Sat, 05 Dec 2015 19:11:57 +0100 Pascal Hambourg <pascal@plouf.fr.eu.org> écrivait : > Jean-Marc a écrit : > > [...] > > Bof. Pour quoi faire ? Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple. > > > J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à > > utiliser, propose des config' sur base de templates, ... > > > > Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques > > surprises (pas de prise en compte de l'IPv6 alors que la définition de > > mes interfaces comportait aussi de l'IPv6, > > Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste du link > local (fe80::/10), pas besoin. Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale. > > > pas de règles de prise en > > charge d'une interface rajoutée après la config' de départ, ...). > > L'informatique n'est pas encore de la magie. > > > Bref, comme je n'ai pas trop de temps à passer pour maîtriser > > fwbuilder, je pense me rabattre sur un set de règles simple comme > > décrit sur le wiki Debian ici : https://wiki.debian.org/iptables > > > > Ma config' l'est aussi : une interface eth0 connectée sur mon réseau > > local et sur le switch de mon FAI et une interface tun0 créée via > > openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer > > le trafic. > > Pas d'accord : deux interfaces différenciées, c'est déjà compliqué. > > > Ma question : pensez-vous que les règles de l'article du wiki suffisent ? > > Suffisent pour quoi faire ? Pour filtrer le trafic entrant sur tun0. En gros, tout bloquer sauf les deux ou trois services que je veux pouvoir accéder depuis le net. > Elles autorisent des connexions entrantes sur des ports. Est-ce utile ? > Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder. > Note : le commentaire concernant les types ICMP est stupide : les > paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà été acceptés grâce > à leur état RELATED. > > > Je pense simplement y ajouter la règle suivante pour autoriser le > > trafic de mon réseau local : > > > > -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT > > Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface > suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul > doute qu'il prendra une adresse qui va bien dans la plage. OK, donc accepter le trafic entrant sur eth0. > > Le bidule doit-il faire office de routeur entre le LAN et le VPN ? > Non, pas du tout. Jean-Marc <jean-marc@6jf.be>
Attachment:
pgpZoD4qaNVmF.pgp
Description: PGP signature