Je déterre une grande discussion qui avait eu lieu dans PC, en gros, à partir de cette page :
http://www.debian-fr.org/l-auto-hebergement-t28658-200.html#p286629
Les avis étaient tellement partagés, que j’aimerais bien trancher pour ma propre utilisation, dont voici la trame :
Prise EDF/onduleur ==> FreeBox mode routeur ==> Serveur/switch ==> 3 PC clients
Les PC clients sont protégés parefeu iptables
Question simple :
Dois-je protéger le SERVEUR avec un parefeu 
Salut,
As-tu un parefeu dans ta freebox comme j’en ai un dans mon routeur ?
salut 
Je dirais que si tu veux apprendre iptables,c’est le moment de t’y mettre
et un peu plus de sécurité n’a jamais fait de mal. 
[quote=“ggoodluck47”]Salut,
As-tu un parefeu dans ta freebox comme j’en ai un dans mon routeur ?[/quote]
non !
Le NAT de la freebox ne te “protègerait” d’une part :
Le pare feu pourra te fournir :
En plus, tu as une freebox, ce qui signifie que toute modification dans la table NAT nécessitera un redémarrage de celle ci pour être pris en compte (très chiant, surtout en phase de test, c’est long a démarrer une freebox…).
Si tu mets le serveur sur la DMZ, tous les ports seront reroutés vers ton serveur, et iptables s’occupera du filtrage, il suffira alors de modifier tes règles et relancer le script si tu souhaites faire des changements de politique.
[quote=“ricardo”][quote=“ggoodluck47”]Salut,
As-tu un parefeu dans ta freebox comme j’en ai un dans mon routeur ?[/quote]
non ![/quote]
Alors ton serveur est ouvert à tout vent 
Ben moi je dis que tu pourrais te poser quinze milles questions existentielles à la con ,genre je n’ai aucun service d’ouvert (à ma connaissance), de toute façon la box ne redirige pas les paquets vers mon pc (enfin normalement je pense), pis de toute façon linux c’est invulnérable (c’est magique) et ainsi de suite, mais pour quelle raison ne voudrais-tu pas mettre tout simplement un pare-feu ?
C’est facile à faire, rapide, et l’on est toujours mieux avec que sans. <- Ca, ça doit marcher avec plein de trucs comme explication 
Bonjour,
Le NAT est une fausse solution, avec l’IPv6 il faudra de toutes façons voir un firewall par PC, et tu risque rapidement d’en avoir marre de devoir redémarre ta freeboite à chaque changement de port.
Y placer un parefeu était bien mon idée première, c’est seulement en relisant les pages dont j’ai cité le lien que j’ai voulu confirmation.
Plusieurs amis estimaient que le parefeu leur semblait inutile et que la box en faisait parfaitement fonction.
J’espère que ces derniers liront ce fil et expliqueront leur point de vue.
En tous cas, merci pour vos réponses, le parefeu va être installé tout de suite.
hello
je considère que iptables est un bon outils donc pourquoi s’en priver ne serai-ce que pour faire du quos .
ensuite si tu a du wifi , iptables devien obligatoire car on peux te chopper en local via 192...* (ip en gros )
si tu change de coins pour aller chez un pote, le gag c’est que tu oublie si le par feux est present ou pas.
et enfin vu le peux de charge que sa demande ,a moins d’avoir des règle a n’en plus finir… 
vala 
La freebox protège contre quelque chose ? On m’aurait menti ? 
Plus sérieusement, ce qui était vrai il y a quelques années ne l’ai plus. Un PC sans aucune protection, relié à internet, se fait pirater en quelques minutes d’utilisation (windows out of the box, les produit apple via les failles de safari …). Tu trouveras sur le net des tas de tests sur le sujet, il me semble que la moyenne est d’environ 8 mn.
Se passer d’un routeur est suicidaire, y compris avec linux et BSD.
Je recommande toujours un routeur parefeu en entrée d’un réseau domestique afin d’avoir une première ligne de défense centralisée. Ensuite sur les machines qui sont derrière, à toi de voir. Perso je ne protège que le PC windows de me femme.
