Bonjour,

est-il nécessaire d'avoir iptables d'activé lorsque l'on est derrière la freebox en routeur ? Même chose sous windows, est il nécessaire d'activer Agnitum, ou autre pare feu si on est derrière le routeur de la freebox ?

Merci

ps : j'ai fait des redirections de ports vers mon adresse ip ! ( 21 TCP, 80 TCP, 4569 UDP, 5060 TCP/UDP, 16380-16411 TCP/UDP, 6891 TCP, 13115 TCP, 50296 UDP )
Si la box est équipé d'un pare-feu je ne crois pas que cela soit nécessaire, en tout cas chez moi je n'ai pas de pare-feu sur les ordis derrière la box et je n'ai jamais eu de problème.

Mais ça m'interresse d'avoir l'avis de quelqu'un de plus qualifié que moi.
Perso, moi je préfère laisser iptables actives même si je suis derrière la freebox en mode router.

Vaut mieux prévenir que guérir.
C'est une éternelle discussion entre deux camps de forcenés :
- Avec Linux pas besoin de firewall ou d'antivirus.
- Tout OS et toutes applications présentes des failles donc, il faut les deux.

Moi je dirais que :
- Oui, il n'y a pas beaucoup de virus ou autre spyware ayant pour cible Linux.
- Oui, tout OS a des failles, ainsi que toutes applications.
- Oui, le mode routeur de la freebox est plus sécure (seul le trafic a destination de ton réseau y parviendra).
- Oui, il faut un firewall d'activé et qui interdit toutes entrées sur tes PC sauf les ports que tu as décidé.

Je dirais aussi que :
- Avec un antivirus qui scan tout : pas forcément si tu es prudent. Donc que tu n'ouvres pas tout ce que tu reçois sans y réfléchir à deux et que tu n'installes pas tout ce que l'on te donne sans aussi y avoir réfléchi à deux fois et éventuellement scanné si tu as des doutes.
- Faire un filtrage de tes flux sortants n'est pas obligatoire, mais bon ça peut te permettre de te rendre compte que tu as été "infiltré" ...

Voilà.

Donc, à minima : un firewall.
Et sur Windows, il faut savoir que le firewall intégré a une mauvaise réputation très certainement justifiée.
marc2006 wrote:...
j'ai fait des redirections de ports vers mon adresse ip ! ( 21 TCP, 80 TCP, 4569 UDP, 5060 TCP/UDP, 16380-16411 TCP/UDP, 6891 TCP, 13115 TCP, 50296 UDP )
En gros sur ton PC tu as un serveur ftp, un serveur WEB et d'autres choses.

En bref, tu es ouvert à la terre entierre ...
T'es pas sécurisé du tout.
Un serveur WEB est du pain béni pour les pirates. Et de façon général tout serveur est du pain béni puisque le serveur est bien obligé d'accepter des requêtes entrantes et le firewall de les laisser passer ...

Il te faut un réseau sécure sur lequel le minimum de port sont ouverts.
Et il te faut un réseau avec tes serveurs, c'est que l'on appel une DMZ. Une zone où tu prends des risques mais de façon consciente ...

Tu peux aller voir ici ce que c'est qu'une DMZ : http://www.commentcamarche.net/protect/dmz-cloisonnement.php3

Et ici the best tutorial sur iptable pour un réseau personnel : http://olivieraj.free.fr/fr/linux/information/firewall/
Merci pour vos réponses

Mais justement, j'ai abandonné le mode dmz pour retourner derrière le routeur 8-)

Quelle configuration me conseilleriez-vous pour iptables ? 
#!/bin/sh
echo "Configuration IPtables"
echo " [IPV4 Debut]"
IPTABLES=/sbin/iptables

echo 0 > /proc/sys/net/ipv4/ip_forward


# Alors la, on va appliquer quelques astuces
# pour empêcher les attaques de type spoofing
# et bloquer les réponses ICMP du firewall,
# comme ça c'est très propre. Attention, le
# fait de bloquer le trafic ICMP sur
# le firewall bloque les pings.

