salut la liste,
J'ai un petit cubieboard sur lequel tourne une Debian Jessie.
J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise en place d'un pare-feu pourrait s'avérer utile.
Je me suis donc lancer dans la lecture de quelques articles donc un chapitre du bouquin «Le cahier de l'administrateur Debian» traitant du sujet et dans lequel les auteurs conseillent fwbuilder (https://packages.debian.org/jessie/fwbuilder).
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jeté un œil sur le script généré, j'ai eu quelques surprises (pas de prise en compte de l'IPv6 alors que la définition de mes interfaces comportait aussi de l'IPv6, pas de règles de prise en charge d'une interface rajoutée après la config' de départ, ...).
Bref, comme je n'ai pas trop de temps à passer pour maîtriser fwbuilder, je pense me rabattre sur un set de règles simple comme décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon réseau local et sur le switch de mon FAI et une interface tun0 créée via openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Je pense simplement y ajouter la règle suivante pour autoriser le trafic de mon réseau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Merci d'avance pour vos retours.
Et bonne soirée à tous qui me liront jusqu'ici.
[...]
salut la liste,
J'ai un petit cubieboard sur lequel tourne une Debian Jessie.
J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise en place d'un pare-feu pourrait s'avérer utile.
Je me suis donc lancer dans la lecture de quelques articles donc un chapitre du bouquin «Le cahier de l'administrateur Debian» traitant du sujet et dans lequel les auteurs conseillent fwbuilder (https://packages.debian.org/jessie/fwbuilder).
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jeté un œil sur le script généré, j'ai eu quelques surprises (pas de prise en compte de l'IPv6 alors que la définition de mes interfaces comportait aussi de l'IPv6, pas de règles de prise en charge d'une interface rajoutée après la config' de départ, ...).
Bref, comme je n'ai pas trop de temps à passer pour maîtriser fwbuilder, je pense me rabattre sur un set de règles simple comme décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon réseau local et sur le switch de mon FAI et une interface tun0 créée via openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Je pense simplement y ajouter la règle suivante pour autoriser le trafic de mon réseau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Merci d'avance pour vos retours.
Et bonne soirée à tous qui me liront jusqu'ici.
[...]
salut la liste,
J'ai un petit cubieboard sur lequel tourne une Debian Jessie.
J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise en place d'un pare-feu pourrait s'avérer utile.
Je me suis donc lancer dans la lecture de quelques articles donc un chapitre du bouquin «Le cahier de l'administrateur Debian» traitant du sujet et dans lequel les auteurs conseillent fwbuilder (https://packages.debian.org/jessie/fwbuilder).
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jeté un œil sur le script généré, j'ai eu quelques surprises (pas de prise en compte de l'IPv6 alors que la définition de mes interfaces comportait aussi de l'IPv6, pas de règles de prise en charge d'une interface rajoutée après la config' de départ, ...).
Bref, comme je n'ai pas trop de temps à passer pour maîtriser fwbuilder, je pense me rabattre sur un set de règles simple comme décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon réseau local et sur le switch de mon FAI et une interface tun0 créée via openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Je pense simplement y ajouter la règle suivante pour autoriser le trafic de mon réseau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Merci d'avance pour vos retours.
Et bonne soirée à tous qui me liront jusqu'ici.
[...]
Bref, comme je n'ai pas trop de temps à passer pour maîtriser f wbuilder, je pense me rabattre sur un set de règles simple comme dà ©crit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon rà ©seau local et sur le switch de mon FAI et une interface tun0 créà ©e via openvpn et connectée au net avec IP fixe pour laquelle je veu x filtrer le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffis ent ?
Bref, comme je n'ai pas trop de temps à passer pour maîtriser f wbuilder, je pense me rabattre sur un set de règles simple comme dà ©crit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon rà ©seau local et sur le switch de mon FAI et une interface tun0 créà ©e via openvpn et connectée au net avec IP fixe pour laquelle je veu x filtrer le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffis ent ?
Bref, comme je n'ai pas trop de temps à passer pour maîtriser f wbuilder, je pense me rabattre sur un set de règles simple comme dà ©crit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon rà ©seau local et sur le switch de mon FAI et une interface tun0 créà ©e via openvpn et connectée au net avec IP fixe pour laquelle je veu x filtrer le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffis ent ?
J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise
en place d'un pare-feu pourrait s'avérer utile.
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à
utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques
surprises (pas de prise en compte de l'IPv6 alors que la définition de
mes interfaces comportait aussi de l'IPv6,
pas de règles de prise en
charge d'une interface rajoutée après la config' de départ, ...).
Bref, comme je n'ai pas trop de temps à passer pour maîtriser
fwbuilder, je pense me rabattre sur un set de règles simple comme
décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon réseau
local et sur le switch de mon FAI et une interface tun0 créée via
openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer
le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Je pense simplement y ajouter la règle suivante pour autoriser le
trafic de mon réseau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise
en place d'un pare-feu pourrait s'avérer utile.
