Jessie-parefeu-ipv6-vlc

Support Debian
#1

Bonjour,
J’ai un problème avec le parefeu de isalo.org/wiki.debian-fr/Par … lifi%C3%A9.
J’ai copié-collé le script dans /etc/init.d/mon_parefeu puis j’ai rendu le fichier exécutable chmod +x /etc/init.d/mon_parefeu.
Puis à l’activation du script insserv mon_parefeu j’ai eu la réponse suivante:root@debian:/etc/init.d# insserv mon_parefeu insserv: Script mon_parefeu is broken: incomplete LSB comment. insserv: missing `Provides:' entry: please add. insserv: missing `Required-Start:' entry: please add even if empty. insserv: missing `Required-Stop:' entry: please add even if empty. insserv: missing `Default-Start:' entry: please add even if empty. insserv: missing `Default-Stop:' entry: please add even if empty. insserv: Default-Start undefined, assuming empty start runlevel(s) for script `mon_parefeu' insserv: Default-Stop undefined, assuming empty stop runlevel(s) for script `mon_parefeu'

L’entête du script est la suivante:[quote] #!/bin/sh

BEGIN INIT INFO

Provides: mon_parefeu

Required-Start: $local_fs

Should-Start:

Required-Stop: $local_fs

Should-Stop:

X-Start-Before: $network

X-Stop-After: $network

Default-Start: S

Default-Stop: 0 6

Short-description: Configure le parefeu

Description: Met en place les règles iptables.

END INIT INFO

[/quote]
Je ne vois pas où est l’erreur?

Par ailleurs dans le script on trouve:[quote]
#------------------------VARIABLES-------------------------------------#

Mettre à 1 si vous utilisez IPV6 :

IPV6=0[/quote]
Est-ce que cela me concerne sachant que j’utilise qu’un ordinateur en tant que end-user?

Merci pour vos suggestions et bonne soirée.

#2

Concernant la deuxième question, le filtrage IPv6 est pertinent à partir du moment où la machine a une connectivité IPv6, quel que soit son usage.

#3

Bonjour,
J’ai mis la valeur de IPV6 à 1.

Comme j’ai déjà utilisé ce script (IPV4) et qu’il fonctionnait j’ai remplacé l’entête du scrpit IPV6 par celle de IPV4; elles sont identiques mais au collage je me suis aperçu qu’elles n’avaient pas le même alignement de tabulation.
La commande insserv mon_parefeu est passée.

Je n’ai pas d’autre explication pour le phénomène.
Merci pour le soutien,
Ciao.

#4

Bonjour,
Voilà le script ( isalo.org/wiki.debian-fr/Par … lifi%C3%A9) qui fonctionne: entête du scrpt ipv4 et corps du script ipv6.
On remarque l’écart de tabulation.

[code]#!/bin/sh

BEGIN INIT INFO

Provides: mon_parefeu

Required-Start: $local_fs

Should-Start:

Required-Stop: $local_fs

Should-Stop:

X-Start-Before: $network

X-Stop-After: $network

Default-Start: S

Default-Stop: 0 6

Short-description: Configure le parefeu

Description: Met en place les règles iptables.

END INIT INFO

#------------------------Explications----------------------------------#

Défauts :

- Cette configuration s’applique à toutes les interfaces réseau.

Si vous voulez restreindre cela à une interface donnée,

utilisez ‘-i INTERFACE’ dans la variables $IPTABLES.

- Par défaut, le script autorise tout en sortie.

Pour changer ce comportement veuillez indiquer les numéros

de port en question dans les variables

$REMOTE_TCP_SERVICES

et/ou $REMOTE_UDP_SERVICES

- Pour configurer une machine routeur,

changez la valeur de la variable

ISROUTERNAT à true, ainsi que

les interfaces ethx et ethy selon votre configuration

ethx correspond à l’interface du LAN

ethy correspond à l’interface reliée à la truc-box

description: Active/Désactive le pare-feu au démarrage

#----------------------------------------------------------------------#

. /lib/lsb/init-functions

#------------------------VARIABLES-------------------------------------#

Mettre à 1 si vous utilisez IPV6 :

IPV6=1

Services que le système offrira au réseau, à séparer avec des espaces

ftp : 21, ssh : 22, serveur web : 80, cups : 631, jabber : 5222

TCP_SERVICES="“
UDP_SERVICES=”"

Services que le système utilisera du réseau

(défaut : autorise tout en sortie)

REMOTE_TCP_SERVICES="“
REMOTE_UDP_SERVICES=”"

Pour une machine faisant office de routeur avec NAT,

changer la valeur de la variable ISROUTERNAT à true.

ISROUTERNAT=false

ethx correspond à l’interface du LAN

ethy correspond à l’interface reliée à la truc-box

ethx="eth1"
ethy=“eth0”

Chemins vers iptables

readonly IPTABLES=/sbin/iptables
readonly IP6TABLES=/sbin/ip6tables
#----------------------------------------------------------------------#

if ! [ -x $IPTABLES ]; then
exit 0
fi

if [ $IPV6 -eq 1 ]; then
if ! [ -x $IP6TABLES ]; then
exit 0
fi
fi

#----------------------------FONCTIONS---------------------------------#
fw_start () {

Vidage

   fw_clear
   # Parefeu - Suppression des règles

Interdictions

   $IPTABLES -t filter -P INPUT DROP
   $IPTABLES -t filter -P FORWARD DROP
   $IPTABLES -t filter -P OUTPUT DROP
    
   # Parefeu - interdictions générales établies

Loopback

   $IPTABLES -t filter -A INPUT -i lo -j ACCEPT

Trafic d’entrée :

   $IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Refus du ping pour éviter de répondre aux scans des éventuels vilains

   $IPTABLES -t filter -A INPUT -p icmp -j LOG
   $IPTABLES -t filter -A INPUT -p icmp -j DROP

Sortie autorisée, si aucun port autorisé en sortie n’est défini

       if [ -z "$REMOTE_TCP_SERVICES"] && [ -z "$REMOTE_UDP_SERVICES" ]; then
           $IPTABLES -t filter -P OUTPUT ACCEPT
       fi

Services à autoriser en entrée

   for PORT in $TCP_SERVICES; do
       $IPTABLES -A INPUT -p tcp --dport ${PORT} -j ACCEPT
   done
    
   for PORT in $UDP_SERVICES; do
       $IPTABLES -A INPUT -p udp --dport ${PORT} -j ACCEPT
   done

Services à autoriser en sortie

   for PORT in $REMOTE_TCP_SERVICES; do
       $IPTABLES -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
   done
   for PORT in $REMOTE_UDP_SERVICES; do
       $IPTABLES -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
   done
   # Parefeu - Mise en place des règles
    
   if $ISROUTERNAT ; then
       $IPTABLES -A INPUT -i $ethx -j ACCEPT
       $IPTABLES -A INPUT -p icmp -j ACCEPT
       $IPTABLES -A FORWARD -i $ethy -o $ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
       $IPTABLES -A FORWARD -o $ethy -j ACCEPT
       $IPTABLES -t nat -A POSTROUTING -o $ethy -j MASQUERADE
       # Parefeu - Routeur avec NAT
   fi

Toutes les autres connexions sont enregistrées dans syslog

   $IPTABLES -t filter -A INPUT -j LOG --log-level=4

Configuration IPV6

   if [ $IPV6 -eq 1 ]; then
   # Interdictions
       $IP6TABLES -t filter -P INPUT DROP
       $IP6TABLES -t filter -P FORWARD DROP
       $IP6TABLES -t filter -P OUTPUT DROP
        
   # Loopback
       $IP6TABLES -t filter -A INPUT -i lo -j ACCEPT
        
   # Trafic d'entrée :
       $IP6TABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        
   # Refus du ping pour éviter de répondre aux scans des éventuels vilains
       $IP6TABLES -t filter -A INPUT -p icmp -j LOG
       $IP6TABLES -t filter -A INPUT -p icmp -j DROP
        
   # Sortie autorisée, si aucun port autorisé en sortie n'est défini
           if [ -z "$REMOTE_TCP_SERVICES"] && [ -z "$REMOTE_UDP_SERVICES" ]; then
               $IP6TABLES -t filter -P OUTPUT ACCEPT
           fi
        
   # Services à autoriser en entrée
       for PORT in $TCP_SERVICES; do
           $IP6TABLES -A INPUT -p tcp --dport ${PORT} -j ACCEPT
       done
        
       for PORT in $UDP_SERVICES; do
           $IP6TABLES -A INPUT -p udp --dport ${PORT} -j ACCEPT
       done
        