Ensuite le serveur web avec accès principalement depuis le net: en DMZ bien évidement, avec toutes les protections montées au maxi, le serveur apache chrooter, etc …Il y a pleins de tuto sur le net pour ça. Il sera ainsi bien découplé de ton LAN, les attaques se concentrerons sur lui.
Si maintenant ce n’est qu’un serveur “local” avec accès épisodique depuis le net, tu l’installes confortablement dans le LAN, un port forwarding sur les quelques ports indispensables , un pare feu local minimum, et ça roule.
[quote=“piratebab”]…un routeur parefeu en entrée d’un réseau domestique afin d’avoir une première ligne de défense centralisée. Ensuite sur les machines qui sont derrière, à toi de voir. Perso je ne protège que le PC windows de me femme.
[…]
Si maintenant ce n’est qu’un serveur “local” avec accès épisodique depuis le net, tu l’installes confortablement dans le LAN, un port forwarding sur les quelques ports indispensables , un pare feu local minimum, et ça roule.[/quote]
Pareil, sauf Windows… J’ai imposé Linux partout 
En ce qui me concerne, c’est un “vrai” parefeu, pas une box (filtres dans les 2 sens).
dans mon cas c’est un routeur netgear, avec vrai parefeu, possibilité de DMZ, … pour un prix très raisonnable.
Etant nul en iptables, j’ai installé le gui guarddog.
Je ne sais pas si sa protection est vraiment efficace, mais il a le mérite d’être facile d’utlisation.
[quote=“BernardH”]Etant nul en iptables, j’ai installé le gui guarddog.
Je ne sais pas si sa protection est vraiment efficace, mais il a le mérite d’être facile d’utlisation.[/quote]
Guarddog étant une interface de configuration d’iptables, si tu rentres les bonnes règles, il sera en principe tout aussi efficace 
Pour ceux qui veulent utiliser guarddog, ci-dessous un lien vers un petit tuto
http://linux.infos.free.fr/didact/guarddog.html
EDIT: j’ai oublié de mentionner que guarddog est disponible dans les dépôts debian, et qu’il s’installe donc comme un paquet.
OUI, la securité de base, c’est de fermer tous les ports sauf ceux que l’on utilise explicitement, même sur une machine qui fait pas serveur.
si tu est derrière une freebox en routeur et que tu ne rediriges aucun port, tu est quand même protégé. ton serveur est inaccessible de l’extérieur.
mais tu ne contrôles pas le parefeu de ta freebox, imagine qu’un jour il y ait une connerie de la part de free, et que ton réseau interne se trouve exposé.
mais le parefeu n’est pas forcement une machine dédiée qu’a cela…
ton serveur peu servir de parefeu, avec une bonne configuration, il pourra même remplacer les fonctions Nat et Dhcp et parefeu de ta freeboite. (il aura alors deux interfaces reseau, une exterieure avec ton adresse sur le web, et une interne ) biensur, il faudra qu’il soit allumé pour que tu accèdes à internet.
(…)mais tu ne contrôles pas le parefeu de ta freebox, (…)
(…) les fonctions Nat et Dhcp et parefeu de ta freeboite
[/quote]
Il n’y a pas de pare feu dans la freebox.
ouais bon tu joues sur les mots là…
la freebox embarque netfilter (gpl-violations.org/news/20071120-freebox.html), sinon comment font il pour faire du NAT et de la redirection de ports ?
certes on ne peut pas configurer de regles de filtrage. d’ou l’interet d’avoir un netfilter avec des regles comme il faut. mais bon si tu cliques pas sur tout les spams et autres hamsters qui tombent sur ton mail, en mode routeur ça protège déja un peu.
Ce n’est pas une bonne idée de mettre le parefeu sur la même machine que le serveur.
Le pare feu ne doit pas étre vulnérable face à une faille applicative du serveur web.
Il est toujours possible de chrooter le server web, mais ça devient compliqué.
Et si le serveur plante, tu n’as plus de routeur …