# Autoriser SSH si :
# - source = Bastion1 (externe). mettre son ip, c'est pas 101.1.1.1
# - OU source dans le LAN 192.168.1.0/24 (UNIQUEMENT quand on est derrière une box)
# SSH ne sera sans doute pas sur le port 22, adapter...
ip saddr { 101.1.1.1, 192.168.1.0/24 } tcp dport 22 ct state new accept