diff --git a/gestion/gen_confs/firewall4.py b/gestion/gen_confs/firewall4.py index bde7c519..5dc48eac 100755 --- a/gestion/gen_confs/firewall4.py +++ b/gestion/gen_confs/firewall4.py @@ -506,13 +506,13 @@ class firewall_komaz(firewall_base_routeur): self.add(table, chain, '-i lo -j ACCEPT') self.add(table, chain, '-p icmp -j ACCEPT') self.add(table, chain, '-j %s' % self.admin_vlan(table)) + self.add(table, chain, '-i %s -j %s' % (dev['out'], blacklist_hard_chain)) + self.add(table, chain, '-o %s -j %s' % (dev['out'], blacklist_hard_chain)) self.add(table, chain, '-m state --state RELATED,ESTABLISHED -j ACCEPT') self.add(table, chain, '-j %s' % self.reseaux_non_routable(table, fill_ipset=True)) self.add(table, chain, '-j %s' % self.blacklist_soft(table)) for net in NETs['all'] + NETs['adm'] + NETs['personnel-ens']: self.add(table, chain, '-s %s -j %s' % (net, mac_ip_chain)) - self.add(table, chain, '-i %s -j %s' % (dev['out'], blacklist_hard_chain)) - self.add(table, chain, '-o %s -j %s' % (dev['out'], blacklist_hard_chain)) self.add(table, chain, '-j %s' % self.connexion_secours(table)) self.add(table, chain, '-j %s' % self.connexion_appartement(table)) self.add(table, chain, '-j %s' % self.ingress_filtering(table)) @@ -807,9 +807,17 @@ class firewall_komaz(firewall_base_routeur): if table == 'mangle': pretty_print(table, chain) + # Pas de QoS vers/depuis la zone ENS + self.add(table, chain, '-d 138.231.0.0/16 -s 138.231.0.0/16 -j RETURN') + + # Idem pour le ftp self.add(table, chain, '-d 138.231.136.98 -j RETURN') self.add(table, chain, '-s 138.231.136.98 -j RETURN') + # Idem vers OVH pour le test de la connection de secours + self.add(table, chain, '-d 91.121.84.138 -j RETURN') + self.add(table, chain, '-s 91.121.84.138 -j RETURN') + # Classification par defaut pour tous les paquets for net in NETs['all']: self.add(table, chain, '-o %s -s %s -j CLASSIFY --set-class 1:10' % (dev['out'], net))