Le vol de mots de passe est une des activités favorites des escrocs de tout type qui sévisse sur Internet. Que ce soit au niveau des fonctionnalités offertes par les botnets ou des pratiques en cours chez les « brouteurs » africains, la collecte des informations personnelles est devenue un des vecteurs principaux pour permettre la fraude en ligne.

Par l’envoi d’un formulaire de phishing, des personnes mal intentionnées récupèrent vos identifiants et mots de passe et les utilisent à votre insu pour accéder à vos comptes (banque, paypal, ebay…).

Pour lutter contre ce fléau, vous avez déjà équipé votre ordinateur d’un antivirus et d’un firewall.

Lorsqu’ils sont développés sur mesure par des pirates mal intentionnés de nombreux virus et chevaux de troie passent pourtant au travers de ces protections traditionnelles. De plus, vos outils classiques sont bien démunis si vous communiquez vous même vos informations sur un site de phishing, imitant en tout point le site habituel de votre banque.

Le niveau de protection de votre ordinateur peut être considérablement augmenté grâce à l’installation du logiciel Trusteer Rapport, qui peut être téléchargé gratuitement à l’aide du lien ci-dessous.

Télécharger Trusteer Rapport

Une fois le logiciel instqllé, vous pouvez protéger une fois pour toute l’accès à tous les sites que vous savez authentiques grâce au bouton situé à droite de la barre d’adresse.

A partir de ce moment là, trusteer va vérifier la concordance entre l’adresse affichée dans la barre et les informations relatives au site qu’il aura mis dans sa base de données (notamment l’enregistrement DNS). Cela pourra donc éviter les attaques de type pharming.

De plus, Trusteer Rapport est capable de vérifier par exemple, que le mot de passe utilisé pour Ebay ne soit pas entré dans un formulaire sur un autre site. Le logiciel ne stocke pas les mots de passe, mais uniquement leur signature numérique.

Pour plus de détails sur le fonctionnement interne de Trusteer rapport, vous pouvez vous penchez sur la présentation qu’en fait l’éditeur.

http://www.trusteer.com/presentation-how-it-works

L’utilisation de rapport se révèle très pratique et très simple au quotidien et il serait dommage de se priver d’une brique supplémentaire qui augmente considérablement la confidentialité et l’intégrité de votre navigation.

Si vous avez mis en ligne un site web et que vous l’administrez, vous avez été ou vous allez être confronté tôt ou tard à la problématique de sa sécurisation. Pour ce faire, il est important d’identifier clairement les failles qui peuvent toucher votre site et de prévenir toute fuite d’information qui pourrait renseigner sur le pirate sur votre site.

Récupération des packages

Installation de SkipFish

tar xvzf libidn-1.18.tar.gz
tar xvzf skipfish-1.84b.tgz

Installation de libidn

cd libidn-1.18/
./configure
make
sudo make install

Installation de skipfish sur Linux ou Windows

cd ../skipfish-1.84b/
make

Installation de skipfish Sur Mac

cd ../skipfish-1.84b/

static int copy_asset(const struct dirent* d) {

static int copy_asset(struct dirent* d) {

CC=/usr/bin/gcc make

Analyse de votre serveur

./skipfish -W dictionaries/minimal.wl -o test http://la_machine_cible

Bien évidemment, inutile de vous rappeler que ce logiciel doit être utilisé uniquement contre votre propre site web

Selon le dictionnaire utilisé et la bande passante disponible, le test peut prendre un peu de temps, en général quelques minutes.

Une fois le scan terminé, vous devriez avoir un répertoire qui portera le nom spécifié dans la commande avec l’option -o (test dans cet exemple).

Dans ce répertoire se trouve un fichier index.html que vous pouvez ouvrir avec un navigateur web pour obtenir les résultats du scan.

Vous voilà maintenant prêt à éviter les fuites d’informations sur votre serveur web, que pourrait engendrer un répertoire laissé accessible par oubli. A vous de sécuriser ces accès au mieux par la création d’un .htaccess par exemple, ou en configurant votre serveur web de manière appropriée.

Augmenter la taille d’un volume sparsebundle

L’augmentation de la taille maximale fixée pour un volume de type sparsebundle se fait au moyen de la commande HDIUTIL

sudo hdiutil resize -size 100g moncontainer.sparsebundle

Après saisie du mot de passe de passe utilisateur et du mot de passe du volume, le container sera redimensionné à la volée.
A noter qu’il est important que ce volume soit démonté avant le redimensionnement.

Réduire la taille d’un volume sparsebundle

Les containers sparsebundle sont prévus pour accroitre leur taille en fonction des données qui y sont stockées (jusqu’à la limite fixée).

Au même titre qu’il peut être utile d’en augmenter la taille, il est quelquefois pratique de mettre au régime un container dans lequel on a effacé des données. Cela permet de récupérer le précieux espace disque qu’occupait le container lorsqu’il était plus volumineux.

sudo hdiutil compact moncontainer.sparsebundle

Une fois les deux mots de passe saisis, la mise à la diète du volume va commencer. Une fois l’opération terminée, le volume devrait occuper moins d’espace sur le disque.

Notez qu’il est opportun de vider la corbeille avant d’effectuer l’opération.

Utilitaire Time Machine

Afin de se prémunir contre une éventuelle panne de son disque dur, tout utilisateur d’ordinateur (PC ou Mac) doit effectuer une sauvegarde régulière de son disque système et de ses fichiers utilisateurs.

Pour permettre à cet utilisateur de mettre en place des sauvegardes d’une manière aisée et transparente, Apple a implémenté une solution intégrée au système d’exploitation (Leopard et Snow Leopard), nommée Time Machine.

Time machine permet d’utiliser un disque externe pour effectuer automatiquement une sauvegarde du système toutes les heures, tous les jours et toutes les semaines et ceci jusqu’à ce que le disque externe soit plein. A ce moment là, les sauvegardes les plus anciennes sont effacées au profit des plus récentes.

Si un fichier vient à être effacé par hasard ou si le disque subit une panne matérielle, il existe une interface qui permet à l’utilisateur de restaurer le contenu manquant et de « voyager dans le temps » pour remonter au moment où ses fichiers figuraient encore sur le disque dur. Il est par ailleurs possible de réinstaller complètement le système à partir d’une sauvegarde Time Machine.

Problématique de la sécurité des sauvegardes

Cet outil, d’une utilisation enfantine, apporte un plus considérable dans la gestion quotidienne des sauvegardes système, surtout pour l’utilisateur néophyte, non initié à la mise en place d’une politique de sauvegarde stricte.

En revanche, tous les fichiers sont sauvegardés « en clair » sur le disque dur externe. Toute personne mal intentionnée ayant un accès physique au disque dur de sauvegarde peut utiliser un autre ordinateur pour explorer les fichiers stockés sur ce disque de sauvegarde.

En terme de sécurité, ceci constitue réellement un problème. En effet, l’accès aux fichiers d’un utilisateur sur un ordinateur MAC est soumis à l’ouverture de sa session, habituellement protégée par un mot de passe.

Or, à quoi sert de protéger les fichiers sur l’ordinateur lui-même si des tiers peuvent avoir accès aux sauvegardes, régulièrement mises à jour ?

Sauvegarde dans un container sparse bundle

La solution, pour éviter un accès illégitime aux fichiers sensibles consiste à crypter, à la volée, les sauvegardes effectuées à l’aide du logiciel Time Machine.

Le principe réside dans la création d’un fichier container de type sparsebundle qui sera monté en tant que lecteur virtuel et qui contiendra l’intégralité des fichiers sauvegardés.

Création du container

En premier lieu, il est nécessaire de déterminer le nom du fichier container, qui doit répondre à une syntaxe particulière. Le nom doit être de la forme « NOMMACHINE_ADDRMACEN0.sparsebundle », où NOMMACHINE est le nom de la machine et ADDRMACEN0 l’adresse mac de la carte réseau filaire (RJ-45) de votre machine. C’est la condition sine qua non pour que Time Machine reconnaisse le container et soit capable de le monter automatiquement.

Les deux commandes suivantes, à taper dans le terminal (que vous trouverez dans le répertoire utilitaires de votre mac), vous permettront de déterminer le nom et l’adresse mac de la carte ethernet.

hostname -s
ifconfig en0 | grep ether | tr -d ":" | cut -d" " -f2

Par exemple, si la première commande vous retourne « monmac » et la deuxième « 64b9e8b77b54″, le nom du fichier container devra être impérativement « monmac_64b9e8b77b54.sparsebundle ».