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à
utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques
surprises (pas de prise en compte de l'IPv6 alors que la définition de
mes interfaces comportait aussi de l'IPv6,
pas de règles de prise en
charge d'une interface rajoutée après la config' de départ, ...).
Bref, comme je n'ai pas trop de temps à passer pour maîtriser
fwbuilder, je pense me rabattre sur un set de règles simple comme
décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon réseau
local et sur le switch de mon FAI et une interface tun0 créée via
openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer
le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Je pense simplement y ajouter la règle suivante pour autoriser le
trafic de mon réseau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Mais avant de me brancher sur le net pour de vrai, je pense que la mise
en place d'un pare-feu pourrait s'avérer utile.
J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à
utiliser, propose des config' sur base de templates, ...
Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques
surprises (pas de prise en compte de l'IPv6 alors que la définition de
mes interfaces comportait aussi de l'IPv6,
pas de règles de prise en
charge d'une interface rajoutée après la config' de départ, ...).
Bref, comme je n'ai pas trop de temps à passer pour maîtriser
fwbuilder, je pense me rabattre sur un set de règles simple comme
décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
Ma config' l'est aussi : une interface eth0 connectée sur mon réseau
local et sur le switch de mon FAI et une interface tun0 créée via
openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer
le trafic.
Ma question : pensez-vous que les règles de l'article du wiki suffisent ?
Je pense simplement y ajouter la règle suivante pour autoriser le
trafic de mon réseau local :
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Jean-Marc a écrit :
> [...]
Bof. Pour quoi faire ?
> J'ai donc installer fwbuilder et, de prime abord, il a l'air simple Ã
> utiliser, propose des config' sur base de templates, ...
>
> Mais lorsque j'ai jeté un oeil sur le script généré , j'ai eu quelques
> surprises (pas de prise en compte de l'IPv6 alors que la définitio n de
> mes interfaces comportait aussi de l'IPv6,
Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste d u link
local (fe80::/10), pas besoin.
> pas de règles de prise en
> charge d'une interface rajoutée après la config' de dépa rt, ...).
L'informatique n'est pas encore de la magie.
> Bref, comme je n'ai pas trop de temps à passer pour maîtriser
> fwbuilder, je pense me rabattre sur un set de règles simple comme
> décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
>
> Ma config' l'est aussi : une interface eth0 connectée sur mon rà ©seau
> local et sur le switch de mon FAI et une interface tun0 créée via
> openvpn et connectée au net avec IP fixe pour laquelle je veux fil trer
> le trafic.
Pas d'accord : deux interfaces différenciées, c'est déjà compliqué.
> Ma question : pensez-vous que les règles de l'article du wiki suff isent ?
Suffisent pour quoi faire ?
Elles autorisent des connexions entrantes sur des ports. Est-ce utile ?
Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder.
Note : le commentaire concernant les types ICMP est stupide : les
paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà ét é acceptés grâce
à leur état RELATED.
> Je pense simplement y ajouter la règle suivante pour autoriser le
> trafic de mon réseau local :
>
> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interf ace
suffit. Si un pirate arrive à s'introduire sur ton réseau local , nul
doute qu'il prendra une adresse qui va bien dans la plage.
Le bidule doit-il faire office de routeur entre le LAN et le VPN ?
Jean-Marc a écrit :
> [...]
Bof. Pour quoi faire ?
> J'ai donc installer fwbuilder et, de prime abord, il a l'air simple Ã
> utiliser, propose des config' sur base de templates, ...
>
> Mais lorsque j'ai jeté un oeil sur le script généré , j'ai eu quelques
> surprises (pas de prise en compte de l'IPv6 alors que la définitio n de
> mes interfaces comportait aussi de l'IPv6,
Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste d u link
local (fe80::/10), pas besoin.
> pas de règles de prise en
> charge d'une interface rajoutée après la config' de dépa rt, ...).
L'informatique n'est pas encore de la magie.
> Bref, comme je n'ai pas trop de temps à passer pour maîtriser
> fwbuilder, je pense me rabattre sur un set de règles simple comme
> décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
>
> Ma config' l'est aussi : une interface eth0 connectée sur mon rà ©seau
> local et sur le switch de mon FAI et une interface tun0 créée via
> openvpn et connectée au net avec IP fixe pour laquelle je veux fil trer
> le trafic.
Pas d'accord : deux interfaces différenciées, c'est déjà compliqué.
> Ma question : pensez-vous que les règles de l'article du wiki suff isent ?
Suffisent pour quoi faire ?
Elles autorisent des connexions entrantes sur des ports. Est-ce utile ?
Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder.
Note : le commentaire concernant les types ICMP est stupide : les
paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà ét é acceptés grâce
à leur état RELATED.
