Bonjour,
Le serveur étant situé derrière un routeur domestique (box) il n'est pas accessible
* depuis Internet sauf à avoir déclaré expressément une redirection de port sur la box vers le serveur.
L'autre possibilité pour atteindre le serveur serait de "rebondir" sur une machine du LAN, mais dans ce cas un filtrage par IP sera inopérant si la machine en question doit pouvoir accéder au serveur. Ça reste néanmoins une méthode difficile voir impossible à exploiter, je la mentionne pour être complet.
Avec iptables tu peux toujours limiter les IPs qui ont accès au serveur depuis le LAN pour éviter l'ajout inopiné d'un PC sur le LAN, éventuellement inclure un filtrage sur l'adresse MAC (ça se contourne facilement).
À mon avis tes craintes concernant une intrusion depuis le net ne sont pas fondées, et sont plus liées à une incompréhension du problème qu'à une réelle menace. Tu ne différencies pas par exemple le fait que le serveur soit accessible depuis Internet et celui qu'il ait accès à Internet, ce qui correspond concrètement à des règles de filtrage séparées et indépendantes; on peut interdire l'accès depuis l'extérieur (y compris les machines du LAN) au serveur tout en autorisant celui-ci à accéder à Internet.
Espérant avoir un peu débroussaillé le terrain...
edit:
*: pas accessible en IPv4. Il vaut mieux par contre désactiver IPv6 si on ne veut pas avoir à gérer cette partie, ou au moins définir une politique de rejet par défaut pour IPv6. À moins que la box ne le gère pas, auquel cas on est tranquille.
Dernière modification par anonyme (21-11-2016 12:00:34)