/!\ ATTENTION A RESPECTER LA CASSE DES CARACTERES (minuscules et majuscules).

Une fois ces éléments déterminés, l’étape suivante est la création du container Sparsebundle. Pour celà il est nécessaire d’ouvrir l’utilitaire disque, présent dans les utilitaires de (Snow) Léopard.

Le menu « Fichier/Nouvelle/Image disque vide » permet d’afficher la fenêtre de création de l’image disque du container et de le créer avec les paramètres ci-dessous. Le container doit être crée directement sur le disque dur externe qui servira pour Time Machine. Dans cet exemple, le disque dur externe s’appellera JAZZ500.

• Enregistrer sous : monmac_64b9e8b77b54 (ou le nom du fichier déterminé)
• Nom : TimeMachine
• Taille : Taille maximum de votre disque externe (> taille du disque dur du mac)
• Format : Mac OS étendu (journalisé)
• Chiffrement : Chiffrement AES 128 bits (suffisant pour l’usage)
• Partitions : Aucune table de partition
• Format d’image : image disque SparseBundle

Ceci aura pour effet de vous demander un mot de passe (que vous choisirez suffisamment complexe) qui servira à monter le container et qu’il faudra enregistrer dans le trousseau de votre MAC, en cochant la case idoine.

A la fin de la création, le container est monté automatiquement par l’utiliaire et apparait sur votre bureau. Vous pouvez éjecter ce lecteur maintenant en effectuant un clic droit sur son nom et en faisant « Ejecter » ou bien par l’intermédiaire du raccourci clavier « CMD+E ».

Pour information, il est normal que le container n’occupe pas pour l’instant l’intégralité du disque dur. Le container va grossir avec les sauvegardes jusqu’à atteindre la capacité maximale du disque dur. Ceci est du au format même des containers sparsebundle.

Modification du trousseau

Vous avez maintenant un disque dur externe (JAZZ500 dans mon exemple), qui contient un fichier container unique (nommé monmac_64b9e8b77b54 dans mon exemple).

Montez le container et tapez le mot de passe que vous avez paramétré en demandant à ce que le mot de passe soit enregistré dans votre trousseau d’accès.

Vérifiez la taille du container afin de vous assurer qu’elle corresponde bien à la taille que vous vouliez lui attribuer.

Ouvrez ensuite l’application « trousseau d’accès » et recherchez la clé correspondant à l’ouverture de ce container (Il y a de fortes chance que ce soit la dernière clé crée).

Enfin, déplacez cette clé dans le trousseau système afin de permettre à Time Machine de monter automatiquement le container.

Et le tour est joué.

Paramétrage de TimeMachine

A partir de ce moment, vous pouvez configurer TimeMachine pour utiliser votre disque externe (pas le container) comme destination pour la sauvegarde. Pour celà vous pouvez lancer la configuration de Time Machine via le panneau des préférences système.

Le bouton « Choisir un disque » permet de sélectionner le disque physique externe (JAZZ500 dans mon exemple), sur lequel est stocké le fichier container.

Le bouton options vous permet de configurer les répertoires et fichiers à exclure de la sauvegarde. Il est par ailleurs utile de cocher la case « afficher l’état de Time Machine dans la barre des menus » ce qui permet de voir Time Machine se déclencher et de s’assurer en permanence de son bon fonctionnement.

Vous pouvez ensuite activer Time Machine.

Conclusion

Au final, vous disposez maintenant d’un disque dur externe, sur lequel est stocké un fichier container dans lequel Time Machine effectue ses sauvegardes. Ce lecteur virtuel est monté automatiquement toutes les heures lors de la sauvegarde automatique, et démonté ensuite.

Si votre disque externe venait à tomber entre de mauvaises mains, il serait de toute façon inexploitable.

Vos sauvegardes sont effectuées automatiquement, tant que ce disque dur est connecté. Time machine est désactivé quand vous débranchez le disque dur et réactivé à chaque fois que vous le reconnectez.

La restauration diffère sensiblement du mode normal « en clair » car il est nécessaire de monter manuellement le container, de lancer ensuite Time Machine en laissant la touche ALT appuyée et de choisir le disque virtuel qui héberge vos sauvegardes.

