sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2

@@ -1,12 +1,12 @@
 # Définition des interfaces avec un nom
-define netif = enp0s3
+define netif = enp0s3 # Interface avec accès internet extérieur
-define dmzif = enp0s8
+define dmzif = enp0s8 # Interface branchée à la DMZ
-define lanif = enp0s9
+define lanif = enp0s9 # Interface branchée au LAN
 
 # Définition des réseaux
-define dmz-ntw = 172.17.0.0/24
+define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
-define lan-ntw = 172.16.0.0/24
+define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
-define net-ntw = 192.168.0.0/24
+define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
 
 # Définition des IPs du pare-feu
 define firewall-net = 192.168.0.120
@@ -29,10 +29,10 @@ table ip ipfilter {
 	chain prerouting {
                 type filter hook prerouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
 		tcp dport 22 iif $firewall-net accept
 	
         }
@@ -40,23 +40,23 @@ table ip ipfilter {
 	chain system_in {
                 type filter hook input priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
                 tcp dport 22 iif $firewall-net accept
         }
 
  	chain routing {
                 type filter hook forward priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 	}
 
@@ -67,10 +67,10 @@ table ip ipfilter {
 	chain postrouting {
                 type filter hook postrouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 	}
 }

sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3

@@ -1,12 +1,12 @@
 # Définition des interfaces avec un nom
-define netif = enp0s3
+define netif = enp0s3 # Interface avec accès internet extérieur
-define dmzif = enp0s8
+define dmzif = enp0s8 # Interface branchée à la DMZ
-define lanif = enp0s9
+define lanif = enp0s9 # Interface branchée au LAN
 
 # Définition des réseaux
-define dmz-ntw = 172.17.0.0/24
+define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
-define lan-ntw = 172.16.0.0/24
+define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
-define net-ntw = 192.168.0.0/24
+define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
 
 # Définition des IPs du pare-feu
 define firewall-net = 192.168.0.120
@@ -29,10 +29,10 @@ table ip ipfilter {
 	chain prerouting {
                 type filter hook prerouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
 		tcp dport 22 iif $firewall-net accept
 	
         }
@@ -40,43 +40,43 @@ table ip ipfilter {
 	chain system_in {
                 type filter hook input priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
                 tcp dport 22 iif $firewall-net accept
         }
 
  	chain routing {
                 type filter hook forward priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 	}
 
  	chain system_out {
                 type filter hook output priority filter; policy drop;
 		
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept       
 	}
 
 	chain postrouting {
                 type filter hook postrouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 	}
 }

sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4

@@ -1,12 +1,12 @@
 # Définition des interfaces avec un nom
-define netif = enp0s3
+define netif = enp0s3 # Interface avec accès internet extérieur
-define dmzif = enp0s8
+define dmzif = enp0s8 # Interface branchée à la DMZ
-define lanif = enp0s9
+define lanif = enp0s9 # Interface branchée au LAN
 
 # Définition des réseaux
-define dmz-ntw = 172.17.0.0/24
+define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
-define lan-ntw = 172.16.0.0/24
+define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
-define net-ntw = 192.168.0.0/24
+define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
 
 # Définition des IPs du pare-feu
 define firewall-net = 192.168.0.120
@@ -29,16 +29,16 @@ table ip ipfilter {
 	chain prerouting {
                 type filter hook prerouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
 		tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
 	
@@ -47,61 +47,61 @@ table ip ipfilter {
 	chain system_in {
                 type filter hook input priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
                 tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
         }
 
  	chain routing {
                 type filter hook forward priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 	}
 
  	chain system_out {
                 type filter hook output priority filter; policy drop;
 		
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept      
 	}
 
 	chain postrouting {
                 type filter hook postrouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 	}
 }

sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5

@@ -1,12 +1,12 @@
 # Définition des interfaces avec un nom
-define netif = enp0s3
+define netif = enp0s3 # Interface avec accès internet extérieur
-define dmzif = enp0s8
+define dmzif = enp0s8 # Interface branchée à la DMZ
-define lanif = enp0s9
+define lanif = enp0s9 # Interface branchée au LAN
 
 # Définition des réseaux
-define dmz-ntw = 172.17.0.0/24
+define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
-define lan-ntw = 172.16.0.0/24
+define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
-define net-ntw = 192.168.0.0/24
+define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
 
