port 21 & 20 TCP) #========================================================================== MSGTETE "Pour le ftp (port 21 & 20 TCP)" iptables -A FORWARD -i $LAN -o $ADSL -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i $LAN -o $ADSL -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT MSGFIN #========================================================================== # Pour le VPN (port 264 TCP 500 & 2746 UDP) Exclu IPAdmin #========================================================================== MSGTETE "Pour le VPN (port 264 TCP 500 & 2746 UDP)" iptables -A FORWARD -i $LAN -o $ADSL -p tcp --source $IPAdmin --destination $VPN --dport 264 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p tcp --source $VPN --sport 264 --destination $IPAdmin -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i $LAN -o $ADSL -p udp --source $IPAdmin --sport 500 --destination $VPN --dport 500 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p udp --source $VPN --sport 500 --destination $IPAdmin --dport 500 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i $LAN -o $ADSL -p udp --source $IPAdmin --sport 2746 --destination $VPN --dport 2746 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p udp --source $VPN --sport 2746 --destination $IPAdmin --dport 2746 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour le telnet (port 23 TCP) #========================================================================== MSGTETE "Pour le telnet (port 23 TCP)" iptables -A FORWARD -i $LAN -o $ADSL -p tcp --source $IPAdmin --dport 23 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -i $ADSL -o $LAN -p tcp --destination $IPAdmin --sport 23 -m state --state ESTABLISHED -j ACCEPT MSGFIN } #========================================================================== #========================================================================== # # Configuratin LAN -> FIREWALL. # #========================================================================== #========================================================================== INIT_INLAN () { MSGTITRE "LAN -> FIREWALL." #========================================================================== # Pour Squid (port 80 redirige vers le 2138 TCP). #========================================================================== MSGTETE "Pour Squid (port 80 => 3128 TCP)" iptables -A INPUT -i $LAN -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $LAN -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128 MSGFIN #========================================================================== # Pour ce connecter en ftp sur le firwall (Port 21 & 20 TCP). #========================================================================== MSGTETE "Pour le ftp (port 21 & 20 TCP)" iptables -A INPUT -i $LAN -p tcp --source $IPAdmin --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $LAN -p tcp --destination $IPAdmin --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i $LAN -p tcp --source $IPAdmin --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $LAN -p tcp --destination $IPAdmin --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT MSGFIN #========================================================================== # Pour le telnet (port 23) #========================================================================== MSGTETE "Pour le telnet (port 23)" iptables -A INPUT -i $LAN -p tcp --source $IPAdmin --dport 23 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $LAN -p tcp --destination $IPAdmin --sport 23 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour le ssh (port 22) #========================================================================== MSGTETE "Pour le ssh (port 22)" iptables -A INPUT -i $LAN -p tcp --source $IPAdmin --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $LAN -p tcp --destination $IPAdmin --sport 22 -m state --state ESTABLISHED -j ACCEPT MSGFIN #========================================================================== # Pour le Webmin (port 10000) #========================================================================== MSGTETE "Pour le Webmin (port 10000)" iptables -A INPUT -i $LAN -p tcp --source $IPAdmin --dport 10000 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $LAN -p tcp --destination $IPAdmin --sport 10000 -m state --state ESTABLISHED -j ACCEPT MSGFIN } #========================================================================== #========================================================================== # # Masquerade = dialoguer avec l'adresse IP publique sur firewall # #========================================================================== #========================================================================== INIT_MASK () { MSGTITRE "Masquerade & LOG des paquets." #========================================================================== # Il faut permettre au serveur de la DMZ et du LAN de dialoguer sur # internet avec la même adresse IP # Une petite règle de NAT avec un -j MASQUERADE suffira. #========================================================================== MSGTETE "Masquerade des adressse du LAN" iptables -t nat -A POSTROUTING -s 172.19.70.0/24 -j MASQUERADE MSGFIN #========================================================================== # Toutes les règles qui n'ont pas passé les règles du firewall seront # refusées et loguées. #========================================================================== MSGTETE "Log des paquet DROP en TCP" iptables -A FORWARD -p tcp -j LOG_DROP iptables -A INPUT -p tcp -j LOG_DROP iptables -A OUTPUT -p tcp -j LOG_DROP iptables -A FORWARD -j DROP iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP MSGFIN } #========================================================================== #========================================================================== # # Vider les règles iptables. # #========================================================================== #========================================================================== INIT_FLUSH () { MSGTITRE "vider les règles iptables." #========================================================================== # On remet la police par défaut à ACCEPT. #========================================================================== MSGTETE "la police par défaut à ACCEPT" iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT MSGFIN #========================================================================== # On remet les polices par défaut pour la table NAT. #========================================================================== MSGTETE "polices par défaut pour la table NAT" iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT MSGFIN #========================================================================== # On vide (flush) toutes les règles existantes. #========================================================================== MSGTETE "On vide (flush) toutes les règles existantes" iptables -F iptables -t nat -F MSGFIN #========================================================================== # Et enfin, on efface toutes les chaînes qui ne # sont pas defaut dans la table filter et nat. #========================================================================== MSGTETE "efface les chaînes qui ne sont pas par defaut dans la table filter et nat" iptables -X iptables -t nat -X MSGFIN } #========================================================================== #========================================================================== # # Autolancer des fonctions. # #========================================================================== #========================================================================== start() { set_vars MSGDEBUT "Lancement de darkfirewall en mode START" INIT_IPTABLES INIT_PROTECT INIT_FIREWALL INIT_OUTADSL INIT_FORWARD INIT_INLAN INIT_MASK } stop() { set_vars MSGDEBUT "Lancement de darkfirewall en mode STOP" INIT_FLUSH } #========================================================================== #========================================================================== # # Depart... # #========================================================================== #========================================================================== case "$1" in start) start ;; stop) stop ;; restart) stop start ;; *) set_vars echo "${BLEU}Usage: ${ROUGE}darkfirewall.sh ${VERT} {start|stop|restart} ${DEFAULT}" RETVAL=1 esac exit