Le fonctionnement de Time Machine est ensuite classique, le chiffrement/déchiffrement des informations étant complètement transparent. Vous pouvez voyager dans le temps, explorer vos fichiers archivés, et restaurer un fichier ou un répertoire qui serait « passé à la trappe ».

Des solutions de blogs clé-en-main

Il existe beaucoup de solutions logicielles open-source prêtes à l’emploi qui permettent aux internautes de créer leur blog ou leur site personnel et de le mettre en ligne. Parmi les plus connues, on peut citer dotclear et wordpress, mais il existe aussi des portails de gestion de contenu comme Joomla.

Ces solutions clé en main sont pratiques, demandent peu, voire aucune compétence et matière de programmation et sont rapides à mettre en place. La majorité des internautes ayant plus envie de se consacrer au fond qu’à la forme, ils adoptent donc naturellement ces logiciels lorsqu’ils souhaitent publier un contenu en ligne.

La problématique

La revers de la médaille de ce type de solution, c’est l’exposition aux exploitations massives des vulnérabilités par les pirates. En effet, comme il s’agit d’une suite logicielle toute faite, les noms des fichiers et des répertoires le même pour toutes les installations de ces logiciels. Par exemple, un répertoire /images sur un site sera nommé de la même façon pour un autre site.

Cet état de fait permet à des internautes mal intentionnés, désireux de collecter des informations personnelles ou ayant simplement envie de faire parler d’eux de profiter d’une faille découverte dans ce logiciel pour s’introduire frauduleusement dans des dizaines, voire des centaines de sites web, et ceci d’une manière automatisée via l’utilisation de scripts.

Pour illustrer mon propos, prenons l’exemple de wordpress, qui est l’un des plus utilisés. Ce logiciel est pourvu d’une interface d’administration permettant de publier les articles, de créer des utilisateurs ainsi de suite. Il suffit de télécharger wordpress et de regarder les fichiers qui composent cette suite logicielle.

Sur tout site (99,99%) utilisant WordPress, on trouvera un répertoire /wp-admin, qui contient les fichiers de l’interface d’administration, et wp-login.php qui permet aux utilisateurs de s’authentifier et de se connecter sur le site. Si une faille est identifiée sur l’interface d’administration ou le fichier wp-login.php, il suffit à un script-kiddie de parcourir google pour regarder quels sites contiennent ces fichiers et donc utilisent wordpress : http://www.google.fr/search?hl=fr&q=wp-login.php&btnG=Rechercher

Ensuite, en 2 minutes, il peut exploiter la faille en question sur chacun de ces sites pour arriver à ce résultat : http://www.strangeauction.com/wp-login.php

Des solutions simples à mettre en oeuvre

Lutter contre ce fléau de l’exploitation massive n’est pourtant pas très compliqué. Il suffit de sortir de la norme et de personnaliser la solution. Je ne dis pas pour autant que le site ne contiendra plus aucune vulnérabilité, je dis juste qu’il sera moins vulnérable étant donné qu’il ne sera pas impacté par la majorité des attaques et qu’il devra faire l’objet d’une attaque ciblée et beaucoup plus longue à mettre en oeuvre pour le pirate.

Restreindre la visibilité

Par exemple, si on accède toujours à l’interface d’administration depuis une adresse IP fixe, on alors peut restreindre l’accès à l’interface en ajoutant simplement un fichier nommé .htaccess dans le répertoire wp-admin. Il contiendra une suite d’instructions qui indiqueront au serveur web le comportement à adopter en fonction de l’IP qui consulte ce répertoire.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX # IP autorisée
allow from XXX.XXX.XXX.XXX # 2eme IP autorisée

Déplacer les fichiers sensibles

Une autre solution qui peut être utilisée pourrait être de renommer les répertoires et fichiers « sensibles » qui doivent rester hors de portée des pirates. Le site serait protégé encore davantage étant donné que les pirates ignoreraient même jusqu’à l’URL pour accéder à l’interface

A titre d’exemple, j’ai développé un petit script pour déplacer l’interface d’administration et le fichier wp-login.php de WordPress. Il suffit de créer ce fichier sur la machine en question (hors du répertoire de wordpress) et de paramétrer le nouveau nom du répertoire d’administration et le chemin complet vers le répertoire de wordpress. Ensuite, on peut exécuter le script qui s’occupera de modifier tous les fichiers qui pointent vers l’ancien répertoire.