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  do
    echo 1 > $filtre
  done
fi

# pas de icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Nous vidons les chaînes :
$IPTABLES -F

# Nous les faisons pointer par défaut sur DROP 
$IPTABLES -X

# Nous les faisons pointer par défaut sur DROP

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

# Nous faisons de même avec toutes les autres tables, 
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes 
# puisque tout est bloqué au niveau "filter"

$IPTABLES -t nat -F
$IPTABLES -t nat -X

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -F
$IPTABLES -t mangle -X 

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

########################## FIN des "politiques par défaut"####################


########################## DEBUT des règles de filtrage#######################

# Autorise l'interface locale à dialoguer avec elle-même !
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

# Ignore les paquets provenant de l'extérieur avec une adresse non routable sur Internet
$IPTABLES -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$IPTABLES -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

######################################""""""PORT a ouvrire""""""""""########
# =============++++>>>> ENTRANTS
#              TCP

$IPTABLES -A INPUT -i eth0 -m state --state NEW,ESTABLISHED -p tcp --dport http -j ACCEPT # Apache
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport ftp -j ACCEPT # ftp
$IPTABLES -A INPUT -i eth0 -m state --state RELATED -p tcp --dport 16401:16411 -j ACCEPT # proftpd
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport 6891 -j ACCEPT # amsn
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -d 0.0.0.0 -j DROP
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport 37202 -j ACCEPT 
$IPTABLES -A INPUT -m state --state NEW -p tcp -s 212.27.38.253 --dport 8080 -j ACCEPT # freeplayer
$IPTABLES -A INPUT -i eth0 -p tcp -m state --state NEW --dport 5060 -j ACCEPT # SIP
$IPTABLES -A INPUT -i eth0 -p tcp --dport 4569 -j ACCEPT # IAX

#                          UDP

$IPTABLES -A INPUT -i eth0 -m state --state RELATED -p udp --dport 16380:16400 -j ACCEPT # rtp asterisk
$IPTABLES -A INPUT -p udp --dport 37202 -j ACCEPT

# FIN des règles de filtrage

$IPTABLES -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT

# Toutes les règles qui n'ont pas passé les
# règles du firewall seront refusées ...

$IPTABLES -A FORWARD -j DROP
$IPTABLES -A INPUT -j DROP

# Par curiosite, on peut tracer les demandes de connexions en provenance de l'exterieur
# Traces disponibles dans le fichier /var/log/messages
$IPTABLES -A INPUT -m state --state NEW -j LOG
# Idem pour les demandes faites localement vers l'extérieur (vers, troyan, ...)
$IPTABLES -A OUTPUT -m state --state NEW -j LOG

echo " [IPV4 Termine]"
Merci
marc2006 wrote:Merci pour vos réponses

Mais justement, j'ai abandonné le mode dmz pour retourner derrière le routeur 8-)

...
Tu veux dire par cette phrase ?

1/ Que tu ne veux de DMZ ?
2/ Que tu ne veux plus configurer Ip DMZ dans ta freebox ?

Si c'est 1, il est alors "idiot" que tu continue de parler de sécurité.
Si c'est 2, tu peux avoir une DMZ sans configurer d'Ip DMZ dans ta freebox. Une solution est d'avoir un PC qui fasse office de firewall / routeur derrier ta freebox, et qu'il n'y ait que lui de connecté directement sur ta freebox.

Au vue de ton iptable c'est la solution 1. Donc tu mélanges tes serveurs et ton PC personnel. Bref tu as un truc, de mon point de vue, insécure.

A toi de voir ...
Ben justement, j'aimerais bien que l'on m'aide à configurer ma machine ! :hammer:

J'étais avant en DMZ, et j'ai enlevé le paramètre dans la freebox, donc maintenant je n'y suis plus !

