Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-10-2016 18:40:17

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

pare feu box

alors voila j'ai une question esque ma freebox a un pare feu ? esque faut mettre un pare feu sur sa machine ?

Hors ligne

#2 06-10-2016 21:12:31

Mercredi
Membre
Distrib. : Testing
Noyau : 4.8
(G)UI : Gnome
Inscription : 25-09-2015

Re : pare feu box

Bonsoir,
En principe toutes les box intègrent un pare feu. Tu peux vérifier si il est bien activé en accédant à la box depuis le navigateur de ton pc (connecté à la box).
Perso je pense que pour une utilisation normale d'un pc derrière une box avec le pare feu actif, c'est inutile de mettre un pare feu sur sa machine mais les avis sont partagés là-dessus tongue

De toutes les forces de l'univers, la plus dure à surmonter, c'est la force de l'habitude. T.Pratchett - Trois Soeurcières.

Hors ligne

#3 06-10-2016 23:00:50

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

Re : pare feu box

je pense que le meilleur pare feu sur sa machine ces se que l'on fait avec ses doigts au clavier

Hors ligne

#4 07-10-2016 11:09:20

mksmn
Membre
Lieu : Ile de France
Distrib. : Debian Gnu-Linux Jessie 8.x & Backports
Noyau : Noyau Linux 3.16.0-4-686-pae
(G)UI : Xfce 4.10 & Mate 1.8.1
Inscription : 30-06-2008

Re : pare feu box

salut,

à ma connaissance la freebox n'a pas de parefeu, simplement si tu as configuré ta freebox en mode routeur, alors je pense que c'est assez bien, mais il est préférable d'installer un parefeu sur ton pc, ufw et son interface gufw sont trés bien.

à confirmer

Debian, c'est bien.
Adhérent APRIL 9141
Fan de Norah Jones, depuis toujours et pour toujours.

Hors ligne

#5 07-10-2016 11:18:25

trentanel
Membre
Lieu : Comtat Venaissin
Distrib. : Raspbian jessie
(G)UI : xfce
Inscription : 17-09-2016

Re : pare feu box

si tu as configuré ta freebox en mode routeur, alors je pense que c'est assez bien, mais il est préférable d'installer un parefeu sur ton pc,


Pour un particulier avec une box en mode routeur, pourquoi est-il préférable d'installer un pare-feu sur le PC ?

Si un port est ouvert sur la machine, c'est parce qu'un service est en écoute sur ce port et que l'on veut s'en servir, non ?

Hors ligne

#6 07-10-2016 13:35:10

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

jiraya a écrit :

esque ma freebox a un pare feu ?


Non.
En mode "routeur" (NAT), le LAN utilise des adresses IPv4 privées inaccessibles depuis l'extérieur sans redirection de port ou DMZ. La protection apportée n'est qu'un effet de bord et non un véritable filtrage.
Par contre si l'IPv6 est activé, le LAN utilise des adresses IPv6 globales (publiques) accessibles depuis l'extérieur sans aucun filtrage.

jiraya a écrit :

esque faut mettre un pare feu sur sa machine ?


Ça dépend de ce qui tourne dessus.

Dernière modification par raleur (07-10-2016 13:35:45)

Hors ligne

#7 07-10-2016 21:49:04

Mercredi
Membre
Distrib. : Testing
Noyau : 4.8
(G)UI : Gnome
Inscription : 25-09-2015

Re : pare feu box

Pas de pare feu sur la freebox ?
Et bien c'est bon à savoir, mais du coup c'est la seule qui n'intègre pas de pare feu (orange et sfr il y en a un, bouygues je ne sais pas) scratchhead.gif ?

De toutes les forces de l'univers, la plus dure à surmonter, c'est la force de l'habitude. T.Pratchett - Trois Soeurcières.

Hors ligne

#8 08-10-2016 08:18:55

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Jessie)
Noyau : Linux 3.16.0-4-amd64
(G)UI : KDE 4.14.2
Inscription : 01-01-2015

Re : pare feu box

Bonjour à tous.

Mercredi a écrit :

Pas de pare feu sur la freebox ?
Et bien c'est bon à savoir, mais du coup c'est la seule qui n'intègre pas de pare feu (orange et sfr il y en a un, bouygues je ne sais pas) scratchhead.gif ?



