OpenWrt à tester

iptables IS DEAD

NFTABLES (net filter table) youtube

ufw-vs-iptables

à voir 1

http://www.guiguishow.info/2011/08/13/openwrt-securiser-lacces-ssh/#toc-1755-un-changement-du-port-dcoute-et-une-rgle-iptables

https://unix.stackexchange.com/questions/382419/what-type-of-traffic-applies-to-input-for-a-wan-zone

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT #-i eth0 => ssh router sur lan 

https://www.tutos.eu/6873

http://irp.nain-t.net/doku.php/130netfilter:060_iptables

la règle FORWARD par zone régit le trafic entre les interfaces de la même zone. Ceci est différent des "transferts" qui régissent le trafic entre différentes zones.

sur la zone Les options ci-dessous contrôlent les politiques de transfert entre cette zone (lan) et d'autres zones. Les zones de destination couvrent le trafic acheminé provenant du lan. Les zones source correspondent au trafic transféré provenant d'autres zones ciblées sur LAN. La règle de transfert est unidirectionnelle, par ex. un transfert de lan à wan n'implique pas une autorisation de transfert de wan à lan également. a tester: exemple 1- par default INPUT rejet sur vlan4 2 - mais on autorise le lan sur 4.12 de vlan4

1

config zone
	option name 'vlan4'
	option input 'REJECT' on empeche le trafic entrant dans cette zone (interfaces)
	option output 'ACCEPT'
	option forward 'REJECT' // on empêche les interfaces de communiquer entre elle dans cette zone
				// si dans list netkork il y a plusieurs interface
	list network 'vlan4'
config forwarding
	option src 'vlan4'
	option dest 'wan'

2

config rule
	option family 'ipv4'
	list proto 'tcp'
	option src 'lan'
	option target 'ACCEPT'
	list dest_ip '192.168.4.12'
	option dest 'vlan4'
	option dest_port '2012 80 443'
	option name 'lan-airdisk-ssh-80-443'

config rule
	option family 'ipv4'
	option src 'lan'
	option target 'ACCEPT'
	option name 'lan-airdisk-smb'
	list dest_ip '192.168.4.12'
	option dest 'vlan4'
	option dest_port '139 445'

config rule
	option src 'lan'
	option target 'ACCEPT'
	option name 'lan-airdisk-smb'
	option family 'ipv4'
	list proto 'udp'
	list dest_ip '192.168.4.12'
	option dest 'vlan4'
	option dest_port '137 138'

config rule
	option target 'ACCEPT'
	option family 'ipv4'
	list proto 'tcp'
	list proto 'udp'
	option src 'lan'
	list dest_ip '192.168.4.12'
	option dest 'vlan4'
	option name 'lan-airdisk-upnp'
	option dest_port '5000 5001 50001 50002'

https://www.titanhq.fr/blog/meilleure-configuration-segmentation-zone-securite-pare-feu/

https://www.n0tes.fr/2019/04/17/Differences-entre-IDS-IPS-et-Firewall/

https://zestedesavoir.com/tutoriels/2789/les-reseaux-de-zero/

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/s1-firewall-ipt-fwd.html