Nécessité ou pas, d'activer le parefeu derrière une Box ?

[laster13]

Bonsoir,

Tout est dans le titre . Je souhaiterais savoir ce que vous en pensez. Je suis derrière une Freebox, j'ai ouvert quelques ports pour mon utilisation perso et sachant que la Freebox comme les autres box d'ailleurs intègre "iptable" , est il utile de configurer en plus le parefeu de Nas4free ?

[sleid]

Bonjour,

Pour:
Réglages plus fins
Possibilité d'utiliser la résolution dns pour des utilisateurs distants sans ip fixe

Contre:
Nécessité parfois d'appliquer les modifications sur les 2 systèmes.

[laster13]

Merci Sleid pour ta réponse.

En terme de filtrage classique des ports, peut on considérer qu'on est autant protéger sans, et ce grâce au pare feu de la freebox ? Peux tu me donner un exemple précis d'utilisation du pare-feu tel que tu le préconises stp

[sleid]

Pour un serveur web (simplifié) cela permet d'ouvrir un port en tcp et de le fermer en udp

Pour la résolution de l'ip dynamique d'un client distant:

Il faut indiquer l'alias de l'ip par ex: xxx.dyndns.org avec toutefois un restriction on ne peut mettre qu'une adresse par ligne dans ce cas.
De plus il faut relancer le parefeu régulièrement pour actualiser le couple alias/ip la résolution ne se faisant qu'au lancement (peut-être existe t-il une commande pour actualiser, mais je ne l'ai pas trouvée)
donc dans un cron je fais un " /etc/rc.d/ipfw restart" toute les heures.

[laster13]

Merci pour ces éclaircissements

[mtiburs]

Bonjour,

Juste pour info:
Tu peux utiliser aussi IpCop qui est une "distribution Linux blindée" spécialement faite pour le pare-feu, on peut faire plusieurs réseaux dont une DMZ (là ou peut se trouver un Nas4Free), et une pour le wifi.
çà se gère avec un webgui (çà existe aussi en freebsd mais je ne me rappelle plus comment çà s'appelle).
On peut allouer du cache sur le proxy transparent (améliore le net) et faire aussi de la "détection d'intrusion" (le système peut détecter des "profils d'attaques").

çà fait des années que j'ai çà derrière une freebox.
http://www.ipcop.org/1.4.0/fr/install/h ... ation.html

[laster13]

Merci je vais jeter un œil sur IpCop.

Concernant la DMZ j'ai lu que certains l utilisaient pour leur serveur. Du coup tous les ports sont ouverts et la nécessité de mettre en place un firewall devient impérative. Que vaut il mieux pour un serveur ? Ouvrir uniquement les ports dont on a besoin dans la Freebox ou mettre le serveur en DMZ et gérer les ports avec le firewall. Dans la mesure ou l'on gère les ports qu'avec la Freebox sans autre firewall, peut on considérer que l'on est suffisamment sécurisé ?

[mtiburs]

Je ne sais pas quoi dire

C'est deux approche différentes avec des possibilités différentes:
- Ouvrir un port est simple, mais demande à ce que la personne sache ce qu'elle fait (respecter des règles de "bon sens" et de sécurité)
- utiliser un outil comme IpCop est plus "lourd" (matériellement), mais a été pensé par des parano ... pour des parano

[sleid]

C'est juste une question de finesse de filtrage à obtenir.
Si ce que l'on cherche n'est pas disponible sur la box il faut passer par un parefeu (IpCop ou Ipfw)
Le fait de mettre le serveur en DMZ permet de ne faire le filtrage qu'en 1 point et d'éviter la double configuration Box + Parefeu.

[laster13]

Effectivement je me suis intéressé a la finesse des règles dont tu parles sleid et du coup cela me convient plutôt bien. Notamment une qui me permet de bloquer un port en entrée et d'autoriser ce port uniquement sur un poste en local.

Il s'agit ici d'un exemple iptables mais la logique reste la même je suppose pour ipfw.

iptables -A INPUT -p tcp --dport 5050 -j DROP <---------- bloque le port 5050 depuis internet
iptables -I INPUT -s 192.168.0.29 -p tcp -m tcp --dport 5050 -j ACCEPT <-------------autorise ce port uniquement en local sur l ip 192.168.0.29

Ma question ;

De la même manière que j autorise le port 5050 en local sur l'ip 192.168.0.29, pourrais je egalement autoriser simplement une ip en entrée pour le port 5050 ?

[sleid]

Sans problème puisque la config basique se compose de:

sens, protocole, source, port vers destination, port, sens

Sachant que ipfw lit les règles séquentiellement, après une autorisation il faut tout bloquer
par exemple pour de l'iscsi autorisé seulement pour tous les pc en local

bidirectionnel ALL 10.10.10.0/24 ALL 10.10.10.10 3260 IN Autorise ISCSI local
suivi de
bloque ALL ALL ALL 10.10.10.10 3260 IN Interdit ISCSI autre