guillaume.emorine/siotp
guillaume.emorine/siotp
2
1
Fork 1
Code Pull Requests Actions Packages Projects Releases 4 Activity

Merge pull request 'Modifié : automate.sh' (#21) from test into main

Browse Source 
Reviewed-on: #21
This commit is contained in:
guillaume.emorine 2024-05-02 14:52:42 +02:00
commit 0159744cb3
9 changed files with 38 additions and 177 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

27
automate.sh
View File

@ -3,14 +3,14 @@
# Ajout de messages et de délais pour mieux se repérer et se situer dans le processus.
# Ajout d'un système de choix
# Ajout d'un export de proxy HTTP/HTTPS automatique vers ceux du lycée pour la machine en salle 214.
# Ajout d'un système de gestion d'erreur très basique pour éviter qu'un push/un pull se produise en cas de réponses incorrectes.
export http_proxy="http://10.121.38.1:8080/"
export https_proxy="http://10.121.38.1:8080/"
echo "Voulez-vous récupérer les fichiers du dépôt ou effectuer un push sur le dépôt ?
[1 = Pull, 2 = Push]"
echo "Voulez-vous récupérer les fichiers du dépôt ou effectuer un push sur le dépôt ? [1 = Pull, 2 = Push]"
read answer
echo "Quelle branche est concernée ? [1 = main, 2 = test]"
read branch
@ -18,36 +18,39 @@ if [ $branch == 1 ] ; then
if [ $answer == 1 ] ; then
git checkout main
echo "Récupération des fichiers à jour, branche main..."
git pull origin main
git pull -q origin main
else
git checkout main
echo "Ajout des fichiers au Gitea..."
sleep 2
sleep 1
git add .
echo "Commit en cours..."
sleep 2
sleep 1
git commit
echo "Push des fichiers au Gitea, branche main..."
sleep 2
sleep 1
git push -q origin main
fi
elif [ $branch == 2 ] ; then
if [ $answer == 1 ] ; then
git checkout test
echo "Récupération des fichiers à jour dans la branche test..."
git pull origin test
git pull -q origin test
else
git checkout test
echo "Ajout des fichiers au Gitea, branche test..."
sleep 2
sleep 1
git add .
echo "Commit en cours..."
sleep 2
sleep 1
git commit
echo "Push des fichiers au Gitea, branche test..."
sleep 2
sleep 1
git push -q origin test
fi
else
echo "Choisissez une branche et une option valide."
echo "Choisissez une branche et une option valide. Veuillez relancer le script"
fi

4
sisr1/tp08_evolution_infrastructure/rules_progressive/README.md
View File

@ -1 +1,3 @@
Ce dossier contient l'ensemble des règles du pare-feu, étape par étape pour l'implémentation.
Ce dossier contient l'ensemble des règles du pare-feu, étape par étape pour l'implémentation.
Il faut prendre les règles de chaque étape UNIQUEMENT, pour éviter les problèmes.

7
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2
View File

@ -43,9 +43,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
}
@ -56,8 +53,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
}
chain system_out {
@ -70,7 +65,5 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
}
}

8
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3
View File

@ -43,9 +43,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
}
@ -56,8 +53,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
}
chain system_out {
@ -73,9 +68,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
}

21
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4
View File

@ -41,7 +41,6 @@ table ip ipfilter {
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
}
chain system_in {
@ -50,15 +49,9 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
}
@ -69,11 +62,11 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply iif {$dmzif} oif {$lanif} accept
}
chain system_out {
@ -83,7 +76,7 @@ table ip ipfilter {
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
icmp type echo-request accept
}
chain postrouting {
@ -92,9 +85,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
@ -103,5 +93,8 @@ table ip ipfilter {
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply iif {$dmzif} oif {$lanif} accept
}
}

37
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5
View File

@ -48,7 +48,7 @@ table ip ipfilter {
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -59,9 +59,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
@ -71,16 +68,6 @@ table ip ipfilter {
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
chain routing {
@ -89,9 +76,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
@ -102,7 +86,7 @@ table ip ipfilter {
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
@ -115,18 +99,8 @@ table ip ipfilter {
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
icmp type echo-request accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
chain postrouting {
@ -135,9 +109,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
@ -154,7 +125,7 @@ table ip ipfilter {
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, tester sans
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept

31
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6
View File

@ -62,9 +62,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
@ -74,16 +71,6 @@ table ip ipfilter {
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
chain routing {
@ -92,9 +79,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
@ -121,17 +105,7 @@ table ip ipfilter {
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
chain postrouting {
@ -140,9 +114,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept

38
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7
View File

@ -56,7 +56,7 @@ table ip ipfilter {
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
}
chain system_in {
@ -65,9 +65,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
@ -77,19 +74,6 @@ table ip ipfilter {
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
}
chain routing {
@ -98,9 +82,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
@ -119,7 +100,7 @@ table ip ipfilter {
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
}
chain system_out {
@ -131,16 +112,6 @@ table ip ipfilter {
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
chain postrouting {
@ -149,9 +120,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
@ -176,7 +144,7 @@ table ip ipfilter {
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
}
}

42
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_8-9
View File

@ -56,7 +56,7 @@ table ip ipfilter {
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
}
chain system_in {
@ -65,9 +65,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
@ -77,19 +74,6 @@ table ip ipfilter {
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
}
chain routing {
@ -98,9 +82,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
@ -119,7 +100,7 @@ table ip ipfilter {
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
}
chain system_out {
@ -131,16 +112,6 @@ table ip ipfilter {
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
chain postrouting {
@ -149,9 +120,6 @@ table ip ipfilter {
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
@ -176,7 +144,7 @@ table ip ipfilter {
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
tcp dport {80,443} ip saddr $proxy-dns daddr $router accept
}
@ -185,7 +153,7 @@ table ip ipfilter {
chain nat_prerouting {
type nat hook prerouting priority filter; policy accept;
# Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9)
# Port Forwarding pour le DNS, entre pare-feu et DMZ (étape 9 -> à vérifier si chgt règles antérieures nécessaires)
iif $netif udp dport 53 dnat to $proxy-dns
iif $netif tcp dport 53 dnat to $proxy-dns
@ -194,7 +162,7 @@ table ip ipfilter {
chain nat_postrouting {
type nat hook postrouting priority filter; policy accept;
# Masquage des adresses IP de la DMZ via NAT (étape 8)
# Masquage des adresses IP de la DMZ via NAT (étape 8 -> à vérifier si chgt règles antérieures nécessaires)
ip saddr $dmz-ntw snat $firewall-net
}