Par exemple, si le nouveau nom que vous choisissez pour l’interface est « admwordpress », votre interface sera alors disponible sur http://www.votreurl.com/admwordpress ». Je doute fortement qu’un pirate ou un moteur de recherche puisse deviner cette URL par lui-même. Vous éviterez bien entendu tout lien web vers cette URL qui pourrait y conduire un moteur de recherche et donc indiquer de nouveau aux pirates l’existant d’une interface d’administration.

Bien entendu, je décline toute responsabilité sur les répercussions fâcheuses que pourrait avoir ce script sur votre wordpress. Je vous encourage à sauvegarder vos fichiers pour pouvoir les restaurer au cas où (le script est parfaitement fonctionnel chez moi).

#!/bin/sh
newname="admwordpress"
wpath="/var/www"

# remplace wp-admin dans les fichiers
for i in `grep -Ri --binary-files=without-match "wp-admin" $wpath \
     | cut -d":" -f 1 | sort | uniq`
do
    sed -i 's/wp-admin/'$newname'/gi' $i
done

# remplace wp-login dans les fichiers
for i in `grep -Ri --binary-files=without-match "wp-login" $wpath \
     | cut -d":" -f 1 | sort | uniq`
do
    sed -i 's/wp-login/'$newname-login'/gi' $i
done

# Renomme les fichiers wp-admin et wp-login
find $wpath/ -type f -iname *wp-admin* | \
      sed -e 's/\(.*\)wp-admin\(.*\)/ mv \1wp-admin\2 \1'$newname'\2/' | sh
find $wpath/ -type d -iname *wp-admin* | \
      sed -e 's/\(.*\)wp-admin\(.*\)/ mv \1wp-admin\2 \1'$newname'\2/' | sh
find $wpath/ -type f -iname *wp-login* | \
      sed -e 's/\(.*\)wp-login\(.*\)/ mv \1wp-login\2 \1'$newname'-login\2/' | sh

Pour les webmasters qui ont un petit côté parano (comme je peux en avoir par moment), ces deux solutions peuvent être utilisées simultanément.

Ces méthodes sont adaptables à la plupart des solutions logicielles open-source disponibles, comme les wiki par exemple. Ce n’est qu’une première étape dans la sécurisation d’un site et bien d’autres précautions supplémentaires peuvent être envisagées si vous voulez dormir sur vos deux oreilles.

Mise à jour pour WordPress à partir de la version 3.0.4 :

Le script ci-dessus a été mis à jour et est maintenant opérationnel pour toutes les versions jusqu’à la 3.1 (dernière en date à l’heure où j’écris ces lignes).

Installation logicielle

L’installation d’un bridge ethernet sous Linux Debian nécessite l’utilisation du package bridge-utils. Il peut être installé via la commande apt-get.

apt-get install bridge-utils

Configuration du bridge

La configuration du bridge s’effectue au moyen de l’utilitaire brctl.

Il est tout d’abord nécessaire de créer le bridge br0

/usr/sbin/brctl addbr br0

Il faut ensuite ajouter au bridge les interfaces ethernet qui doivent en faire partie.

/usr/sbin/brctl addif br0 eth0
/usr/sbin/brctl addif br0 eth1

L’adresse 0.0.0.0 est assignée à chaque interface faisant partie du bridge.

/sbin/ifconfig eth0 0.0.0.0
/sbin/ifconfig eth1 0.0.0.0

Puis le bridge lui-même peut être configuré. A ce moment, on peut lui attribuer une adresse IP et définir le masque réseau.

/sbin/ifconfig br0 10.203.16.2 netmask 255.0.0.0 broadcast 10.255.255.255

La passerelle par défaut doit ensuite être définie

/sbin/route add default gw 10.201.16.45

Firewall

Le firewall doit ensuite être mis en place pour assurer le relai et le filtrage des paquets entre les interfaces.
Un script de configuration du firewall (basique) à travers les iptables est fourni ci-dessous.

