From f5c9eeda5a19b5b98ee29df7208f0c18d6a36d76 Mon Sep 17 00:00:00 2001 From: Hugo LEVY-FALK Date: Thu, 10 Jan 2019 00:29:26 +0100 Subject: [PATCH] oubli des marqueurs meta --- nat.nft | 14 +++++++------- zones/adherent.nft | 2 +- zones/aloes.nft | 2 +- zones/federez.nft | 2 +- zones/prerezotage.nft | 2 +- zones/supelec.nft | 2 +- 6 files changed, 12 insertions(+), 12 deletions(-) diff --git a/nat.nft b/nat.nft index a3afe21..e34f776 100644 --- a/nat.nft +++ b/nat.nft @@ -10,7 +10,7 @@ table nat { # ne l'a pas on ouvre un navigateur avec la réponse. C'est exactement # ce que l'on veut pour les adhérents non rézotés qui sont sur ce vlan: # les rediriger vers l'intranet. - iifname $if_prerezotage tcp dport {http,https} ip daddr != { $intranet, $comnpay, $website } dnat $bounce_server; + meta iifname $if_prerezotage tcp dport {http,https} ip daddr != { $intranet, $comnpay, $website } dnat $bounce_server; } @@ -19,18 +19,18 @@ table nat { # Pour les machines du VLAN de prérézotage, on fait un simple # masquerade derrière l'IP du routeur car on a pas besoin de loguer # étant donné que l'on limite les destinations possibles par ailleurs. - iifname $if_prerezotage masquerade,persistent + meta iifname $if_prerezotage masquerade,persistent # NAT adherent - iifname $if_adherent oifname $if_supelec snat ip saddr map @adherent_nat_address : ip saddr map @adherent_nat_port; + meta iifname $if_adherent meta oifname $if_supelec snat ip saddr map @adherent_nat_address : ip saddr map @adherent_nat_port; # NAT federez - iifname $if_federez oifname $if_supelec snat ip saddr map @federez_nat_address : ip saddr map @federez_nat_port; + meta iifname $if_federez meta oifname $if_supelec snat ip saddr map @federez_nat_address : ip saddr map @federez_nat_port; # NAT ALOES - iifname $if_adherent oifname $if_supelec snat ip saddr map @aloes_nat_address : ip saddr map @aloes_nat_port; + meta iifname $if_adherent meta oifname $if_supelec snat ip saddr map @aloes_nat_address : ip saddr map @aloes_nat_port; # NAT Server - iifname $if_admin oifname $if_supelec snat ip saddr map @server_nat_address : ip saddr map @server_nat_port; + meta iifname $if_admin meta oifname $if_supelec snat ip saddr map @server_nat_address : ip saddr map @server_nat_port; # NAT prerezotage - iifname $if_prerezotage oifname $if_supelec snat ip saddr map @prerezotage_nat_address : ip saddr map @prerezotage_nat_port; + meta iifname $if_prerezotage meta oifname $if_supelec snat ip saddr map @prerezotage_nat_address : ip saddr map @prerezotage_nat_port; # Le reste du local est mis en masquerade derrière le routeur ip saddr 10.0.0.0/8 masquerade diff --git a/zones/adherent.nft b/zones/adherent.nft index 55a8d55..b77ead9 100644 --- a/zones/adherent.nft +++ b/zones/adherent.nft @@ -25,7 +25,7 @@ table inet firewall { } chain to_adh { - iifname allowed_to_adh accept; + meta iifname allowed_to_adh accept; drop; } diff --git a/zones/aloes.nft b/zones/aloes.nft index 17aab0a..43f226d 100644 --- a/zones/aloes.nft +++ b/zones/aloes.nft @@ -25,7 +25,7 @@ table inet firewall { } chain to_aloes { - iifname allowed_to_aloes accept; + meta iifname allowed_to_aloes accept; drop; } diff --git a/zones/federez.nft b/zones/federez.nft index d3ce759..de38b60 100644 --- a/zones/federez.nft +++ b/zones/federez.nft @@ -25,7 +25,7 @@ table inet firewall { } chain to_federez { - iifname allowed_to_federez accept; + meta iifname allowed_to_federez accept; drop; } diff --git a/zones/prerezotage.nft b/zones/prerezotage.nft index fb2cdba..a5d9187 100644 --- a/zones/prerezotage.nft +++ b/zones/prerezotage.nft @@ -37,7 +37,7 @@ table inet firewall { chain to_prerezotage { # On accepte les connexions que depuis certaines ips. - iifname allowed_to_prerezotage accept; + meta iifname allowed_to_prerezotage accept; drop; } diff --git a/zones/supelec.nft b/zones/supelec.nft index a9fed28..395f546 100644 --- a/zones/supelec.nft +++ b/zones/supelec.nft @@ -19,7 +19,7 @@ table inet firewall { } chain to_supelec { - iifname allowed_to_supelec accept; + meta iifname allowed_to_supelec accept; drop; }