> Je pense simplement y ajouter la règle suivante pour autoriser le
> trafic de mon réseau local :
>
> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interf ace
suffit. Si un pirate arrive à s'introduire sur ton réseau local , nul
doute qu'il prendra une adresse qui va bien dans la plage.
Le bidule doit-il faire office de routeur entre le LAN et le VPN ?
Jean-Marc a écrit :
> [...]
Bof. Pour quoi faire ?
> J'ai donc installer fwbuilder et, de prime abord, il a l'air simple Ã
> utiliser, propose des config' sur base de templates, ...
>
> Mais lorsque j'ai jeté un oeil sur le script généré , j'ai eu quelques
> surprises (pas de prise en compte de l'IPv6 alors que la définitio n de
> mes interfaces comportait aussi de l'IPv6,
Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste d u link
local (fe80::/10), pas besoin.
> pas de règles de prise en
> charge d'une interface rajoutée après la config' de dépa rt, ...).
L'informatique n'est pas encore de la magie.
> Bref, comme je n'ai pas trop de temps à passer pour maîtriser
> fwbuilder, je pense me rabattre sur un set de règles simple comme
> décrit sur le wiki Debian ici : https://wiki.debian.org/iptables
>
> Ma config' l'est aussi : une interface eth0 connectée sur mon rà ©seau
> local et sur le switch de mon FAI et une interface tun0 créée via
> openvpn et connectée au net avec IP fixe pour laquelle je veux fil trer
> le trafic.
Pas d'accord : deux interfaces différenciées, c'est déjà compliqué.
> Ma question : pensez-vous que les règles de l'article du wiki suff isent ?
Suffisent pour quoi faire ?
Elles autorisent des connexions entrantes sur des ports. Est-ce utile ?
Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder.
Note : le commentaire concernant les types ICMP est stupide : les
paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà ét é acceptés grâce
à leur état RELATED.
> Je pense simplement y ajouter la règle suivante pour autoriser le
> trafic de mon réseau local :
>
> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interf ace
suffit. Si un pirate arrive à s'introduire sur ton réseau local , nul
doute qu'il prendra une adresse qui va bien dans la plage.
Le bidule doit-il faire office de routeur entre le LAN et le VPN ?
Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
nécessaire.
Et si l'ensemble du trafic passe par le VPN, une règle qui
rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est
suffisante.
Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
nécessaire.
Et si l'ensemble du trafic passe par le VPN, une règle qui
rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est
suffisante.
Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
nécessaire.
Et si l'ensemble du trafic passe par le VPN, une règle qui
rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est
suffisante.
> Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
> nécessaire.
La machine fait tourner quelques services dont j'ai besoin en local.
> Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
> nécessaire.
La machine fait tourner quelques services dont j'ai besoin en local.
> Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
> nécessaire.
La machine fait tourner quelques services dont j'ai besoin en local.
Il est parfois possible, dans la configuration du service, de spécifier
une interface ou adresse sur laquelle le service écoute.
Il est parfois possible, dans la configuration du service, de spécifier
une interface ou adresse sur laquelle le service écoute.
Il est parfois possible, dans la configuration du service, de spécifier
une interface ou adresse sur laquelle le service écoute.
Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.
mes interfaces comportait aussi de l'IPv6,
Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale.
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface
suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul
doute qu'il prendra une adresse qui va bien dans la plage.
OK, donc accepter le trafic entrant sur eth0.
Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.
mes interfaces comportait aussi de l'IPv6,
Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale.
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface
suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul
doute qu'il prendra une adresse qui va bien dans la plage.
OK, donc accepter le trafic entrant sur eth0.
Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.
mes interfaces comportait aussi de l'IPv6,
Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale.
-A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT
Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface
suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul
doute qu'il prendra une adresse qui va bien dans la plage.
OK, donc accepter le trafic entrant sur eth0.
Sat, 5 Dec 2015 18:44:07 +0100
daniel huhardeaux écrivait :Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
nécessaire.
La machine fait tourner quelques services dont j'ai besoin en local.Et si l'ensemble du trafic passe par le VPN, une règle qui
rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est
suffisante.
Tu as un exemple ?
Sat, 5 Dec 2015 18:44:07 +0100
daniel huhardeaux <no-spam@tootai.net> écrivait :
Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
nécessaire.
La machine fait tourner quelques services dont j'ai besoin en local.
Et si l'ensemble du trafic passe par le VPN, une règle qui
rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est
suffisante.
Tu as un exemple ?
Sat, 5 Dec 2015 18:44:07 +0100
daniel huhardeaux écrivait :Si la machine ne fait tourner *AUCUN* service un firewall n'est pas
nécessaire.
La machine fait tourner quelques services dont j'ai besoin en local.Et si l'ensemble du trafic passe par le VPN, une règle qui
rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est
suffisante.
Tu as un exemple ?
Jean-Marc a écrit :
>
> Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.
D'accord.
Jean-Marc a écrit :
>
> Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.
D'accord.
Jean-Marc a écrit :
>
> Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple.
D'accord.