#!/bin/sh
EXT_IF="eth0"
INT_IF="eth1"

#############################################
# F O R W A R D I N G
echo 1 > /proc/sys/net/ipv4/ip_forward

#############################################
# A N T I - S P O O F I N G
# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
 for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
 do
   echo 1 > $filtre
 done
fi

# pas de icmp
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#############################################
# M O D U L E S

modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ipt_state

#############################################
# D E F A U L T   P O L I C I E S

# vidage des règles
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

# politique par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# log des paquets droppes
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP

# log des paquets acceptes
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT

# log des paquets rejectes
iptables -N LOG_REJECT
iptables -A LOG_REJECT -j LOG --log-prefix '[IPTABLES REJECT] : '
iptables -A LOG_REJECT -j REJECT

#############################################
# L O C A L H O S T
# allow lo on the router
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#############################################
# N E T B I O S
# NETBIOS désactivé
iptables -A FORWARD -p udp --dport 137 -j DROP
iptables -A FORWARD -p udp --sport 137 -j DROP
iptables -A FORWARD -p udp --dport 138 -j DROP
iptables -A FORWARD -p udp --sport 138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p tcp --sport 139 -j DROP

iptables -A INPUT -p udp --dport 137 -j DROP
iptables -A INPUT -p udp --sport 137 -j DROP
iptables -A INPUT -p udp --dport 138 -j DROP
iptables -A INPUT -p udp --sport 138 -j DROP
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p tcp --sport 139 -j DROP

#############################################
# O U T P U T
# allow output on the router
iptables -A OUTPUT -j ACCEPT

#############################################
# I N P U T
# allow ICMP replies to the router
iptables -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT

# allow ssh on the router _itself_ (INPUT!)
iptables -A INPUT -p tcp --dport 60022 -m physdev --physdev-in $INT_IF -j ACCEPT
iptables -A INPUT -p tcp --dport 60022 -m physdev --physdev-in $EXT_IF -j ACCEPT

# allow DNS requests
iptables -A INPUT -p udp --sport 53 -m physdev --physdev-in $EXT_IF -j ACCEPT

# allow dhcp on the router _itself_ (INPUT!)
iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -m physdev --physdev-in $INT_IF -j ACCEPT
iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -m physdev --physdev-in $EXT_IF -j ACCEPT

# allow DNS Server on the router
iptables -A INPUT -p udp --sport 1024: --dport 53 -m physdev --physdev-in $INT_IF -j ACCEPT
iptables -A INPUT -p udp --sport 1024: --dport 53 -m physdev --physdev-in $EXT_IF -j ACCEPT

# reject all other connections to the router
iptables -A INPUT -p tcp -m physdev --physdev-in $EXT_IF -j LOG_DROP
iptables -A INPUT -p tcp -m physdev --physdev-in $INT_IF -j LOG_DROP
iptables -A INPUT -p udp -m physdev --physdev-in $EXT_IF -j LOG_DROP
iptables -A INPUT -p udp -m physdev --physdev-in $INT_IF -j LOG_DROP

#############################################
# F O R W A R D
iptables -A FORWARD -p tcp -m physdev --physdev-in $INT_IF --physdev-out $EXT_IF
  -j ACCEPT
iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -m physdev
             --physdev-in $EXT_IF --physdev-out $INT_IF -j ACCEPT
iptables -A FORWARD -p udp -m physdev --physdev-in $INT_IF --physdev-out $EXT_IF
  -j ACCEPT
iptables -A FORWARD -p udp -m physdev --physdev-in $EXT_IF --physdev-out $INT_IF
  -j ACCEPT
iptables -A FORWARD -p icmp -m physdev --physdev-in $INT_IF --physdev-out $EXT_IF
  -j ACCEPT
iptables -A FORWARD -p icmp -m state --state RELATED,ESTABLISHED -m physdev
              --physdev-in $EXT_IF --physdev-out $INT_IF -j ACCEPT

# reject all other connections
iptables -A FORWARD -p tcp -m physdev --physdev-in $EXT_IF -j LOG_REJECT
iptables -A FORWARD -p udp -m physdev --physdev-in $EXT_IF -j LOG_REJECT
iptables -A FORWARD -p tcp -m physdev --physdev-in $INT_IF -j LOG_REJECT
iptables -A FORWARD -p udp -m physdev --physdev-in $INT_IF -j LOG_REJECT