Serveur derrière FreeBox : parefeu ou pas parefeu ?

Support Debian
#21

purée les gars… en autohébergement franchement… on va pas foutre une machine pour chaque application… on est pas en train de parler de l’architecture réseau d’une multinationnale là…

et c’est toi qui parle de serveur web.

mais avoir un pare feu qui fait serveur DHCP, serveur DNS et serveur ntp sur son reseau, c’est bien pratique (et avec 15 W de conso) , note que ces services ne sont pas forcement accessibles de l’internet, donc pas forcément vulnérables.

et si t’es vraiment sensible il reste la virtualisation, mais bon, je crois pas que ricardo en soit déjà là

oui et si ton lapin nain bouffe le fil ethernet, le résultat est le même.

#22

Je vois qu’il y a toujours autant d’avis différents :wink:
Une chose semble acquise : parefeu indispensable.
Une question dont je n’arrive pas à trouver la réponse sur le web :
En admettant l’ajout d’un routeur-parefeu indépendant de la Box, quelle est la situation de chacun des éléments suivant :
onduleur
FreeBox
routeur-parefeu
serveur
clients
:question:

#23

[quote=“ricardo”]Je vois qu’il y a toujours autant d’avis différents :wink:
Une chose semble acquise : parefeu indispensable.
Une question dont je n’arrive pas à trouver la réponse sur le web :
En admettant l’ajout d’un routeur-parefeu indépendant de la Box, quelle est la situation de chacun des éléments suivant :
onduleur
FreeBox
routeur-parefeu
serveur
clients
:question:[/quote]
le onduleur ?? je voit pas le rapport
le reste je laisse :006

#24

je crois que ricardo parle d’un onduleur avec protection du réseau RJ 45, donc l’onduleur a des prises rj 45 (ou rj 11) et il se demande comment les brancher.

normalement tu a une prise reseau IN et une prise reseau OUT.

a priori l’onduleur ne fait rien sur le réseau mais pour protéger ton matériel, je dirais de l’intercaler entre ta freebox et ce qu’il y a derrière. par contre pour le branchement EDF, branche tout ce qui te lie à internet dessus (freebox, switch,parefeu/routeur, serveur)

j’essaye un schéma, pas sur que ça rende qqchose

une façon sécurisée de le faire (avec ce type de materiel netgear.fr/produits/produit. … d=FVS318v3)

       Internet
           | <- cable rj11 dans la prise de téléphone
       Freebox 
           | <-cable rj45
       onduleur
           | <-cable  rj45
           eth0 (192.168.0.1)
     routeur/parefeu avec filtrage des paquets
 (DMZ)         
  |                        |       |      |
serveur                 client  client  client

mais pour du plus simple (en securisant correctement les services du serveur et des clients)
(avec ce type de materiel: netgear.fr/produits/produit.php?prod=FS105v2)

       Internet
           | <- cable rj11 dans la prise de téléphone
       Freebox en mode routeur
           | <-cable rj45
       onduleur
           | <-cable  rj45
      switch ethernet
     |       |      |         
 serveur  client   client

et si on veut vraiment une machine pour faire parefeu (avec ce type de materiel netgear.fr/produits/produit.php?prod=RP614v3)

       Internet
           | <- cable rj11 dans la prise de téléphone
       Freebox en mode routeur
           | <-cable rj45
       onduleur
           | <-cable  rj45
        parefeu /switch
       |       |      |     
   serveur  client   client

si ton onduleur à une 3eme prise ethernet, c’est en fait un port com, qui sert à le contrôler à distance. avec un câble qui se branche sur le PC qui contrôlera l’onduleur.

si la première solution est plus securisée, la seconde est suffisante dans ton cas.(avec un netfiler bien configuré sur chaque poste du réseau ). la troisième présente le cas avec un pare feu (ce qui n’empêchera pas de mettre un netfilter bien configuré sur chaque poste du réseau).

#25

Ceci est juste mon avis personnel issu de mon expérience de geek auto-hébergé. Ce n’est sûrement pas la meilleure config mais elle fonctionne depuis 4 ans sans autre soucis que des coupures de courant et fin de vie de matériel.

Ma freebox n’est pas en mode routeur mais en modem. Raison unique : je ne confie pas la sécurité de mon LAN à free. C’est à dire que j’en ai rien à faire que la box soit un bon routeur/pare-feu ou pas, je ne maîtrise pas son firmware donc je l’utilise un minimum.

Juste derrière j’ai un routeur netgear dont j’ai récupéré et modifié les sources (GPL ça tourne sous un noyau linux 2.4). Au départ je voulais coller ssh mais pas la place ou alors il faut virer un autre service. Une chignole basse consommation (fit pc par exemple) peut largement remplacer mon bouzin.

