Re: firewall, iptables et ses front-ends

[Pascal Hambourg <pascal@plouf.fr.eu.org>]

Jean-Marc a écrit :
> 
> Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.

D'accord.

>>> mes interfaces comportait aussi de l'IPv6,
> 
> Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale.

Donc si certains services écoutent en IPv6, le filtrage IPv6 est
souhaitable, et pas seulement sur l'interface tun. A vérifier avec
netstat. Autre possibilité que je me dois de mentionner à contrecoeur :
si le bidule n'a pas besoin d'IPv6, le désactiver.

>>> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
>>
>> Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface
>> suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul
>> doute qu'il prendra une adresse  qui va bien dans la plage.
> 
> OK, donc accepter le trafic entrant sur eth0.

Après réflexion, je me dois de revenir sur ce point de ma réponse
précédente. Il est légitime de se prémunir contre des connexions qui
pourraient provenir de l'extérieur et relayées par la box internet sur
le LAN, à la faveur d'une erreur de configuration par exemple.