   # Services à autoriser en sortie
    
       for PORT in $REMOTE_TCP_SERVICES; do
           $IP6TABLES -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
       done
       for PORT in $REMOTE_UDP_SERVICES; do
           $IP6TABLES -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
       done
       # Parefeu - Mise en place des règles
    
       if $ISROUTERNAT ; then
           $IP6TABLES -A INPUT -i $ethx -j ACCEPT
           $IP6TABLES -A INPUT -p icmp -j ACCEPT
           $IP6TABLES -A FORWARD -i $ethy -o $ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
           $IP6TABLES -A FORWARD -o $ethy -j ACCEPT
           $IP6TABLES -t nat -A POSTROUTING -o $ethy -j MASQUERADE
           $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
           $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
       fi
        
       # Pour toute interface de type broadcast
       $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
       $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
       $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
       $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT


   # Toutes les autres connexions sont enregistrées dans syslog
       $IP6TABLES -t filter -A INPUT -j LOG --log-level=4
   fi

}

fw_stop () {
#$IPTABLES -F
#$IPTABLES -t nat -F
#$IPTABLES -t mangle -F
#$IPTABLES -P INPUT DROP
#$IPTABLES -P FORWARD DROP
#$IPTABLES -P OUTPUT ACCEPT
iptables-save > /etc/firewall
}

fw_clear () {
$IPTABLES -t filter -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -t raw -F
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t raw -P OUTPUT ACCEPT
$IPTABLES -t raw -P PREROUTING ACCEPT
$IPTABLES -F
if [ $IPV6 -eq 1 ]; then
$IP6TABLES -t filter -F
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F
$IP6TABLES -t raw -F
$IP6TABLES -t filter -P INPUT ACCEPT
$IP6TABLES -t filter -P OUTPUT ACCEPT
$IP6TABLES -t filter -P FORWARD ACCEPT
$IP6TABLES -t nat -P PREROUTING ACCEPT
$IP6TABLES -t nat -P POSTROUTING ACCEPT
$IP6TABLES -t nat -P OUTPUT ACCEPT
$IP6TABLES -t mangle -P PREROUTING ACCEPT
$IP6TABLES -t mangle -P OUTPUT ACCEPT
$IP6TABLES -t mangle -P POSTROUTING ACCEPT
$IP6TABLES -t mangle -P FORWARD ACCEPT
$IP6TABLES -t mangle -P INPUT ACCEPT
$IP6TABLES -t raw -P OUTPUT ACCEPT
$IP6TABLES -t raw -P PREROUTING ACCEPT
$IP6TABLES -F
fi
}

fw_status () {
$IPTABLES -L --line-numbers
if [ $IPV6 -eq 1 ]; then
$IP6TABLES -L --line-numbers
fi
}

#----------------------------------------------------------------------#

case “$1” in
start|restart)
log_daemon_msg "Starting firewall…"
fw_start
log_end_msg $?
;;
stop)
log_daemon_msg "Stopping firewall…"
fw_stop
log_end_msg $?
;;
clean)
log_daemon_msg "Clearing firewall rules…"
fw_clear
log_end_msg $?
;;
status)
log_daemon_msg "Firewall status"
fw_status
;;
*)
log_action_msg "Usage $0 {start|stop|restart|clean|status}"
exit 1
;;
esac
exit 0
[/code]

J’ai trouvé un test sur internet qui montre que le parefeu fonctionne.
Ciao.

#5

Bonjour,
Je viens de modifier le parefeu simplifié du wiki (trafic d’entrée et sortie autorisée)
isalo.org/wiki.debian-fr/Par … lifi%C3%A9
pour lancer les freeboxtv à partir de vlc. J’ai utilisé les informations de la documentation Ubuntu-vlc.
doc.ubuntu-fr.org/vlc:[code]#!/bin/sh

BEGIN INIT INFO

Provides: mon_parefeu

Required-Start: $local_fs

Should-Start:

Required-Stop: $local_fs

Should-Stop:

X-Start-Before: $network

X-Stop-After: $network

Default-Start: S

Default-Stop: 0 6

Short-description: Configure le parefeu

Description: Met en place les règles iptables.

END INIT INFO

#------------------------Explications----------------------------------#

Défauts :

- Cette configuration s’applique à toutes les interfaces réseau.

Si vous voulez restreindre cela à une interface donnée,

utilisez ‘-i INTERFACE’ dans la variables $IPTABLES.

- Par défaut, le script autorise tout en sortie.

