Auteur Sujet: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax  (Lu 70819 fois)

0 Membres et 4 Invités sur ce sujet

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #132 le: 09 juillet 2014 à 01:16:44 »
A part pour 'la gloire' de faire ca ou pour un besoin très spécifique il n'y a  quasi pas d’intérêt a bypasser la neufbox.
En effet, en moins d'une minute on peut la rooter et avoir un acces ssh dessus avec tout le droits ou meme changer completement son systeme. Contrairement aux autres FAI donc, la neufbox est "hackable" et ca pose pas de souci a SFR (dans une certaine mesure).

Mais bon pour 'la gloire' , pourquoi pas:)
Dans ce cas, plutot que de se baser sur des captures il suffit d'examiner les scripts qu'il y a dans la neufbox, tout est la, y'a plus qu'a 'refaire' dans l'ERL (s'il le permet). Vous gagnerez donc beaucoup de temps a télécharger le dernier firmware et a l'extraire pour avoir le contenu de ces scripts sous la main. Pas besoin de rooter/flasher sa NB6v donc, ni meme d'etre chez SFR en fait.
tout est la : http://neufbox.alwaysdata.net/
pour la NB6v c'est mieux par la: http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V

J'ai un ERL et une NB6v 'rootée' donc si vous butez sur un point n’hésitez pas a demander (meme si j'ai pas l'intention de bypasser ma neufbox pour le moment, j'aime bien les bidouilles 'juste pour la gloire' ;) )

yrousse

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 184
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #133 le: 09 juillet 2014 à 01:29:17 »
"Pour la gloire", le challenge à relever, sont des raisons suffisantes.

Et plus fondamentalement, reprendre pour soi le choix envers son matériel, ses conditions de sécurité et de transport de ses données me paraissent aussi des points raisonnables.

De plus, pour ma part, creuser dans ces sujets m'amêne à approfondir mes connaissances générales sur les réseaux.

Bref, ce sujet est sur le bypass avec l'ERL et non sa remise en cause, n'est-ce-pas?  ;)

Merci pour les liens, Kgersen!

yrousse

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 184
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #134 le: 09 juillet 2014 à 05:48:45 »
Besoin de vos lumières...

Le Décodeur démarre!  ;D
Mais j'ai écran noir puis message "Signal TV indisponible". Erreur SL12.

Je vois ceci sur l'ERL avec un show ip multicast mfc (192.168.1.20 = le décodeur TV. eth0 = WAN, eth1 = LAN "normal", eth2 = zone NB6v) :
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.1.20     eth0   eth1          2186      979.20KB   2186
239.255.255.250 192.168.1.20     eth0   eth2          2186      979.20KB   2186
239.255.255.250 10.0.10.100      eth0   eth1             2       330.00b      2
239.255.255.250 10.0.10.100      eth0   eth2             2       330.00b      2

Le Firewall ?
J'ai mis une rêgle (N°50) pour IGMP, sans succès :
name WAN_IN {
     default-action drop
     description "WAN to internal"
     enable-default-log
     rule 10 {
         action accept
         description "Allow established/related"
         log disable
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 20 {
         action drop
         description "Drop invalid state"
         log disable
         protocol all
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
     rule 50 {
         action accept
         description "IGMP for NB6v_LAN"
         destination {
             address 192.168.1.20
         }
         log disable
         protocol igmp
         state {
             established enable
             invalid disable
             new enable
             related enable
         }
     }
 }

Avez-vous des suggestions?

