Le 05/12/2015 18:20, Jean-Marc a écrit :
salut la liste,
Bonsoir
J'ai un petit cubieboard sur lequel tourne une Debian Jessie. J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe. Mais avant de me brancher sur le net pour de vrai, je pense que la mise en place d'un pare-feu pourrait s'avérer utile. Je me suis donc lancer dans la lecture de quelques articles donc un chapitre du bouquin «Le cahier de l'administrateur Debian» traitant du sujet et dans lequel les auteurs conseillent fwbuilder (https://packages.debian.org/jessie/fwbuilder). J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à utiliser, propose des config' sur base de templates, ... Mais lorsque j'ai jeté un œil sur le script généré, j'ai eu quelques surprises (pas de prise en compte de l'IPv6 alors que la définition de mes interfaces comportait aussi de l'IPv6, pas de règles de prise en charge d'une interface rajoutée après la config' de départ, ...). Bref, comme je n'ai pas trop de temps à passer pour maîtriser fwbuilder, je pense me rabattre sur un set de règles simple comme décrit sur le wiki Debian ici : https://wiki.debian.org/iptables Ma config' l'est aussi : une interface eth0 connectée sur mon réseau local et sur le switch de mon FAI et une interface tun0 créée via openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer le trafic. Ma question : pensez-vous que les règles de l'article du wiki suffisent ? Je pense simplement y ajouter la règle suivante pour autoriser le trafic de mon réseau local : -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT Merci d'avance pour vos retours. Et bonne soirée à tous qui me liront jusqu'ici. [...]
Si la machine ne fait tourner *AUCUN* service un firewall n'est pas nécessaire. Et si l'ensemble du trafic passe par le VPN, une règle qui rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est suffisante.
-- Daniel
