Jean-Marc a écrit : > > J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe.
Qu'est-ce qu'il ne faut pas faire pour avoir une adresse IP fixe... > Mais avant de me brancher sur le net pour de vrai, je pense que la mise > en place d'un pare-feu pourrait s'avérer utile. Bof. Pour quoi faire ? > J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à > utiliser, propose des config' sur base de templates, ... > > Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques > surprises (pas de prise en compte de l'IPv6 alors que la définition de > mes interfaces comportait aussi de l'IPv6, Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste du link local (fe80::/10), pas besoin. > pas de règles de prise en > charge d'une interface rajoutée après la config' de départ, ...). L'informatique n'est pas encore de la magie. > Bref, comme je n'ai pas trop de temps à passer pour maîtriser > fwbuilder, je pense me rabattre sur un set de règles simple comme > décrit sur le wiki Debian ici : https://wiki.debian.org/iptables > > Ma config' l'est aussi : une interface eth0 connectée sur mon réseau > local et sur le switch de mon FAI et une interface tun0 créée via > openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer > le trafic. Pas d'accord : deux interfaces différenciées, c'est déjà compliqué. > Ma question : pensez-vous que les règles de l'article du wiki suffisent ? Suffisent pour quoi faire ? Elles autorisent des connexions entrantes sur des ports. Est-ce utile ? Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder. Note : le commentaire concernant les types ICMP est stupide : les paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà été acceptés grâce à leur état RELATED. > Je pense simplement y ajouter la règle suivante pour autoriser le > trafic de mon réseau local : > > -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul doute qu'il prendra une adresse qui va bien dans la plage. Le bidule doit-il faire office de routeur entre le LAN et le VPN ?