Mais j'ai un serveur http, ftp, asterisk, et divers ports pour le SIP, IAX ( asterisk ), aMSN
Mais je ne sais pas comment faire pour garder mes serveurs et les autres ports tout en sécurisant ma machine !

Merci 🙂
Salokyn

Que tu héberges un serveur http et ftp je comprend, mais pour le SIP et aMSN qui sont des clients je vois pas pourquoi il faut ouvrir des ports :-P
Salokyn wrote:Salokyn

Que tu héberges un serveur http et ftp je comprend, mais pour le SIP et aMSN qui sont des clients je vois pas pourquoi il faut ouvrir des ports :-P
Excellent question !! :hammer::lol:

Ben si un proche se connecte au asterisk avec un softphone par exemple, faut bien que j'ouvre les ports !

Mais oui tu as raison, je vais les enlever !

donc 4569 UDP, 5060 TCP/UDP, 16380-16400 TCP/UDP à enlever !

et je garde 16401-16411 ( c'est pour proftpd ! ), 21 TCP, 80 TCP, 13115 TCP, 50296 UDP, 37202 TCP/UDP

Pour le 6891 ( amsn ), c'est pour le transfert de fichiers !
Mais j'aimerais configurer mon ordi, le sécuriser, donc si vous avez des suggestions svp !

Merci
Enlève le FTP. C'est trop risqué. Il faut savoir que des malins s'amusent a scanner les ports ouverts comme ssh, ftp, telnet et essaie une grande liste de login/password.
Ma solution personnelle est d'utiliser ssh en autorisant uniquement les login par clef ssh. Ainsi, ils peuvent essayer tous les login qu'ils veulent, je m'en balance. Et puis ssh remplace parfaitement ftp.

Pour ça, tu édites le fichier /etc/ssh/sshd_config avec la ligne suivante :
PasswordAuthentication no
marc2006 wrote:...

Mais j'ai un serveur http, ftp, asterisk, et divers ports pour le SIP, IAX ( asterisk ), aMSN
Mais je ne sais pas comment faire pour garder mes serveurs et les autres ports tout en sécurisant ma machine !
...
Garder tes serveurs et sécuriser sans DMZ c'est antinomique.

Pourquoi tu ne veux pas de DMZ ? Tu veux économiser un PC ?
philippe_PMA wrote:
marc2006 wrote:...

Mais j'ai un serveur http, ftp, asterisk, et divers ports pour le SIP, IAX ( asterisk ), aMSN
Mais je ne sais pas comment faire pour garder mes serveurs et les autres ports tout en sécurisant ma machine !
...
Garder tes serveurs et sécuriser sans DMZ c'est antinomique.

Pourquoi tu ne veux pas de DMZ ? Tu veux économiser un PC ?
Mais mes ports sont ouverts ( enfin ce que j'ai cité ), donc comment me protéger des pirates, enfin limiter l'utilisation des ports aux applications respectives ?
marc2006 wrote:
philippe_PMA wrote:
marc2006 wrote:...

Mais j'ai un serveur http, ftp, asterisk, et divers ports pour le SIP, IAX ( asterisk ), aMSN
Mais je ne sais pas comment faire pour garder mes serveurs et les autres ports tout en sécurisant ma machine !
...
Garder tes serveurs et sécuriser sans DMZ c'est antinomique.

Pourquoi tu ne veux pas de DMZ ? Tu veux économiser un PC ?
Mais mes ports sont ouverts ( enfin ce que j'ai cité ), donc comment me protéger des pirates, enfin limiter l'utilisation des ports aux applications respectives ?
Peut-être que l'on ne se comprend pas.

Je vais prendre uniquement le port http.