 # Définition des IPs du pare-feu
 define firewall-net = 192.168.0.120
@@ -29,26 +29,26 @@ table ip ipfilter {
 	chain prerouting {
                 type filter hook prerouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
 		tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
                 tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN - A vérifier
+		# Autorise les requêtes DNS venant de la LAN - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
         }
@@ -56,29 +56,29 @@ table ip ipfilter {
 	chain system_in {
                 type filter hook input priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
                 tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
                 tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
         }
@@ -86,23 +86,23 @@ table ip ipfilter {
  	chain routing {
                 type filter hook forward priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
@@ -111,20 +111,20 @@ table ip ipfilter {
  	chain system_out {
                 type filter hook output priority filter; policy drop;
 		
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept   
 	}
@@ -132,29 +132,29 @@ table ip ipfilter {
 	chain postrouting {
                 type filter hook postrouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 

sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6

@@ -1,12 +1,12 @@
 # Définition des interfaces avec un nom
-define netif = enp0s3
+define netif = enp0s3 # Interface avec accès internet extérieur
-define dmzif = enp0s8
+define dmzif = enp0s8 # Interface branchée à la DMZ
-define lanif = enp0s9
+define lanif = enp0s9 # Interface branchée au LAN
 
 # Définition des réseaux
-define dmz-ntw = 172.17.0.0/24
+define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
-define lan-ntw = 172.16.0.0/24
+define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
-define net-ntw = 192.168.0.0/24
+define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
 
 # Définition des IPs du pare-feu
 define firewall-net = 192.168.0.120
@@ -29,59 +29,59 @@ table ip ipfilter {
 	chain prerouting {
                 type filter hook prerouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
 		tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
                 tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN - A vérifier
+		# Autorise les requêtes DNS venant de la LAN - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
+		# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
 		tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
         }
 
 	chain system_in {
                 type filter hook input priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
                 tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
                 tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
         }
@@ -89,47 +89,47 @@ table ip ipfilter {
  	chain routing {
                 type filter hook forward priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
+		# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
 		tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
 	}
 
  	chain system_out {
                 type filter hook output priority filter; policy drop;
 		
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept   
 	}
@@ -137,33 +137,33 @@ table ip ipfilter {
 	chain postrouting {
                 type filter hook postrouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
+		# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
 		tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
 	}
 }

sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7

@@ -1,12 +1,12 @@
 # Définition des interfaces avec un nom
-define netif = enp0s3
+define netif = enp0s3 # Interface avec accès internet extérieur
-define dmzif = enp0s8
+define dmzif = enp0s8 # Interface branchée à la DMZ
-define lanif = enp0s9
+define lanif = enp0s9 # Interface branchée au LAN
 
 # Définition des réseaux
-define dmz-ntw = 172.17.0.0/24
+define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
-define lan-ntw = 172.16.0.0/24
+define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
-define net-ntw = 192.168.0.0/24
+define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
 
 # Définition des IPs du pare-feu
 define firewall-net = 192.168.0.120
@@ -29,116 +29,116 @@ table ip ipfilter {
 	chain prerouting {
                 type filter hook prerouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
 		tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
                 tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN - A vérifier
+		# Autorise les requêtes DNS venant de la LAN - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
+		# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
 		tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
 
-		#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
+		# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
 		ip saddr $proxy-dns daddr $router accept
         }
 
 	chain system_in {
                 type filter hook input priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH, étape 2
+		# Autorise le SSH, étape 2
                 tcp dport 22 iif $firewall-net accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Accepte les réponses ping pour l'étape 4
+		# Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
                 tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
+		# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
 		ip saddr $proxy-dns daddr $router accept
         }
 
  	chain routing {
                 type filter hook forward priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
+		# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
 		tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
 
-		#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
+		# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
 		ip saddr $proxy-dns daddr $router accept
 	}
 
  	chain system_out {
                 type filter hook output priority filter; policy drop;
 		
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept   
 	}
@@ -146,36 +146,37 @@ table ip ipfilter {
 	chain postrouting {
                 type filter hook postrouting priority filter; policy drop;
 
-		#Permet le passage des réponses aux requêtes acceptées
+		# Permet le passage des réponses aux requêtes acceptées
 		ct state established, related accept
 
-		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
+		# Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
+		# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
+		# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
+		# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
-		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
 		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
 		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
 
-		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
 		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
 
-		#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
+		# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
 		tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
 
-		#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
+		# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
 		ip saddr $proxy-dns daddr $router accept
 	}
+
 }