Pour changer ce comportement veuillez indiquer les numéros

de port en question dans les variables

$REMOTE_TCP_SERVICES

et/ou $REMOTE_UDP_SERVICES

- Pour configurer une machine routeur,

changez la valeur de la variable

ISROUTERNAT à true, ainsi que

les interfaces ethx et ethy selon votre configuration

ethx correspond à l’interface du LAN

ethy correspond à l’interface reliée à la truc-box

description: Active/Désactive le pare-feu au démarrage

#----------------------------------------------------------------------#

. /lib/lsb/init-functions

#------------------------VARIABLES-------------------------------------#

Mettre à 1 si vous utilisez IPV6 :

IPV6=1

Services que le système offrira au réseau, à séparer avec des espaces

ftp : 21, ssh : 22, serveur web : 80, cups : 631, jabber : 5222

TCP_SERVICES="“
UDP_SERVICES=”"

Services que le système utilisera du réseau

(défaut : autorise tout en sortie)

REMOTE_TCP_SERVICES="“
REMOTE_UDP_SERVICES=”"

Pour une machine faisant office de routeur avec NAT,

changer la valeur de la variable ISROUTERNAT à true.

ISROUTERNAT=false

ethx correspond à l’interface du LAN

ethy correspond à l’interface reliée à la truc-box

ethx="eth1"
ethy=“eth0”

Chemins vers iptables

readonly IPTABLES=/sbin/iptables
readonly IP6TABLES=/sbin/ip6tables
#----------------------------------------------------------------------#

if ! [ -x $IPTABLES ]; then
exit 0
fi

if [ $IPV6 -eq 1 ]; then
if ! [ -x $IP6TABLES ]; then
exit 0
fi
fi

#----------------------------FONCTIONS---------------------------------#
fw_start () {

Vidage

   fw_clear
   # Parefeu - Suppression des règles

Interdictions

   $IPTABLES -t filter -P INPUT DROP
   $IPTABLES -t filter -P FORWARD DROP
   $IPTABLES -t filter -P OUTPUT DROP
    
   # Parefeu - interdictions générales établies

Loopback

   $IPTABLES -t filter -A INPUT -i lo -j ACCEPT

Trafic d’entrée :

   $IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   # adaptaion pour VLC
   $IPTABLES -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT
   $IPTABLES -t filter -A INPUT -p udp -s 212.27.38.253 -j ACCEPT

Refus du ping pour éviter de répondre aux scans des éventuels vilains

   $IPTABLES -t filter -A INPUT -p icmp -j LOG
   $IPTABLES -t filter -A INPUT -p icmp -j DROP

Sortie autorisée, si aucun port autorisé en sortie n’est défini

       if [ -z "$REMOTE_TCP_SERVICES"] && [ -z "$REMOTE_UDP_SERVICES" ]; then
           $IPTABLES -t filter -P OUTPUT ACCEPT
       fi
   # adaptaion pour VLC
       $IPTABLES -t filter -A OUTPUT -m state ! --state INVALID -j ACCEPT

Services à autoriser en entrée

   for PORT in $TCP_SERVICES; do
       $IPTABLES -A INPUT -p tcp --dport ${PORT} -j ACCEPT
   done
    
   for PORT in $UDP_SERVICES; do
       $IPTABLES -A INPUT -p udp --dport ${PORT} -j ACCEPT
   done

Services à autoriser en sortie

   for PORT in $REMOTE_TCP_SERVICES; do
       $IPTABLES -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
   done
   for PORT in $REMOTE_UDP_SERVICES; do
       $IPTABLES -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
   done
   # Parefeu - Mise en place des règles
    
   if $ISROUTERNAT ; then
       $IPTABLES -A INPUT -i $ethx -j ACCEPT
       $IPTABLES -A INPUT -p icmp -j ACCEPT
       $IPTABLES -A FORWARD -i $ethy -o $ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
       $IPTABLES -A FORWARD -o $ethy -j ACCEPT
       $IPTABLES -t nat -A POSTROUTING -o $ethy -j MASQUERADE
       # Parefeu - Routeur avec NAT
   fi

Toutes les autres connexions sont enregistrées dans syslog

   $IPTABLES -t filter -A INPUT -j LOG --log-level=4

Configuration IPV6

   if [ $IPV6 -eq 1 ]; then
   # Interdictions
       $IP6TABLES -t filter -P INPUT DROP
       $IP6TABLES -t filter -P FORWARD DROP
       $IP6TABLES -t filter -P OUTPUT DROP
        
   # Loopback
       $IP6TABLES -t filter -A INPUT -i lo -j ACCEPT
        
   # Trafic d'entrée :
       $IP6TABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        
   # Refus du ping pour éviter de répondre aux scans des éventuels vilains
       $IP6TABLES -t filter -A INPUT -p icmp -j LOG
       $IP6TABLES -t filter -A INPUT -p icmp -j DROP
        
   # Sortie autorisée, si aucun port autorisé en sortie n'est défini
           if [ -z "$REMOTE_TCP_SERVICES"] && [ -z "$REMOTE_UDP_SERVICES" ]; then
               $IP6TABLES -t filter -P OUTPUT ACCEPT
           fi
        
   # Services à autoriser en entrée
       for PORT in $TCP_SERVICES; do
           $IP6TABLES -A INPUT -p tcp --dport ${PORT} -j ACCEPT
       done
        
       for PORT in $UDP_SERVICES; do
           $IP6TABLES -A INPUT -p udp --dport ${PORT} -j ACCEPT
       done
        
   # Services à autoriser en sortie
    
       for PORT in $REMOTE_TCP_SERVICES; do
           $IP6TABLES -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
       done
       for PORT in $REMOTE_UDP_SERVICES; do
           $IP6TABLES -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
       done
       # Parefeu - Mise en place des règles
    
       if $ISROUTERNAT ; then
           $IP6TABLES -A INPUT -i $ethx -j ACCEPT
           $IP6TABLES -A INPUT -p icmp -j ACCEPT
           $IP6TABLES -A FORWARD -i $ethy -o $ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
           $IP6TABLES -A FORWARD -o $ethy -j ACCEPT
           $IP6TABLES -t nat -A POSTROUTING -o $ethy -j MASQUERADE
           $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
           $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
       fi
        
       # Pour toute interface de type broadcast
       $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
       $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
       $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
       $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT


   # Toutes les autres connexions sont enregistrées dans syslog
       $IP6TABLES -t filter -A INPUT -j LOG --log-level=4
   fi

}

fw_stop () {
#$IPTABLES -F
#$IPTABLES -t nat -F
#$IPTABLES -t mangle -F
#$IPTABLES -P INPUT DROP
#$IPTABLES -P FORWARD DROP
#$IPTABLES -P OUTPUT ACCEPT
iptables-save > /etc/firewall
}

fw_clear () {
$IPTABLES -t filter -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -t raw -F
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t raw -P OUTPUT ACCEPT
$IPTABLES -t raw -P PREROUTING ACCEPT
$IPTABLES -F
if [ $IPV6 -eq 1 ]; then
$IP6TABLES -t filter -F
$IP6TABLES -t nat -F
$IP6TABLES -t mangle -F
$IP6TABLES -t raw -F
$IP6TABLES -t filter -P INPUT ACCEPT
$IP6TABLES -t filter -P OUTPUT ACCEPT
$IP6TABLES -t filter -P FORWARD ACCEPT
$IP6TABLES -t nat -P PREROUTING ACCEPT
$IP6TABLES -t nat -P POSTROUTING ACCEPT
$IP6TABLES -t nat -P OUTPUT ACCEPT
$IP6TABLES -t mangle -P PREROUTING ACCEPT
$IP6TABLES -t mangle -P OUTPUT ACCEPT
$IP6TABLES -t mangle -P POSTROUTING ACCEPT
$IP6TABLES -t mangle -P FORWARD ACCEPT
$IP6TABLES -t mangle -P INPUT ACCEPT
$IP6TABLES -t raw -P OUTPUT ACCEPT
$IP6TABLES -t raw -P PREROUTING ACCEPT
$IP6TABLES -F
fi
}

fw_status () {
$IPTABLES -L --line-numbers
if [ $IPV6 -eq 1 ]; then
$IP6TABLES -L --line-numbers
fi
}

#----------------------------------------------------------------------#

case “$1” in
start|restart)
log_daemon_msg "Starting firewall…"
fw_start
log_end_msg $?
;;
stop)
log_daemon_msg "Stopping firewall…"
fw_stop
log_end_msg $?
;;
clean)
log_daemon_msg "Clearing firewall rules…"
fw_clear
log_end_msg $?
;;
status)
log_daemon_msg "Firewall status"
fw_status
;;
*)
log_action_msg "Usage $0 {start|stop|restart|clean|status}"
exit 1
;;
esac
exit 0
[/code]
Ciao.