Ai-je besoin de UPnP pour le décodeur? Actuellement, j'ai uniquement :
root@ubnt# show service nat
 rule 5010 {
     description "Masquerade for WAN"
     log disable
     outbound-interface eth0
     type masquerade
 }

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 8 050
  • Paris (75)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #135 le: 09 juillet 2014 à 07:44:51 »
le decodeur (.24 chez moi) ouvre toujours un port par UPnP:

DNAT       tcp  --  anywhere             anywhere            tcp dpt:1290 to:192.168.1.24:8000

donc : port interne 8000 et port externe 1290

et ce meme si l'upnp est désactivé dans l'interface web de la neufbox (ils font ca par une regle iptable qui exclus tout le lan sauf les décodeurs TV).

voila en entier, le fichier /etc/init.d/iptv qui configure la partie TV de la NB:
#!/bin/sh /etc/rc.common

EXTRA_COMMANDS="check"

net_tv_infra=$(status get net_tv_infra)
net_tv_ifname=$(status get net_tv_ifname)
net_tv_ipaddr=$(status get net_tv_ipaddr)
net_tv_netmask=$(status get net_tv_netmask)
net_tv_broadcast=$(status get net_tv_broadcast)
net_tv_gateway=$(status get net_tv_gateway)
autoconf_file=/tmp/autoconf/$(autoconf get iptv_file)
test -e /tmp/iptv.infra && net_tv_infra=$(cat /tmp/iptv.infra)

mcast_net="224.0.0.0/4"
iptv_pp_pfs="86.66.127.160/27"

logger -t "iptv[$$]" "$action [${net_tv_infra}]"

boot() {
[ "$(nvram get net_mode)" = "bridge" ] && mode="-bridge"
local topology_conf=/etc/config/topology${mode}.xml
[ -e ${topology_conf} ] || topology_conf=/etc/default/topology${mode}.xml
test -z "$(roxml -q ${topology_conf} '//interface[@service=iptv]/@name')" && exit 0

lock /run/lock/iptv.lock

# iptv QoS
xtables -t mangle -N iptv_QoS
xtables -t mangle -A iptv_QoS -j MARK --set-mark 7
xtables -t mangle -A iptv_QoS -j ACCEPT

# Multicast streams
# early accept
iptables -I INPUT -d ${mcast_net} -j ACCEPT
iptables -I FORWARD -d ${mcast_net} -j ACCEPT
iptables -t mangle -I FORWARD -d ${mcast_net} -j ACCEPT
# accept igmp
iptables -A INPUT -p igmp -j ACCEPT

# igmp dscp
iptables -t mangle -A OUTPUT -j DSCP --set-dscp 044 -p igmp
iptables -t mangle -A OUTPUT -j iptv_QoS -p igmp

xtables -t mangle -N iptv_pfs
# Pure Pixel
iptables -t mangle -A iptv_pfs -j iptv_QoS -p udp -m multiport --dports 1664,2664
iptables -t mangle -A iptv_pfs -j iptv_QoS -p tcp -m tcp --dport rtsp


# enable IGMP snooping
for ifname in $(roxml -q ${topology_conf} '//interface[@type=bridge]/@ifname'); do
local syscfg="/sys/class/net/${ifname}/bridge/multicast_snooping"
[ -e ${syscfg} ] && echo 0 > ${syscfg}
done
local syscfg="/sys/class/net/$(status get lan_ifname)/bridge/multicast_snooping"
[ -e ${syscfg} ] && echo 1 > ${syscfg}

# wrapper
wrapper -t iptv -p /run/iptv-wrapper.pid

lock -u /run/lock/iptv.lock
}

dhcpc_tv_setup() {
dhcpc_tv_ifname=$(status get dhcpc_tv_ifname)

IPADDR=${net_tv_ipaddr}
eval $(ipcalc -bp ${net_tv_ipaddr} ${net_tv_netmask})
ip link set ${dhcpc_tv_ifname} up
ip -6 route flush dev ${dhcpc_tv_ifname}
if test -n "${net_tv_broadcast}"; then
BROADCAST="broadcast ${net_tv_broadcast}"
else
BROADCAST="broadcast ${BROADCAST}"
fi
ip addr add ${IPADDR}/${PREFIX} ${BROADCAST} dev ${dhcpc_tv_ifname}
sysctl -w net.ipv4.conf.${dhcpc_tv_ifname}.rp_filter=0