Derrière tout ça mon LAN : tout le monde a un bail DHCP fixe et je laisse une plage d’adresse limitée pour les copains qui passent. Le serveur a des services ouverts sur le net (via des redirections dans le routeur) : ssh, http, ftp, ntp, smtp, imap et d’autres restreints au LAN : upnp, ipp, nfs. Tous sont chrootés.
Serveur et routeur m’envoie un mail par jour pour me logger l’activité.
Toutes mes machines ont un ensemble de règles iptables : le serveur pour contrôler ce qui se passe sur les services ouverts, les laptops pour être bien hermétiques quand il vont sur un autre LAN.

Côté onduleur : il alimente box, routeur, téléphone, switch, serveur.

#26

Merci Anthtropo pour tes croquis qui sont parfaitement explicites.

Au niveau de l’onduleur, il ne fait pas partie, à proprement parler de réseau, il est là seulement en cas de micro-coupures de courant, fréquentes chez moi. Pour ce domaine, je suis comme Antalgeek. Je compte donc l’installer en début d’arrivée courant pour y brancher l’alim de la Box, du serveur et du futur routeur

Je rejoins Antalgeek pour la confiance réduite envers la FreeBox, et comme je possède déjà un switch (le même que sur ton lien mais la version plus ancienne), je peux déjà expérimenter la solution 2.

Toutefois, je suis maintenant convaincu qu’il faut me retourner vers l’achat d’un routeur-parefeu et laisser à la Box sa seule fonction de modem.
Ton premier schéma est certainement le plus sécurisant mais le prix du routeur (140 € ) me freine un peu.

La troisième solution est moins onéreuse mais est-ce que je ne risque pas de regretter la différence plus tard ? ce routeur doit avoir beaucoup moins de possibilités ?

Pour le 1er routeur, l’avantage wifi pour un poste éloigné, dans une autre pièce est à prendre en considération, donc il me faut bien réfléchir.

#27

Salut,

en fait les routeurs que j’ai pris en exemple, c’était du vite fait (j’avais pas encore les yeux bien ouverts), juste pour montrer qu’en fonction de ce que l’on veut faire le prix n’est pas le meme.

chez netgear la gamme est large, il y a sûrement un routeur wifi qui fait pare feu a moins cher que le premier.

d’après ton dernier message tu souhaites donc repasser ta freebox en mode modem, il te faut quand même un truc qui tienne un peu la route dans ce cas. Celui là me semble pas mal: rueducommerce.fr/Peripheriqu … wgr614.htm) il fait même DMZ pour ton serveur!.

mais si tu continues d’utiliser ta freebox en routeur, un pare feu n’apportera pas grand chose sur ton réseau. avec un netffilter bien configuré sur chaque poste, tu aura la même sécurité a peu de choses près, le prix du routeur en moins.

jettes un coup d’oeil a cet article pour voir les possibilités du bidule : dslvalley.com/dossiers/wgr614/wgr614-1.php
A+

#28

@ricardo : j’ai le même genre de routeur que celui que tu passes en lien, en plus vieux. Effectivement il n’est pas donné mais j’en suis très content. Il te reste aussi la possibilité de te le faire toi même.

#29

Salut,

t1shopper.com/tools/

#30

En fait, je pars sur de mauvaises bases, je crois avoir mal interprété la situation géographique du “serveur”.
Je croyais que le serveur était intercalé entre le routeur et les clients, donc, dans mon idée, je voyais :
Box ==> serveur ==> routeur ==> clients.
Je n’avais pas compris que le serveur était au même niveau que les clients et que l’on se trouve dans le schéma suivant :
Box ==> routeur ==> serveur ET clients
Est-ce bien ça ?
Lorsqu’un client a besoin d’un fichier qui se trouve “à disposition” dans le serveur, il fait une requête qui transite par le routeur pour aboutir au serveur, exact ?

#31

Re,

Si bien qu’a moins d’avoir comme moi un routeur avec parefeu inclus s’il n’a pas un parefeur personnel il est en grand danger :slightly_smiling:

#32

un serveur n’est qu’un client qui offre un service aux autres clients.

au niveau de la topologie du réseau (c’est à dire comment on organise les branchements des machines entre elles) il est important pour les réseaux avec beaucoup de postes “clients” de faire des zones différentes pour les serveurs (de la segmentation), pour la sécurité et l’administration ça simplifie les choses.

pour un petit reseau local, ça vaut franchement pas trop le coup de se casser les rouleaux avec ça. ce qu’il faut c’est être conscient des services qui seront visibles de l’internet, et des dégats que peut entraîner une faille de ces services. et de sécuriser les postes en conséquences pour éviter une propagation du problème.

pour cela une politique de filtrage sur tout les postes en “tout fermé sauf”, une politique de mots de passe bien raide sur les comptes sont déjà suffisants avec le petit firewall que je t’ai indiqué.

