OpenWrt à tester
iptables IS DEAD
à voir 1
https://unix.stackexchange.com/questions/382419/what-type-of-traffic-applies-to-input-for-a-wan-zone
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT #-i eth0 => ssh router sur lan
http://irp.nain-t.net/doku.php/130netfilter:060_iptables
la règle FORWARD par zone régit le trafic entre les interfaces de la même zone. Ceci est différent des "transferts" qui régissent le trafic entre différentes zones.
sur la zone Les options ci-dessous contrôlent les politiques de transfert entre cette zone (lan) et d'autres zones. Les zones de destination couvrent le trafic acheminé provenant du lan. Les zones source correspondent au trafic transféré provenant d'autres zones ciblées sur LAN. La règle de transfert est unidirectionnelle, par ex. un transfert de lan à wan n'implique pas une autorisation de transfert de wan à lan également. a tester: exemple 1- par default INPUT rejet sur vlan4 2 - mais on autorise le lan sur 4.12 de vlan4
1
config zone option name 'vlan4' option input 'REJECT' on empeche le trafic entrant dans cette zone (interfaces) option output 'ACCEPT' option forward 'REJECT' // on empêche les interfaces de communiquer entre elle dans cette zone // si dans list netkork il y a plusieurs interface list network 'vlan4' config forwarding option src 'vlan4' option dest 'wan'
2
config rule option family 'ipv4' list proto 'tcp' option src 'lan' option target 'ACCEPT' list dest_ip '192.168.4.12' option dest 'vlan4' option dest_port '2012 80 443' option name 'lan-airdisk-ssh-80-443' config rule option family 'ipv4' option src 'lan' option target 'ACCEPT' option name 'lan-airdisk-smb' list dest_ip '192.168.4.12' option dest 'vlan4' option dest_port '139 445' config rule option src 'lan' option target 'ACCEPT' option name 'lan-airdisk-smb' option family 'ipv4' list proto 'udp' list dest_ip '192.168.4.12' option dest 'vlan4' option dest_port '137 138' config rule option target 'ACCEPT' option family 'ipv4' list proto 'tcp' list proto 'udp' option src 'lan' list dest_ip '192.168.4.12' option dest 'vlan4' option name 'lan-airdisk-upnp' option dest_port '5000 5001 50001 50002'
https://www.titanhq.fr/blog/meilleure-configuration-segmentation-zone-securite-pare-feu/
https://www.n0tes.fr/2019/04/17/Differences-entre-IDS-IPS-et-Firewall/
https://zestedesavoir.com/tutoriels/2789/les-reseaux-de-zero/
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/s1-firewall-ipt-fwd.html