L'équipement permettant la connexion à l'Internet (par l'intermédiaire de l'ADSL) fourni par Bouygues Télécom - dont je suis abonné à un de ses forfaits depuis mars 2016 pour l'Internet fixe - et appelé Bbox contient bien un pare-feu - en anglais, firewall - activé par défaut et dont on peut le configurer selon nos besoins ou souhaits. smile

A bientôt.


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : AMD Athlon 64 X2 à 3 GHz, SDRAM DDR2 800 MHz de 8 Gio, 2 WD VelociRaptor SATA2 de 1000 Go.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#9 08-10-2016 08:40:12

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

Bonjour,
Je suis passée sur la freebox mini 4K. Je ne vois pas pour les réglages de différences avec la neufbox de mon abonnement précédent. Réglage en routeur pour les deux.
J'ai vu un  réglage  nommé dmz qui d'après ce que j'ai cru comprendre sur les liens trouvés sur le net ouvre les ports à tout.

Dernière modification par chalu (08-10-2016 08:40:31)


Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#10 08-10-2016 10:11:08

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

Il y a peut-être du changement avec les nouveaux modèles de Freebox, que je ne connais pas.

L'option DMZ ("zone démilitarisée") d'une box ou d'un routeur domestique (1) n'ouvre pas de ports mais redirige tous les paquets entrants inconnus vers une adresse IP désignée du LAN.

(1) Je précise car cela n'a pas grand-chose à voir avec le concept originel de DMZ.

Hors ligne

#11 08-10-2016 11:06:21

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

Pas forcément de changement, surtout si il y a une différence IPv4 et IPv6. Y a t il un test simple à faire pour savoir comment se comporte la box, savoir s'il y a un pare-feu ?
Édit : j'installe gufw comme sur le wiki pour etre plus tranquille avec cette freebox. Elle me fait économiser 10 euros je ne vais pas râler parce qu'il faut installer ce logiciel.mais ça reste très confus pour moi cette histoire de box avec ou sans pare feu.

Dernière modification par chalu (08-10-2016 11:33:54)


Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#12 08-10-2016 11:35:39

trentanel
Membre
Lieu : Comtat Venaissin
Distrib. : Raspbian jessie
(G)UI : xfce
Inscription : 17-09-2016

Re : pare feu box

Bonjour chalu,
Comme expliqué par d'autres plus haut, ta freebox paramétrée en mode routeur joue le rôle d'un pare-feu matériel. Aucune demande de connexion entrante ne peux arriver aux machines de ton réseau local si tu ne fais pas une redirection de port dans la box.

Si tu veux le tester, installe donc apache2 et tente de te connecter avec un navigateur internet à ton IP publique. Tu n'auras qu'un message précisant que la page n'est pas disponible; alors qu'avec l'IP locale tu verras la page par défaut et le célèbre "It works".
Par contre, si tu vas dans la box pour créer une règle de redirection du port 80 vers ton PC qui fait tourner le serveur apache, alors ça marchera avec l'IP publique.

Maintenant, il faut aussi voir qu'une demande de connexion entrante qui arriverait sur ton PC sera sans effet tant qu'un service ne sera pas en écoute sur le port demandé. Si tu n'as pas de serveur ....

Moi aussi je ne comprends pas l'utilité de l'installation d'un pare-feu logiciel, pour un particulier derrière une box paramétrée en routeur IPV4 et sans redirection. Quand je ne comprends pas, je ne fais pas, donc je n'en utilise pas.
Mais on va certainement avoir des précisions sur ce sujet.

Dernière modification par trentanel (08-10-2016 11:59:18)

Hors ligne

#13 08-10-2016 11:57:32

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

Bonjour èfpé smile
Je le fais à cause de cette indication :

raleur a écrit :


Par contre si l'IPv6 est activé, le LAN utilise des adresses IPv6 globales (publiques) accessibles depuis l'extérieur sans aucun filtrage.

'
Par défaut l'IPv6 est activé sur la freebox et comme j'ai cru comprendre que c'est "l'avenir" ce mode IPv6 du coup je le laisse.
Ou alors il y a d'autres réglages à faire sur la box dans ce cas ?


Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#14 08-10-2016 12:21:10

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

chalu a écrit :

Y a t il un test simple à faire pour savoir comment se comporte la box, savoir s'il y a un pare-feu ?


Envoyer des paquets (ping/ping6, nmap...) depuis l'extérieur vers l'adresse IPv4 et/ou IPv6 d'une machine derrière la box et voir si celle-ci les reçoit. Mais pour que le test soit fiable, il faudrait se positionner juste devant la box, au niveau du FAI.

chalu a écrit :

ça reste très confus pour moi cette histoire de box avec ou sans pare feu


Règle simple : que la box ait un pare-feu ou pas, ne compte pas dessus. Elle est contrôlée par un tiers (le FAI ou un pirate qui en prend le contrôle, c'est déjà arrivé) et pas par toi, donc tu ne peux pas lui faire confiance pour ta sécurité.

trentanel a écrit :

ta freebox paramétrée en mode routeur joue le rôle d'un pare-feu


Pas en IPv6 : les machines du LAN ont des adresses IPv6 globales routables directement depuis l'extérieur sans redirection de port, donc pas de protection sans vrai pare-feu.

Dernière modification par raleur (08-10-2016 12:22:54)

Hors ligne

#15 08-10-2016 13:03:41

trentanel
Membre
Lieu : Comtat Venaissin
Distrib. : Raspbian jessie
(G)UI : xfce
Inscription : 17-09-2016

Re : pare feu box

Effectivement, raleur, je l'ai précisé plus loin dans mon post mais pas là.

Prenons donc l'hypothèse d'une utilisation en IPV6;
Cela suppose, si j'ai bien compris, que l'on fasse ce choix dans les paramètres de sa box et que le gestionnaire de connexion réseau soit lui aussi réglé pour cela.
Ensuite il faut qu'une machine extérieure au réseau cherche à se connecter à cette IP V6 sur un port donné. Et il faut aussi qu'un service soit en écoute sur ce port.

Mais si un service écoute sur ce port, c'est bien parce que je l'ai lancé et que j'en ai l'usage. Dans quelles circonstances faudrait-il en interdire ou restreindre son accès ? C'est sur ce point que je manque d'informations.

EDIT : chalu tu as activé l'IPV6 sur la box, mais as-tu aussi réglé networkmanager pour qu'il demande une IP en v6 ? Sinon j'ai l'impression que cela n'a eu aucun impact sur ta machine, elle continue à fonctionner en IPV4 et n'a pas vraiment besoin d'un pare-feu.

Dernière modification par trentanel (08-10-2016 14:10:22)

Hors ligne

#16 08-10-2016 14:27:51

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

trentanel a écrit :

je l'ai précisé plus loin dans mon post mais pas là.


Où ? Je n'ai vu aucune mention d'IPv6 dans ton message précédent.

trentanel a écrit :

Cela suppose, si j'ai bien compris, que l'on fasse ce choix dans les paramètres de sa box


Par défaut d'après le message #13 de Chalu.

trentanel a écrit :

et que le gestionnaire de connexion réseau soit lui aussi réglé pour cela.


Aussi par défaut.

trentanel a écrit :

Ensuite il faut qu'une machine extérieure au réseau cherche à se connecter à cette IP V6 sur un port donné. Et il faut aussi qu'un service soit en écoute sur ce port.


Pas forcément un port. Certains protocoles n'utilisent pas la notion de port.

trentanel a écrit :

Mais si un service écoute sur ce port, c'est bien parce que je l'ai lancé et que j'en ai l'usage.


Pas forcément. Une installation standard peut inclure des services qui écoutent sans qu'on en ait conscience. Par exemple RPC (rpcbind), NFS, Samba, Zeroconf/mDNS (avahi)... D'autre part il peut y avoir des services (partage de fichiers, accès à distance...) dont tu souhaites autoriser l'accès seulement depuis le LAN et non depuis l'internet entier.

Hors ligne

#17 08-10-2016 14:46:11

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

trentanel a écrit :


EDIT : chalu tu as activé l'IPV6 sur la box, mais as-tu aussi réglé networkmanager pour qu'il demande une IP en v6 ? Sinon j'ai l'impression que cela n'a eu aucun impact sur ta machine, elle continue à fonctionner en IPV4 et n'a pas vraiment besoin d'un pare-feu.


