Re: firewall, iptables et ses front-ends

To: Liste Debian <debian-user-french@lists.debian.org>
Subject: Re: firewall, iptables et ses front-ends
From: Pascal Hambourg <pascal@plouf.fr.eu.org>
Date: Sat, 05 Dec 2015 19:11:57 +0100
Message-id: <[🔎] 566328ED.8020900@plouf.fr.eu.org>
In-reply-to: <[🔎] 20151205182048.ce57f0a393b72b46d632367b@6jf.be>
References: <[🔎] 20151205182048.ce57f0a393b72b46d632367b@6jf.be>

Jean-Marc a écrit :
> 
> J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.

Qu'est-ce qu'il ne faut pas faire pour avoir une adresse IP fixe...

> Mais avant de me brancher sur le net pour de vrai, je pense que la mise 
> en place d'un pare-feu pourrait s'avérer utile.

Bof. Pour quoi faire ?

> J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à 
> utiliser, propose des config' sur base de templates, ...
> 
> Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques 
> surprises (pas de prise en compte de l'IPv6 alors que la définition de 
> mes interfaces comportait aussi de l'IPv6,

Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste du link
local (fe80::/10), pas besoin.

> pas de règles de prise en 
> charge d'une interface rajoutée après la config' de départ, ...).

L'informatique n'est pas encore de la magie.

> Bref, comme je n'ai pas trop de temps à passer pour maîtriser 
> fwbuilder, je pense me rabattre sur un set de règles simple comme 
> décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
> 
> Ma config' l'est aussi : une interface eth0 connectée sur mon réseau 
> local et sur le switch de mon FAI et une interface tun0 créée via 
> openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer 
> le trafic.

Pas d'accord : deux interfaces différenciées, c'est déjà compliqué.

> Ma question : pensez-vous que les règles de l'article du wiki suffisent ?

Suffisent pour quoi faire ?
Elles autorisent des connexions entrantes sur des ports. Est-ce utile ?
Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder.
Note : le commentaire concernant les types ICMP est stupide : les
paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà été acceptés grâce
à leur état RELATED.

> Je pense simplement y ajouter la règle suivante pour autoriser le 
> trafic de mon réseau local :
> 
> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT

Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface
suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul
doute qu'il prendra une adresse  qui va bien dans la plage.

Le bidule doit-il faire office de routeur entre le LAN et le VPN ?

Reply to:

Follow-Ups:
- Re: firewall, iptables et ses front-ends
  - From: Jean-Marc <jean-marc@6jf.be>

References:
- firewall, iptables et ses front-ends
  - From: Jean-Marc <jean-marc@6jf.be>

Prev by Date: Re: firewall, iptables et ses front-ends
Next by Date: Re: firewall, iptables et ses front-ends
Previous by thread: Re: firewall, iptables et ses front-ends
Next by thread: Re: firewall, iptables et ses front-ends
Index(es):
- Date
- Thread