[ "${net_tv_infra}" = "adsl/noip" ] && return

# snat
iptables -t nat -A POSTROUTING -o ${dhcpc_tv_ifname} -j SNAT --to ${net_tv_ipaddr}
for net in $(roxml -q ${autoconf_file} '//pfstv-list/net'); do
ip route add ${net} via ${net_tv_gateway} dev ${dhcpc_tv_ifname} table lan_t
done
ip route flush cache
}

dhcpc_tv_cleanup() {
dhcpc_tv_ifname=$(status get dhcpc_tv_ifname)

# snat
iptables -t nat -D POSTROUTING -o ${dhcpc_tv_ifname} -j SNAT --to ${net_tv_ipaddr}

sysctl -w net.ipv4.conf.${dhcpc_tv_ifname}.rp_filter=1
ip link set ${dhcpc_tv_ifname} down
ip addr flush dev ${dhcpc_tv_ifname}
ip route flush cache
}

igmpproxy_conf() {
local conf=$1

echo "# Enable Quickleave mode (Sends Leave instantly)" > ${conf}
echo "quickleave" >> ${conf}
echo "" >> ${conf}
for ifname in voip0 ppp0 ppp1 ppp2 tun0 hotspot0; do
echo "phyint ${ifname} disabled" >> ${conf}
done
echo "# Configuration for Upstream Interface" >> ${conf}
echo "phyint ${net_tv_ifname} upstream ratelimit 0  threshold 1" >> ${conf}
for net in $(roxml -q ${autoconf_file} '//igmp-src-list/net'); do
echo "  altnet ${net}" >> ${conf}
done
igmp_streams=$(roxml -q ${autoconf_file} '//igmp-stream-list/net')
test -z "${igmp_streams}" && igmp_streams="232.0.0.0/7"
for net in ${igmp_streams}; do
echo "  whitelist ${net}" >> ${conf}
done
echo "" >> ${conf}
echo "# Configuration for Downstream Interface" >> ${conf}
echo "phyint $(status get lan_ifname) downstream ratelimit 0  threshold 1" >> ${conf}
for net in ${igmp_streams}; do
echo "  whitelist ${net}" >> ${conf}
done
echo "" >> ${conf}
}

start() {
lock /run/lock/iptv.lock

echo "${net_tv_infra}" > /tmp/iptv.infra

# IPTV routing
([ "${net_tv_infra}" = "adsl/dhcp" ] || [ "${net_tv_infra}" = "adsl/noip" ]) && \
dhcpc_tv_setup

# iptv QoS
xtables -t mangle -I lan_Up -d ${iptv_pp_pfs} -j iptv_pfs

env -i \
ACTION="ifup" \
INTERFACE="iptv" \
DEVICE="${net_tv_ifname}" \
INFRA="${net_tv_infra}" \
/sbin/hotplug-call "iface"

[ "$(nvram get igmp_debug)" = "on" ] && debug="-v"
# magic sleep to make conf sync and ready
sleep 1
igmpproxy_conf /run/igmpproxy.conf

echo "${net_tv_infra}" > /tmp/iptv.infra
# unlock now since exec probably never return
lock -u /run/lock/iptv.lock

exec igmpproxy -w /run/igmpproxy.conf ${debug}
}

stop() {
lock /run/lock/iptv.lock

rm -f /tmp/iptv.infra

killall igmpproxy

# let igmpproxy clean its multicast groups
sleep 3

# iptv QoS
xtables -t mangle -D lan_Up -d ${iptv_pp_pfs} -j iptv_pfs

env -i \
ACTION="ifdown" \
INTERFACE="iptv" \
DEVICE="${net_tv_ifname}" \
INFRA="${net_tv_infra}" \
/sbin/hotplug-call "iface"

# IPTV routing
([ "${net_tv_infra}" = "adsl/dhcp" ] || [ "${net_tv_infra}" = "adsl/noip" ]) && \
dhcpc_tv_cleanup

lock -u /run/lock/iptv.lock
}

reload() {
[ -f /run/iptv-wrapper.pid ] && kill -HUP $(cat /run/iptv-wrapper.pid)
# prevent call of restart if reload failed
true
}

check() {
ROUTES=$(ip route show table lan_t)
        for net in $(roxml -q /tmp/autoconf/$(autoconf get iptv_file) '//pfstv-list/net')
do
OK="\\033[32mOK\\033[0m"
NOK="\\033[31mNOK\\033[0m"
if echo $ROUTES|grep -q "$net "; then
ROUTE=$OK
else
ROUTE=$NOK
fi
echo -e "$net   \tROUTE:$ROUTE"
done
}

les truc 'autoconf' qu'on trouve la dedans sont un systeme a base de fichiers xml que la box va chercher (par HTTP) sur un serveur chez SFR. Tu peux faire la meme chose avec un client http je pense (wget par exemple).

un des ces fichiers sert de source pour la partie IPTV, voici celui qui est en 'live' dans ma box:
<?xml version="1.0" encoding="UTF-8"?>
<tvservices version="201403211400">
  <igmp-src-list>
    <net>86.65.232.0/24</net>
    <net>80.118.201.0/24</net>
    <net>84.96.146.0/24</net>
    <net>84.96.219.0/24</net>
    <net>80.118.192.0/24</net>
    <net>86.65.94.0/24</net>
    <net>86.65.95.0/24</net>
    <net>86.64.245.128/25</net>
    <net>86.64.159.201/32</net>
    <net>93.17.149.158/32</net>
    <net>109.203.65.49/32</net>
  </igmp-src-list>
  <pfstv-list>
    <!-- PFS TV -->
    <net>86.64.159.127</net>
    <net>86.64.233.32/28</net>
    <net>84.103.237.80</net>
    <net>84.103.237.192/28</net>
    <net>109.0.66.32/30</net>
    <net>109.0.66.48/30</net>
    <net>109.0.66.64/30</net>
    <net>109.0.66.80/30</net>
    <!-- PFS TV dev -->
    <net>109.0.64.96/28</net>
    <net>109.0.65.96/28</net>
    <!-- M6 REPLAY -->
    <net>160.92.103.29</net>
    <net>160.92.103.30</net>
    <net>86.64.233.160/28</net>
    <!-- VOD -->
    <net>86.64.160.240/29</net>
    <net>86.64.161.192/29</net>
    <net>86.64.159.24/29</net>
    <net>86.64.159.72/29</net>
    <net>86.64.160.232/29</net>
    <net>80.118.202.96/29</net>
    <net>86.66.127.56/29</net>
    <net>86.65.125.31</net>
    <net>86.64.241.160</net>
        <!-- VOD dev-->
        <net>77.154.79.192/26</net>
    <!-- WCS V7 -->
    <net>109.0.74.78</net>
    <!-- Nouveaux POP VOD -->
    <net>93.17.162.128/29</net>
    <net>93.17.190.8/29</net>
    <net>93.17.190.72/29</net>
    <net>93.17.190.136/29</net>
    <net>93.17.190.216/29</net>
    <net>93.17.191.24/29</net>
    <net>93.17.190.88/29</net>
    <net>93.17.191.160/29</net>
    <net>93.20.92.32/27</net>
    <net>93.20.92.96/27</net>
    <net>93.17.191.216/29</net>
    <net>93.17.191.240/29</net>
    <net>93.20.107.8/29</net>
    <net>93.20.107.32/29</net>
        <net>93.20.92.64/27</net>
    <net>86.65.123.192/26</net>
    <!-- Pure Pixel -->
    <net>86.66.127.160/27</net>
    <!-- M6 -->
    <net>160.92.103.11</net>
    <net>160.92.106.7</net>
    <net>195.88.194.48/29</net>
    <!-- Dailymotion -->
    <net>10.103.15.140/30</net>
    <net>10.103.15.151</net>
    <!-- TF1 -->
    <net>84.103.236.248/30</net>
    <!-- Canal Plus -->
    <net>84.96.146.171</net>
    <net>84.96.146.172</net>
    <!-- EPG -->
    <net>160.92.11.52</net>
    <!-- Courbevoie -->
    <net>84.96.217.32</net>
    <!-- CAS Cardless SFR -->
    <net>86.66.0.128/28</net>
    <!-- VIP VCAS VOD -->
    <net>93.17.149.16/28</net>
    <!-- GOD Preprod -->
    <net>93.20.51.64/27</net>
    <!-- GOD -->
    <net>109.24.9.16/28</net>
    <net>109.0.66.224/27</net>
    <!-- Wiztivi -->
    <net>84.96.238.192/28</net>
    <!-- mySniffer -->
        <net>93.17.162.181</net>
        <net>93.17.190.52</net>
        <net>93.17.190.117</net>
        <net>93.17.190.197</net>
        <net>93.17.191.148</net>
        <net>93.17.191.196</net>
        <net>93.17.191.4</net>
        <net>93.17.191.68</net>
        <net>93.20.107.148</net>
        <net>93.20.107.165</net>
        <net>93.20.107.53</net>
        <!-- NCDN -->
        <net>93.20.64.7</net>
        <net>93.20.64.17</net>
        <net>93.20.64.18</net>
        <!-- NCDN Prà©-prod-->
        <net>93.20.64.244</net>
  </pfstv-list>

