Certaines box ne permettent pas ça… c’est le cas de la livebox fibre…
Même derrière la box qui fait routeur et même si iptables est livré dans Debian, encore faut-il savoir la gérer, voilà pourquoi j’ai choisi ufw et son interface graphique gufw 
Quoiqu’il en soit voici ce que j’ai pour faire du Mediacenter entre la TV, via le decodeur TV de la box, et mon PC ainsi que du FTP entre ma tablette et mon PC
[code]
root@ubuntu-desktop:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
192.168.1.23 ALLOW IN 192.168.1.22
192.168.1.23 ALLOW IN 192.168.1.31
192.168.1.22 ALLOW OUT 192.168.1.23[/code]
[quote=“vohu”]vv222 > heu… moi, je serai pas rassuré d’avoir une machine comme ça…
Déjà au travers de la boxe, de fail2ban et de quelques iptables, je suis horrifié quand je vois les logs certains jours…[/quote]
J’ai bien un fail2ban qui tourne, mais il n’a encore jamais eu à bloquer quoi que ce soit.
Il faut tout de même préciser que je n’ai pas de nom de domaine, je ne suis donc une cible que pour ceux qui attaquent directement des séries d’IP.
pareil pour moi, pourtant des attaques, j’en ai un grand nombre
moi aussi je vois des scans de port sur mon routeur. Mais il fait son boulot, il les bloque.
Si le pc est sous debian, il n’y a pas grand chose qui ouvre des ports par défaut.
Il y a bien cups et exim qui ouvre respectivement le 631 et 25 mais qui écoutent sur 127.0.0.1 .
Et évidement le server ssh n’est pas installé par défaut.
Donc un pc sous debian, derrière une box, un firewall ne sert à rien puisqu’il n’y a pas de ports ouvert sur le lan, alors sur le public …
Par extension je dirai que même sur un wifi public dans ce cas là ça ne sert à rien puisque il n’y a pas de port à boucher, mais ça reste un long sujet de discution …
Votre raisonnement ne tiens pas. Vous oubliez les zéro days.
Je ne suis pas un expert, mais via le navigateur par exemple, (port 80 forcément ouvert), un attaquant peux se faire un service avec les droits de l’utilisateur du navigateur. Si vous avez un pare feu trés peu permissif, ce service ne sera pas accessible depuis le net et ne lui servira à rien.
Si par malheur, il arrive à prendre les droits root via une autre faille, vous limiterez la casse, si:
- votre LAN est protégé en tête par un pare-feu
- vos autres machines ont un pare feu chacune
C’est un cas extrême, j’en convient.
Mais on revient un problème de base: si vus avez un attaquant aussi déterminé, c’est qu’il cherche quelque chose qui a de la valeur (au moins pour lui), et donc si vous possédez une telle information aussi attrayante, il n’est pas idiot d’avoir une protection en profondeur un peu sophistiquée.
[quote]
Je ne suis pas un expert, mais via le navigateur par exemple, (port 80 forcément ouvert), un attaquant peux se faire un service avec les droits de l’utilisateur du navigateur. Si vous avez un pare feu trés peu permissif, ce service ne sera pas accessible depuis le net et ne lui servira à rien.
Si par malheur, il arrive à prendre les droits root via une autre faille, vous limiterez la casse, si:
- votre LAN est protégé en tête par un pare-feu
- vos autres machines ont un pare feu chacune
C’est un cas extrême, j’en convient.
Mais on revient un problème de base: si vus avez un attaquant aussi déterminé, c’est qu’il cherche quelque chose qui a de la valeur (au moins pour lui), et donc si vous possédez une telle information aussi attrayante, il n’est pas idiot d’avoir une protection en profondeur un peu sophistiquée.[/quote]
Je confirme, tu n’es pas expert 
Un navigateur n’ouvre pas de port en écoute.
Si tu arrives à te placer sur la machine cible, il est infiniment plus simple de te connecter à un serveur distant. Les données seront envoyés en utilisant le canal initié par ta machine.
Le port local est aléatoire, le port distant est 80, tu vas passer les nat, les parefeu, tout.
Et en plus, il est plus simple, pour connaitre les cibles qui sont en ligne, de les faire se manifester, plutôt que de scanner des millions d’IP dans l’espoir, avec un peu de chance, de tomber sur une cible.
In fine, et logiquement, un parefeu ne te sert à rien.
Pour le routeur en tête du LAN, c’est effectivement pas clair dans mon esprit. Si l’attaquant est un minimum compétent, il fera comme tu dis. Les connexions initiées depuis le client ne sont pas filtrées, ou alors si elles le sont, le client n’est pratiquement plus utilisable.
Mais pour les autres machines, le pare feu sert quand même à protéger les autres machines du LAN si elles sont protégées individuellement par un par feu.
Ca évite la propagation.
Ou alors je me fais des illusions ?
[moderation]La discussion autour d’IPv6 a été déplacée dans la section Pause Café :[/moderation]
discussion-technique-autour-d-ipv6-t49700.html
Bonjour,
Est-ce que ton pécé dans ta maison sous ton bureau a besoin d’un pare feu ? bin déjà il se trouve en général dans un réseau privé (192.168.x.x) routé par un modem/routeur de ton opérateur (la fameuse box). Par défaut toute tentative de connexion depuis l’internet est vouée à être bênné (mis en ben, supprimé, > /dev/null) par la box. Donc de l’Internet, aucune demande de connexion de l’Internet ne peut aboutir à ton pécé.
Si en plus ton pécé est sous Debian et que tu fais une installation standard, il n’y a que des services attachés à l’adresse local (localhost ou 127.0.0.1), ou peut s’en faut, donc pas accessibles depuis le réseau local, donc a fortiori depuis l’internet et plus encore si tu es derrière un routeur.
Quant à filtrer les flux sortants de ton pécé, il s’agirait de Windows, j’dirais ouaip… mais sous Linux, peu d’intérêt mais ça se discute 