un peut long ....

par **antolien** » 16 Juil 2003 14:44

j'ai pas lu en détail, car c'est long <IMG SRC="images/smiles/icon_eek.gif"> mais il y a des choses qui me parraissent bizare. déjà la ligne MSGTETE "Bloquage du pings" if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for filtre in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 > $filtre done ce n'est pas le bloquage du ping (icmp) mais c'est l'activation de l'antispoofing... ensuite, je trouve étonnantes tes chaines "OUTPUT" car pour ipatbles ce serait plutôt les chaînes FORWARD. Puis pourquoi à la fin tu vide à nouveau les règles pour tout accepter ensuite <IMG SRC="images/smiles/icon_eek.gif"> Dommage que tomtom ne soit pas là. mais c'est tout bizarre comme fichier je trouve <IMG SRC="images/smiles/icon_rolleyes.gif">

par **sticmou** » 16 Juil 2003 15:08

<IMG SRC="images/smiles/icon_razz.gif"> Pour le l'antispoofing tu a peut surement raison <IMG SRC="images/smiles/icon_smile.gif"> Pour le flush en fin de script c'est normal ( il est constitue en plusieurs fontions ) donc quant je lance le sript avec un start il lance les regles et le flush avec un stop <IMG SRC="images/smiles/icon_biggrin.gif"> Sinon pour "OUTPUT" c'est pour la sortie, le forward c'est le stranfert de paquet si je ne troupe pas <IMG SRC="images/smiles/icon_confused.gif">

par **antolien** » 16 Juil 2003 15:12

ah oui, mais alors ton serveur ne fait pas juste firewall alors ok. Ben c'est pas mal en fait. mais pour le bloquage des pings et l'antispoofing, ça aurai pu être mieux de le faire avec des règles iptables.

par **sticmou** » 16 Juil 2003 15:20

yes <IMG SRC="images/smiles/icon_smile.gif">

par **antolien** » 16 Juil 2003 15:22

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-07-16 15:12, antolien a écrit: ah oui, mais alors ton serveur ne fait pas juste firewall alors ok. Ben c'est pas mal en fait. mais pour le bloquage des pings et l'antispoofing, ça aurai pu être mieux de le faire avec des règles iptables. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **sticmou** » 16 Juil 2003 15:25

oui c'est pas bete <IMG SRC="images/smiles/icon_smile.gif">

par **grosbedos** » 16 Juil 2003 15:28

output est ce qui sort du firewall, uniquement d'un process local du firewall.. si tu veux acceder a une page web a partir du lan par exemple, c'est la chaine forward qu'il faut utiliser, en aucun cas la chaine output!

par **grosbedos** » 16 Juil 2003 15:31

pardon j'avais pas tout lu...

par **grosbedos** » 16 Juil 2003 15:35

MSGTETE "Masquerade des adressse du LAN" iptables -t nat -A POSTROUTING -s 172.19.70.0/24 -j MASQUERADE MSGFIN ca c'est pas top je pense, tu devrait rajouter : MSGTETE "Masquerade des adressse du LAN" iptables -t nat -A POSTROUTING -o ppp0 -s 172.19.70.0/24 -j MASQUERADE MSGFIN bien que dans ton cas ca doit suffir.

par **grosbedos** » 16 Juil 2003 15:40

t'as du pas mal bosser quand meme <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_up.gif">

par **sticmou** » 16 Juil 2003 15:41

Ok merci <IMG SRC="images/smiles/icon_biggrin.gif">

par **sticmou** » 16 Juil 2003 15:44

oui mais j'adore ca ........ encore la je bose sur un firewall ( d'une entreprise) avec un vpn, web mail, sap, antivirus...... tro cool <IMG SRC="images/smiles/icon_lol.gif">

par **sticmou** » 16 Juil 2003 15:45

celui c'est la version perso qui en decembre je rajoute du wifi <IMG SRC="images/smiles/icon_biggrin.gif">

par **victorz** » 18 Juil 2003 19:44

juste deux petites questions, en passant: - est-ce vraiment necessaire de filtrer tout ce qui sort (OUTPUT et FORWARD de lan -> internet), ou c'est considere comme 'assez securise' de filtrer uniquement ce qui rentre. - apparement tu fais tourner xmule sur ta passerelle... comment elle marche ? en mode console ou sous X ? tu as un ecran de branche sur cette machine ou tu peux 'l'administrer' a distance ? merci et a+

mon scripts netfilter

Qui est en ligne ?