Si ton port 80 est ourvert sur ton PC "perso". Ca veut dire que tu as un serveur Web à l'écoute et donc potentiellement pleins de failles de sécurités. Donc, s'il est ouvert tu prends le risque que ton PC soit vérolé ainsi que ton serveur Web.
Si tu as une DMZ, tu prends le risque que seul ton serveur Web soit vérolé, mais pas ton PC perso.

Une DMZ c'est un risque calculé.
Voilà.

Bien sur tu ne peux pas vivre tout seul dans ton coin. Et moi même j'ai des ports ouverts. Mais pas un serveur Web, ni un serveur ftp qui font l'objet d'une multitude d'attaque ...
Asterix et le SIP devenant à la mode je ne me fais pas trop d'illusion sur le fait que ça doit être aussi de bonnes cibles ...

Sinon, pour améliorer la sécu, que tu sois en DMZ ou pas, c'est :
- Ne pas faire tourner avec le compte root.
- Faire une prison (chroot).
- Utiliser SELinux.
- Utiliser Tripware.
- Mettre à jour régulièrement.
- Avoir un IDS.
- Surveiller les alertes des différents organismes.
- Ne plus dormir la nuit.
- Ne sortir du restaurant en rangeant ton portefeuille.
- Saisir ton numéro de carte bancaire en cachant tes doigts.
- Ne pas faire d'achat sur Internet en donnant ton numéro de CB.
- ...

😉

Sinon, perso j'ai un PC réservé au surf. Et un autre pour ce que je veux sécuriser (mes comptes, etc).
Et si j'avais des serveurs, ça serait dans une DMZ.
Mais tu configures la dmz dans la freebox ! Ou tu veux dire que je crée un réseau, mon ordi comme passerelle !?
- Utiliser Tripware.
- Mettre à jour régulièrement.
- Avoir un IDS.
un IDS ? sous linux ? et c'est quoi Tripware

ps : j'ai l'impression que nous ne sommes pas d'accord sur la définition d'une DMZ !? DMZ=zone démilitarisée

Tout le trafic entrant est redirigé vers lordi configuré en dmz ! ( donc si je mets l'ip de mon ordi dans la freebox en tant que dmz, tout le trafic est redirigé vers mon ordi, donc j'expose mon ordi aux pirates gratos )
marc2006 wrote:Mais tu configures la dmz dans la freebox ! Ou tu veux dire que je crée un réseau, mon ordi comme passerelle !?
- Utiliser Tripware.
- Mettre à jour régulièrement.
- Avoir un IDS.
un IDS ? sous linux ? et c'est quoi Tripware

ps : j'ai l'impression que nous ne sommes pas d'accord sur la définition d'une DMZ !? DMZ=zone démilitarisée

Tout le trafic entrant est redirigé vers lordi configuré en dmz ! ( donc si je mets l'ip de mon ordi dans la freebox en tant que dmz, tout le trafic est redirigé vers mon ordi, donc j'expose mon ordi aux pirates gratos )
Apparamment ça a enfin fais tilt. En tout cas un peu 😉

Je te dis depuis le début que si tu parles de sécurité tu ne dois pas mettre tes serveurs sur ton PC "perso/bureautique/..." (appele le comme tu veux).
Donc, il te faut à minima 2 PC.

Soit tu utilises la configuration freebox pour dédier un de tes PC en dmz et tu y mets tes serveurs (2 PC : DMZ et PC perso).
Soit tu te fais, effectivement, ton petit réseau avec une passerelle (3 PC : passerelle, DMZ et PC perso).

Maintenant, tu vas me dire que tu n'as qu'un seul PC ...
Tripware : ça crée une base de données de signatures des fichiers et ca permet donc de voir ce qui est modifié anormalement sur ton PC.
IDS sous linux ? Snort par exemple.
effectivement je n'ai qu'un seul PC, sinon j'aurais utilisé le 2ème depuis longtemps ! :hammer:

Tripware n'est pas dans yum, et si tu pourrais pas me filer une doc pour snort, ou au moins comment ça marche, ça serait bien ! :lol::hammer: