Pardon, je parlais du filtrage concernant IPv6 que vous allez proposer, pas des redirections NAT.
Je pense que vos utilisateurs vous demanderons un pare-feu à états parce qu'ils ne savent pas réellement ce que c'est : ils ne comprennent pas conntrack, en particulier la signification de state NEW (non, -p tcp --state NEW n'est pas un synonyme de -p tcp --syn). Et très peu de gens comprennent réellement ce qu'implique conntrack, en particulier ses conséquences en matière de neutralité. Je pense qu'il est nettement préférable d'en rester à un filtrage sans états si possible. La neutralité doit être un objectif.
Pour la configuration, je suis persuadé qu'il faut à la fois proposer :
- une page Web de configuration pas trop rebutante
- un simple fichier texte de configuration qu'il est possible de recopier d'une box à l'autre, avec une syntaxe de règles simple qui permette de proposer une simple règle à copier-coller dans un forum
Pour le filtrage sans état, je pense qu'il ne faut pas proposer les règles iptables brutes mais juste le niveau au dessus : autoriser les connexions TCP vers le port x depuis l'IP y, ce qui génèrerait 2 règles iptables.
Il serait intéressant de discuter des besoins et des possibilités dans un forum, par exemple ici, parce que tout le monde peut avoir des idées.
Pour la facilité de diagnostique des problèmes, je pense que toute règle de filtrage doit être en REJECT (réponse ICMP dest-unreachable admin-prohibited) et non DROP, parce que l'existence du filtrage n'a pas besoin d'être caché. Il faut aussi une interface intuitive pour voir les règles appliquées.
Mais ce n'est pas tout : certains utilisateurs vont peut-être demander du filtrage parental... Je ne sais pas trop comment faire proprement en IPv6. Au départ, la Freebox Revolution appliquait le filtrage parental uniquement en IPv4 via le NAT. Aujourd'hui je ne sais pas.
Adeli