Comme dit plus haut, je n'ai pas fait de réglage sur la freebox mini 4k, elle est par défaut livrée en mode routeur avec l'IPv6 activé.
Je suis en éthernet
Déjà j'avais compris que networkmanager c'était pour le réglages du WiFi tongue pour vous dire que je nage dans la notion !
Comment je fais pour savoir si networkmanager est réglé en IPv6 ou 4 ?

Je crois me souvenir d'un site/test donné par coyotus sur le forum de HL, je vais chercher wink


Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#18 08-10-2016 15:06:40

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

Une mise au point : ce n'est pas "IPv4 ou IPv6", cela peut être les deux à la fois aussi bien sur les box que sur les machines.
Dans NetworkManager qui gère aussi bien l'ethernet que le wifi, il faut regarder dans les informations ou les paramètres de la connexion active.

Hors ligne

#19 08-10-2016 15:59:37

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

Quand je fais un clic droit sur l'icone de connexion et affiche les informations sur la connexions, ça parle bien de IPv4 et IPv6
la forme des adresses ip se ressemble pas
IP pour IPv4 du type 192.168.1.xx et pour IPv6 une succession de chiffres et lettres minuscules entre coupés de ":"

Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#20 08-10-2016 16:49:56

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

En effet la notation des adresses IPv6 de 128 bits est différente de celle des adresses IPv4 de 32 bits. Elle utilise une représentation hexadécimale (base 16) en 8 groupes de 4 "chiffres", où les lettres A à F majuscules ou minuscules représentent les valeurs décimales 10 à 15. Pour corser davantage, on peut supprimer certains zéros ou groupes de zéros consécutifs pour réduire la taille de la notation. Par exemple, la notation réduite de l'adresse de loopback (équivalent de 127.0.0.1) est "::1" et celle de l'adresse indéfinie (équivalent de 0.0.0.0) est "::". C'est très déroutant quand on n'a pas l'habitude.

Note : les adresses IPv6 commençant par fe80 sont de portée locale et non routables. Les adresses globales de Free routables sur internet commencent par 2a01.

Dernière modification par raleur (08-10-2016 16:56:22)

Hors ligne

#21 08-10-2016 17:15:42

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

C'est ça ! ça commence bien par 2a01
Bon j'ai installé gufw pour avoir l'esprit tranquille avec cette affaire tongue

Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#22 08-10-2016 17:27:23

raleur
Membre
Inscription : 03-10-2014

Re : pare feu box

Est-ce que ufw s'occupe de l'IPv6 ? Tu peux vérifier en regardant si

ip6tables-save


affiche des règles.

Hors ligne

#23 08-10-2016 17:43:54

chalu
Adhérent(e)
Lieu : Anjou
Distrib. : Debian Jessie (saveur Handylinux 2.5) à jour
Noyau : Linux 3.16.0-4-amd64
(G)UI : XFCE xfwm4
Inscription : 11-03-2016

Re : pare feu box

J'ai ça comme retour :

