Pour ma part j'ai ajouté le lancement du script dans le fichier /etc/fw_security/sysconf/iptables_security.sh
Ce script est appelé à chaque changement de config/connexion de vpn, etc... donc pas le temps d'être exposé aux menaces!!! (même pour une minute)
Il suffit d'éditer la fonction start() et d'ajouter le chemin vers le script :
start() {
fw_security_dump
modules_reload
[ -f $SZF_RULES_SECURITY_DUMP ] && ipv4_rule_apply $SZF_RULES_SECURITY_DUMP
[ "yes" != "${V4ONLY}" -a -f $SZF_RULES_6_SECURITY_DUMP ] && ipv6_rule_apply $SZF_RULES_6_SECURITY_DUMP
#load VPN rules
/usr/local/scripts/vpn_iptables.sh
return 0
}
et ça marche au poil!