# Autoriser ARP (sinon les VMs se retrouvent isolées)
meta iifname $IFACES_LAN ether type arp accept
# Autoriser DHCP (indispensable avec des VMs clients DHCP)
meta iifname $IFACES_LAN ip protocol udp udp dport { 67, 68 } accept
# Bloquer le broadcast limité uniquement sur le WAN
ip daddr { 255.255.255.255, 224.0.0.1 } iifname != $IFACES_LAN drop