# Generated by ip6tables-save v1.4.21 on Sat Oct  8 17:42:27 2016
*filter
:INPUT DROP [4:670]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [14:952]
:ufw6-after-forward - [0:0]
:ufw6-after-input - [0:0]
:ufw6-after-logging-forward - [0:0]
:ufw6-after-logging-input - [0:0]
:ufw6-after-logging-output - [0:0]
:ufw6-after-output - [0:0]
:ufw6-before-forward - [0:0]
:ufw6-before-input - [0:0]
:ufw6-before-logging-forward - [0:0]
:ufw6-before-logging-input - [0:0]
:ufw6-before-logging-output - [0:0]
:ufw6-before-output - [0:0]
:ufw6-logging-allow - [0:0]
:ufw6-logging-deny - [0:0]
:ufw6-reject-forward - [0:0]
:ufw6-reject-input - [0:0]
:ufw6-reject-output - [0:0]
:ufw6-skip-to-policy-forward - [0:0]
:ufw6-skip-to-policy-input - [0:0]
:ufw6-skip-to-policy-output - [0:0]
:ufw6-track-input - [0:0]
:ufw6-track-output - [0:0]
:ufw6-user-forward - [0:0]
:ufw6-user-input - [0:0]
:ufw6-user-limit - [0:0]
:ufw6-user-limit-accept - [0:0]
:ufw6-user-logging-forward - [0:0]
:ufw6-user-logging-input - [0:0]
:ufw6-user-logging-output - [0:0]
:ufw6-user-output - [0:0]
-A INPUT -j ufw6-before-logging-input
-A INPUT -j ufw6-before-input
-A INPUT -j ufw6-after-input
-A INPUT -j ufw6-after-logging-input
-A INPUT -j ufw6-reject-input
-A INPUT -j ufw6-track-input
-A FORWARD -j ufw6-before-logging-forward
-A FORWARD -j ufw6-before-forward
-A FORWARD -j ufw6-after-forward
-A FORWARD -j ufw6-after-logging-forward
-A FORWARD -j ufw6-reject-forward
-A OUTPUT -j ufw6-before-logging-output
-A OUTPUT -j ufw6-before-output
-A OUTPUT -j ufw6-after-output
-A OUTPUT -j ufw6-after-logging-output
-A OUTPUT -j ufw6-reject-output
-A OUTPUT -j ufw6-track-output
-A ufw6-after-input -p udp -m udp --dport 137 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 138 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 139 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 445 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 546 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 547 -j ufw6-skip-to-policy-input
-A ufw6-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-before-forward -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A ufw6-before-forward -j ufw6-user-forward
-A ufw6-before-input -i lo -j ACCEPT
-A ufw6-before-input -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-input -m state --state INVALID -j ufw6-logging-deny
-A ufw6-before-input -m state --state INVALID -j DROP
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -d fe80::/10 -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A ufw6-before-input -d ff02::fb/128 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw6-before-input -d ff02::f/128 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw6-before-input -j ufw6-user-input
-A ufw6-before-output -o lo -j ACCEPT
-A ufw6-before-output -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-output -j ufw6-user-output
-A ufw6-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw6-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw6-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-skip-to-policy-forward -j DROP
-A ufw6-skip-to-policy-input -j DROP
-A ufw6-skip-to-policy-output -j ACCEPT
-A ufw6-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw6-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw6-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw6-user-limit -j REJECT --reject-with icmp6-port-unreachable
-A ufw6-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Oct  8 17:42:27 2016
 


C'est bon ?


Bien débuter sur Debian :
->Les cahiers du débutant
->Le projet DFlinux (DebianFacileLinux) deux images ISOs (i386 et amd64) basées sur Debian stable et agrémentées d'outils facilitants pour les débutants

Hors ligne

#24 08-10-2016 18:32:14

trentanel
Membre
Lieu : Comtat Venaissin
Distrib. : Raspbian jessie
(G)UI : xfce
Inscription : 17-09-2016

Re : pare feu box

Merci à tous les intervenants pour leurs explications.

J'en retiens qu'un pare-feu logiciel n'est pas indispensable sur mon PC fixe relié "en IPV4" à ma box; et dans  laquelle l'IPV6 est désactivé.
Par contre, il faudra y penser quand je passerai à l'IPV6.

Dernière modification par trentanel (08-10-2016 18:33:35)

Hors ligne

#25 08-10-2016 20:08:09

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian 8.4x / Pfsense 2.3.x / esxi 5.5 / nas4free
Inscription : 23-06-2014
Site Web

Re : pare feu box

salut salut

perso j'ai préféré mettre entre mon réseau local et mes box un cluster sous pfsense, qui me sert de pare-feu et de router (ipv4/6) avec une dz pour les machines qui doivent etre accessible depuis l'extérieur.

J'en conviens mon architecture n'est pas celle d'un particulier classique. a savoir que sur les box free il y a un vers qui tourne et qui a pour cible les machines sous windows qu'elles soient ancienne ou actuelle, leur pare-feu/anti virus sont inopérants contre. Sous linux je ne saurais dire pour les anti virus.

D'autre part, mon cluster tourne depuis plus de 8 ans déjà. Il est facile de mettre en oeuvre sur une machine ancienne pfsense qui s'articule autour de paquet filter (pf) pour servir de pare-feu, c'est une autre logique de fonctionnement qu'ip table. on est sur du bsd et pas du linux. Une autre philosophie.

++

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous nas4free 10.3.x
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

Pied de page des forums