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 816
  • 73
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #136 le: 09 juillet 2014 à 11:18:33 »
Pour moi :
1. Les infos XML sont dans les captures de Marin, dans le topic a coté avec tous les echanges de la NeufBox.

Ce n'est pas la même chose.

Les infos XML présentes dans mes captures sont celles qui sont servies par les serveurs SFR, à destination de la Neufbox (via le WAN).

Les infos XML dont il est question ici sont celles qui sont servies par la Neufbox (192.168.1.1), à destination du décodeur (via le LAN). Je ne les ai pas capturées car je n'ai pas de décodeur.

yrousse

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 184
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #137 le: 09 juillet 2014 à 12:39:33 »
En effet.

Et en l'état, grâce aux posts de cOmmOn, la partie des redirects des GetInfos pour la TV semble achevée quant à ma tentative en cours.
En revanche, mes flux Chaines TV restent bloqués.

J'ai quand même ajusté ma config UPnP (infos de Kgersen et config Orange de cOmmOn) avec :
upnp2 {
     listen-on eth1
     listen-on eth2
     nat-pmp enable
     secure-mode disable
     wan eth0
 }
(J'avais initialement omis eth2, l'interface destinée à prendre le rôle de la NB6v. Mais "ça marche toujours pas")

Mais pour igmp-proxy, je ne vois rien dans ce sujet qui exige d'affiner avec les IPs du post de ce matin de Kgersen.
Mais je cherche...
Et j'avoue que j'ai un peu de mal à comprendre comment je dois configurer mon Firewall via CLI...

c0mm0n

  • Invité
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #138 le: 09 juillet 2014 à 12:46:33 »
Il me semble qu'on avait réussi à faire marcher la TV chez tivoli, mais tu me mets le doute.

yrousse

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 184
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #139 le: 09 juillet 2014 à 13:09:27 »
Il me semble qu'on avait réussi à faire marcher la TV chez tivoli, mais tu me mets le doute.
Haldir et Tivoli me semblent avoir pu avoir les flux des chaines TV.

Là, j'ai ça :
yann@ubnt:~$ show ip multicast interfaces
Intf        BytesIn        PktsIn      BytesOut       PktsOut            Local
eth0        41.66MB         32217         0.00b             0   <IP Publique>
eth1          0.00b             0         0.00b             0        10.0.10.1
eth2          0.00b             0       41.66MB         32217      192.168.1.1
yann@ubnt:~$ show ip multicast mfc
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.1.1      eth0   eth1             3        96.00b      0
239.255.255.250 192.168.1.1      eth0   eth2             3        96.00b      0
239.255.255.250 192.168.1.20     eth0   eth1           594      284.68KB    594
239.255.255.250 192.168.1.20     eth0   eth2           594      284.68KB    594
239.255.255.250 10.0.10.1        eth0   eth1             1        32.00b      0
239.255.255.250 10.0.10.1        eth0   eth2             1        32.00b      0
239.255.255.250 10.0.10.10       eth0   eth1            32       30.88KB     32
239.255.255.250 10.0.10.10       eth0   eth2            32       30.88KB     32
239.255.255.250 10.0.10.100      eth0   eth1             2       313.00b      2
239.255.255.250 10.0.10.101      eth0   eth1            17        3.44KB     17
239.255.255.250 10.0.10.101      eth0   eth2            17        3.44KB     17
yann@ubnt:~$ ip mroute
(192.168.1.1, 239.255.255.250)   Iif: eth0       Oifs: eth1
(192.168.1.20, 239.255.255.250)  Iif: eth0       Oifs: eth1 eth2
(10.0.10.1, 239.255.255.250)     Iif: eth0       Oifs: eth1 eth2
(10.0.10.10, 239.255.255.250)    Iif: eth0       Oifs: eth1 eth2
(10.0.10.100, 239.255.255.250)   Iif: eth0       Oifs: eth1
(10.0.10.101, 239.255.255.250)   Iif: eth0       Oifs: eth1 eth2

