Nécessité d'un pare feu

Je n’ai jamais dit ça. Je n’ai d’ailleurs pas hésité à écrire le contraire à plusieurs reprises. Je répondais juste à l’objection d’haleth.

Pour les autres box, je ne sais pas mais pour la freebox, elle fait aussi du PAT, en complément du NAT.
Elle accepte donc bien des “appels” entrants et sait les aiguiller vers la bonne machine (d’où l’intérêt d’un plan d’adressage IP avec des @IP fixes ou réservées sur MAC adresse.

C’est ce que je qualifiais de “redirection explicite vers une machine particulière”, et oui, toutes les box qui font du NAT le font.

C’était juste pour étayer ton propos avec le cas concret d’au moins une box qui sait répondre à des demandes entrantes, non initialisées par un client du LAN. Je n’ai pas voulu généraliser aux autres box car je ne connais que la FB et j’ai la sale habitude de ne parler que de ce que je connais.
La FB va même un peu plus loin et permet de définir une DMZ. C’est un peu un abus de langage car l’@IP fait obligatoirement partie de l’adressage du LAN car la FB n’a qu’une patte LAN et ne permet pas de lui attribuer 2 adresses différentes. Tout ce qui n’est pas explicitement redirigé vers une machine est redirigé, par défaut, vers cette DMZ qui pourrait parfaitement être une petite machine, sans disque, avec la carte réseau en promiscuitous (une raspberry ?).
Même si la FB repose sur un noyau GNU/Linux, son interface WEB est sommaire. On peut s’en contenter pour la plupart des usages domestiques mais dans certaines configurations (serveurs sur le LAN, usage pro d’Internet…) est préférable de lui laisser faire son vrai travail (ADSL), de la mettre en bridge et de confier la sécurité à une architecture dédiée (firewall à 3 pattes, les serveurs et proxies en DMZ, les clients ne s’adressent qu’aux proxies…).

quand on a chez soit un mini réseaux, avec des machines sous linux, windows, android … est peut étre judicieux d’investir dans un routeur un peu plus évolué que la BOX. Le routeur permet de gérer facilement le filtrage global du LAN, la box est reléguée au rang de simple modem.
Avec ce type de filtrage en entrée de LAN, le parefeux n’est plus vraiment utile sur les machines debian. Mais je continu à en mettre sur la seule et unique machine windows de mon LAN …

+1
KISS. A chacun sa fonction mais cela peut vite se compliquer avec le triple play des box:
ponter-le-flux-tv-vlan100-entre-2-freebox-t21094-25.html

De + en + de “routeurs” sont basés sur un noyau Linux. le NAT, le PAT, le routage et le FW sont donc très imbriques. La limitation vient souvent des IHM car il est rare (je n’en connais pas) d’avoir accès à un vrai shell (au mieux, une CLI).
Une autre limitation est due au débit croissant. Il ne suffit pas que la patte WAN soit à 100 Mbs (plus, avec la fibre) et la ou les pattes WAN au Gbs, il faut aussi la capacité de traiter les paquets à cette vitesse. J’ai été obligé de “congédier” mon vieux routeur Netgear et de mettre la box en routeur pour ce problème (je garde encore mon AP).

Sans parler de l’pv6.
trop peu de routeur abordable pour un particulier propose ce mode d’adressage.
Mais ça reste quand même pour moi la solution la plus simple, malgré les limitations citées.
Ca évite d’avoir à gérer X parefeu, d’autant qu’avec android, je ne sais pas trop comment tout cela est protégé lorsqu’on se connecte en wifi.

[quote=“piratebab”]quand on a chez soit un mini réseaux, avec des machines sous linux, windows, android … est peut étre judicieux d’investir dans un routeur un peu plus évolué que la BOX. Le routeur permet de gérer facilement le filtrage global du LAN, la box est reléguée au rang de simple modem.
Avec ce type de filtrage en entrée de LAN, le parefeux n’est plus vraiment utile sur les machines debian. Mais je continu à en mettre sur la seule et unique machine windows de mon LAN …[/quote]

Je possède,2 ordinateurs en double boot Windows + Linux
plus un ordinosaure sous debian !
et la tv par ADSL+Tv connectée !

ton installation avec un routeur un peu plus évolué que la BOX , est intéressante ?
Mais ,dans mon cas 4 appareils branchés en ethernet et un en wifi !

Je pense que pour la tv par internet difficile de se passer de box ?
enfin je pense ?