note bien que ce n’est pas parceque ton serveur est branché physiquement sur le même routeur que les clients qu’il fait partie du même sous réseau (c’est la notion de DMZ) ça permet entre autres de faire de la segmentation avec un seul routeur…

oui

#33

Bonsoir à tous !
je ne veux pas polluer ce fil mais à vous entendre, il faut mettre un pare-feu derrière une box, même pour un réseau privé (sans serveur pour l’instant )? et quel modèle sans que cela soit trop frayeux ? d’avance merci et toutes mes excuses à MAITRE RICARDO pour cette intrusion.
PS : le premier qui me rabroue et bien je formate mon DD et met w…à la place de Debian, :mrgreen: non je déconne mais étant une quiche et quand je vois le niveau de certains fils et les réponses techniques de certains :119 …et en vous lisant ici je deviens parano ! :astonished:

#34

[quote]Bonsoir à tous !
je ne veux pas polluer ce fil mais à vous entendre, il faut mettre un pare-feu derrière une box, même pour un réseau privé (sans serveur pour l’instant )? [/quote]

non.
dans ton cas une configuration de netfilter (via iptables) de ton ordinateur est suffisante, il sera son propre parefeu. (voir le tuto iptables pour les nuls dans trucs et astuces)
de même que si tu avait un serveur, une bonne config du dit netfilter serait suffisante.

après en fonction de ce que tu veux faire, ça peut devenir utile, mais pas indispensable.

#35

Merci Anthropo pour ta réponse, je n’ai plus qu’à potasser le tuto de T&A, je suppose que s’il y a plusieurs PCs derrière la box, ils sont à protéger chacun ou là la solution d’un routeur/switch s’impose !
PS : j’ai fini de poster dans ce fil mais c’est vrai que la sécurité je n’y pense pas en premier. Encore merci ! :023

#36

non

c’est pas parceque t’investis dans un routeur firewallant qu’il faut se passer d’une protection sur les postes. ça revient à faire la ligne maginot (tiens d’un coup j’ai trouvé un exemple parlant pour ricardo :smiley: ).

c’est pour ça que je dit que pour une utilisation simple de sa connection internet derrière une box, pas besoin de materiel spécifique dédié. une bonne config suffit.

par contre pour une utilisation spécifique (genre ajout de wifi, serveur d’impression etc.) ou pour se faire plaisir a configurer, ça peut être sympa, d’autant que ça bouffe moins de courant qu’un vieux pentium…

#37

d’ailleurs pour ceux qui le souhaitent, je vous conseilles la lecture de “Linux securiser un réseau” dans la collection les Cahiers de l’admin chez Eyrolles. (bon les exemples tournent sous RedHat mais ça s’adapte facilement)

le bouquin est plutot orienté PME, donc ça fait déjà un beau petit réseau.

#38

Merci bien Anthropo donc plus on en “met” mieux ça vaut :laughing: . Très bonne critique sur ton bouquin et je viens de le trouver au moitié prix en occasion, donc je vais guetter le facteur ! la métaphore de la ligne Maginot m’a bien fait rigolé !
Encore merci, je commence dès ce soir avec le tuto.

#39

[quote=“Anthropo”]non

c’est pas parceque t’investis dans un routeur firewallant qu’il faut se passer d’une protection sur les postes. ça revient à faire la ligne maginot (tiens d’un coup j’ai trouvé un exemple parlant pour ricardo :smiley: ).

c’est pour ça que je dit que pour une utilisation simple de sa connection internet derrière une box, pas besoin de materiel spécifique dédié. une bonne config suffit.

par contre pour une utilisation spécifique (genre ajout de wifi, serveur d’impression etc.) ou pour se faire plaisir a configurer, ça peut être sympa, d’autant que ça bouffe moins de courant qu’un vieux pentium…[/quote]
Laisserais-tu supposer par là que je suis assez âgé pour l’avoir visitée en activité :013
Ben non, je n’ai pas fait la guerre 39/45, seulement celle d’Algérie :005
Plus sérieusement, je me lance dans cette aventure, sans en avoir réellemnt besoin, juste pour découvrir quelque chose que je ne connaissais pas. Pour apprendre, quoi !
Pour l’instant, j’en suis à un réseau basique : Box/routeur – serveur & 3 clients, ces quatre machines, toutes équipées de Iptables.
Je viens de basculer sur le serveur mon site web, premier élément de la liste :
http://rictux.fr
Je vais commander un routeur-parefeu et j’aurai encore certainement besoin de votre aide pour le paramétrer.

#40

[quote=“ricardo”]
Je vais commander un routeur-parefeu et j’aurai encore certainement besoin de votre aide pour le paramétrer.[/quote]
Quel modèle as-tu pris finalement ? Parce que les netgear vont vraiment bien à configurer pour des choses simples.