Re: firewall, iptables et ses front-ends
Jean-Marc a écrit :
>
> J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Qu'est-ce qu'il ne faut pas faire pour avoir une adresse IP fixe...
> Mais avant de me brancher sur le net pour de vrai, je pense que la mise
> en place d'un pare-feu pourrait s'avérer utile.
Bof. Pour quoi faire ?
> J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à
> utiliser, propose des config' sur base de templates, ...
>
> Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques
> surprises (pas de prise en compte de l'IPv6 alors que la définition de
> mes interfaces comportait aussi de l'IPv6,
Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste du link
local (fe80::/10), pas besoin.
> pas de règles de prise en
> charge d'une interface rajoutée après la config' de départ, ...).
L'informatique n'est pas encore de la magie.
> Bref, comme je n'ai pas trop de temps à passer pour maîtriser
> fwbuilder, je pense me rabattre sur un set de règles simple comme
> décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
>
> Ma config' l'est aussi : une interface eth0 connectée sur mon réseau
> local et sur le switch de mon FAI et une interface tun0 créée via
> openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer
> le trafic.
Pas d'accord : deux interfaces différenciées, c'est déjà compliqué.
> Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Suffisent pour quoi faire ?
Elles autorisent des connexions entrantes sur des ports. Est-ce utile ?
Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder.
Note : le commentaire concernant les types ICMP est stupide : les
paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà été acceptés grâce
à leur état RELATED.
> Je pense simplement y ajouter la règle suivante pour autoriser le
> trafic de mon réseau local :
>
> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface
suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul
doute qu'il prendra une adresse qui va bien dans la plage.
Le bidule doit-il faire office de routeur entre le LAN et le VPN ?
Reply to: