Bonsoir a tous,

mon problème est je dois chercher une méthode pour optimiser les règles de filtrage et en même temps avoir un firewall bien sécurisé,
par exemple mon fichier de configuration contient les règles suivante :

#!/bin/sh

## On flush iptables.
iptables -F
## On supprime toutes les chaines utilisateurs.
iptables -X
## On drop tout le trafic entrant.
iptables -P INPUT DROP
## On drop tout le trafic sortant.
iptables -P OUTPUT DROP
## On drop le forward.
iptables -P FORWARD DROP

## On drop les scans XMAS et NULL.
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

## Dropper silencieusement tous les paquets broadcastes
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP

## Permettre a une connexion ouverte de recevoir du trafic en entree
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## Permettre a une connexion ouverte de recevoir du trafic en sortie.
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

## On accepte la boucle locale en entree
iptables -A INPUT -i lo -j ACCEPT

# Access to ping
iptables -A OUTPUT -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

# On bloque certaines requetes
iptables -I INPUT -p tcp --dport 80 -m string --string 'GET http' --algo bm -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --string 'CACHEBUSTER' --algo bm -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --string 'CONNECT' --algo bm -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --string 'GET /blog/xmlrpc.php' --algo bm -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --string 'POST /blog/xmlrpc.php' --algo bm -j REJECT
# Drop empty packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP


En plus de ça,j'ai des adresses qui utilisent le même port ,j'ai cherché une méthode pour utiliser le iptables avec le multiport et avec la liste des adresses que j'ai,mais je trouve pas..