Toujours avec :
igmp-proxy {
     interface eth0 {
         alt-subnet 0.0.0.0/0
         role upstream
         threshold 1
     }
     interface eth2 {
         alt-subnet 0.0.0.0/0
         role downstream
         threshold 1
     }
 }
J'ai enlevé la rêgle explicite pour IGMP dans le Firewall (car tu n'en mentionnes pas dans ta config Orange).

c0mm0n

  • Invité
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #140 le: 09 juillet 2014 à 13:11:09 »
Y a une vraie mode de faire des tests avec un firewall activé :D

yrousse

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 184
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #141 le: 09 juillet 2014 à 13:42:39 »
 ;D C'est que j'ai un peu de matos derrière... mais oui, ta remarque est juste.
Je vais débrancher tout ça et faire un essai sans FW.

Tiens, j'ai rajouté un:
set protocols igmp-proxy interface eth1 role disabledPour n'avoir IGMP que sur le LAN dédié à l'émulation de la NB6v et mon WAN. Pas de pollution de man LAN "machines". Plus propre.

Mais ça ne résout pas mon problème... ("Wrong")
yann@ubnt:~$ show ip multicast mfc
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.1.20     eth0   eth2             2       197.00b      2

c0mm0n

  • Invité
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #142 le: 09 juillet 2014 à 13:49:09 »
Pour le FW, que ca soit sur l'ERL et PFSense y a eu de nombreux cas ou alors que ca devait marcher, ca ne marchait pas a cause du FW.

Regarde les logs d'igmp proxy, je crois qu'ils sont dans messages.log

Sinon lance le a la main en -vv ou -d je sais plus (ou les 2)

yrousse

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 184
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #143 le: 09 juillet 2014 à 14:09:12 »
Aussitôt retirer les règles WAN_IN et WAN_LOCAL de mon interface WAN : le flux arrive sur le décodeur.
...
Que dire...   ::)
Bisou cOmmOn! ;)

Ok...

Je le remets à présent, en remettant une règle pour IGMP, mais non, ça ne le fait pas. Où est-ce-que je me plante?

all-ping enable
 broadcast-ping disable
 ipv6-receive-redirects disable
 ipv6-src-route disable
 ip-src-route disable
 log-martians enable
 name WAN_IN {
     default-action drop
     description "WAN to internal"
     enable-default-log
     rule 10 {
         action accept
         description "Allow established/related"
         log disable
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 15 {
         action accept
         description "Allow IGMP Traffic"
         log disable
         protocol igmp
         state {
             established enable
             invalid disable
             new enable
             related enable
         }
     }
     rule 20 {
         action drop
         description "Drop invalid state"
         log disable
         protocol all
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
 }
 name WAN_LOCAL {
     default-action drop
     description "WAN to router"
     enable-default-log
     rule 10 {
         action accept
         description "Allow established/related"
         log disable
         protocol all
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 20 {
         action drop
         description "Drop invalid state"
         log enable
         protocol all
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
 }
 options {
     mss-clamp {
         mss 1452
     }
 }
 receive-redirects disable
 send-redirects enable
 source-validation disable
 syn-cookies enable