Salut,
Et sans 
Je n’ai pas de pare-feu sur mes machines locales, elles sont derrière un routeur/pare-feu qui prend tout dans les dents, inutile d’en rajouter je pense.
Bien sur il faut être sur de son réseau local… 
La plupart d’entre nous sont derrière des box/routeurs qui font le sale boulot, non ?
Pour ma part, je me sers seulement de mon routeur pour rediriger des ports par exemple.
A condition que ce soit un vrai pare-feu et qu’il soit correctement paramétré.
Ne compte pas trop là-dessus. Notamment si la box est une Freebox en mode normal (non routeur) ou dont l’IPv6 est activé, car dans les deux cas elle n’offre aucune protection. Pour les autres, je rappellerai que le NAT seul n’est pas une protection.
J’ai eu l’occasion de lire les règles iptables d’une box ADSL tournant avec un noyau Linux fournie par un FAI à ses clients, et c’était pas triste : aucun filtrage dans le sens extérieur vers intérieur, il y avait seulement un filtrage pour empêcher les paquets Netbios de fuir de l’intérieur vers l’extérieur.
Re,
J’ai refusé le routeur de mon FAI (un Vieux Cisco) pour mettre pfSense - C’est la raison de ma nullité en iptables…
Je crois (j’ai testé moi-même de l’extérieur) que ça fonctionne bien. Impossible de se connecter aux ports non ouverts.
Donc… 
L’ennui avec les box de FAI qui font modem, c’est qu’on ne peut pas tester de l’extérieur directement sur le port WAN puisque c’est un port ADSL. Il faudrait avoir son propre DSLAM, ce n’est pas à la portée de tout le monde. Et un test depuis internet en traversant le réseau du FAI n’est pas suffisant.
Oui, mais là, à la limite, c’est normal, elle est en mode “modem usb”, et un modem ne filtre pas le trafic. Peut on vraiment lui en vouloir pour ca ?
Je trouve que ce mode usb ne devrait pas être présent par défaut, et faire l’objet d’une option payante (quelques euros, comme la carte wifi de la V. 4). De nos jours, la plupart des machines sont équipées d’un, voire deux ports Ethernet, la Freebox devrait être en mode routeur par défaut, de plus ca simplifierait grandement l’installation, beaucoup de gens vont se compliquer la vie a installer le kit de connexion de leurs box, alors que c’est si simple et si compatible avec l’ethernet (tu branches, tu relis le câble Ethernet et basta).
Qu’est-ce que cette histoire d’USB vient faire ici ?
Le port USB de la Freebox émule une interface USB-ethernet standard, il est fonctionnellement équivalent aux ports ethernets de la Freebox. Son pilote est inclus dans le noyau Linux, donc il n’y a rien à installer et c’est aussi simple à utiliser qu’une connexion ethernet physique.
Rien à voir avec le fonctionnement de la Freebox en routeur NAT ou non.
Tu préconiserais donc l’utilisation d’iptables au profit d’un routeur?? (je suis chez Numéricable…)
Du tout.
Je préconise de prendre sa sécurité en charge soi-même quels qu’en soient les moyens et de ne pas la faire reposer sur une tierce partie [1] ni sur des hypothèses invérifiables [2].
[1] Exemple : le FAI.
[2] Exemples : la box fait du filtrage ; les adresses privées de ton LAN ne sont pas routables depuis l’extérieur.
Je préconise également d’appeler les choses par leur nom et d’avoir une idée précise de leurs fonctions. Un “routeur”, à la base, c’est un équipement qui route (=transmet des paquets), n’impliquant pas forcément NAT ni pare-feu.
Me voilà rassuré 
[quote=“PascalHambourg”]Qu’est-ce que cette histoire d’USB vient faire ici ?
Le port USB de la Freebox émule une interface USB-ethernet standard, il est fonctionnellement équivalent aux ports ethernets de la Freebox. Son pilote est inclus dans le noyau Linux, donc il n’y a rien à installer et c’est aussi simple à utiliser qu’une connexion ethernet physique.
Rien à voir avec le fonctionnement de la Freebox en routeur NAT ou non.[/quote]
Dans une distro linux ok, mais peut être pas dans d’autres OS, (free fournissait un pilote pour windows par exemple, à une époque, je ne sais pas s’il en a toujours besoin par contre, je n’ai jamais essayé ce mode) donc la connexion Ethernet reste à mon sens la plus simple et la plus compatible tout OS confondu pour ce genre de matériel et c’est dommage qu’elle ne soit pas en mode routeur par défaut “out of the box”, plein de gens ne savent pas que ce mode existe et la laisse tel quel.
Par contre la ou je me suis fourvoyé, c’est que c’est vrai qu’elle peut faire “modem uniquement” en désactivant la fonction routeur dans l’interface de gestion… 
[quote=“PascalHambourg”]Qu’est-ce que cette histoire d’USB vient faire ici ?
Le port USB de la Freebox émule une interface USB-ethernet standard, il est fonctionnellement équivalent aux ports ethernets de la Freebox. Son pilote est inclus dans le noyau Linux, donc il n’y a rien à installer et c’est aussi simple à utiliser qu’une connexion ethernet physique.
Rien à voir avec le fonctionnement de la Freebox en routeur NAT ou non.[/quote]
1/ Je n’avais jamais fait attention qu’il y avait un port USB sur la Freebox.
Je ne l’ai jamais utilisé, ça sert à quoi ?
2/ Ma Freebox est en mode routeur, je suis en IPV4 et j’utilise le tuto du présent fil (légèrement agrémenté) et ma mahine fonctionnelle n’est pas un serveur … je pense ue je suis assez bien couvert, non ?
[quote=“ricardo”][quote=“PascalHambourg”]Qu’est-ce que cette histoire d’USB vient faire ici ?
Le port USB de la Freebox émule une interface USB-ethernet standard, il est fonctionnellement équivalent aux ports ethernets de la Freebox. Son pilote est inclus dans le noyau Linux, donc il n’y a rien à installer et c’est aussi simple à utiliser qu’une connexion ethernet physique.
Rien à voir avec le fonctionnement de la Freebox en routeur NAT ou non.[/quote]
ça sert à quoi ?
[/quote]
non??
@ Ricardo :
1/ Il peut même y en avoir deux, selon la version.
2/ Si tu as activé l’IPv6 sur la Freebox, tu es à poil car ni la Freebox (même en mode routeur) ni iptables ne filtrent l’IPv6.
[quote=“PascalHambourg”]@ Ricardo :
1/ Il peut même y en avoir deux, selon la version.
2/ Si tu as activé l’IPv6 sur la Freebox, tu es à poil car ni la Freebox (même en mode routeur) ni iptables ne filtrent l’IPv6.[/quote]
Merci pour l’explication concernant le port USB.
Pour IPV6, non, justement, je précise que je suis en IPV4 … je suis trop frileux pour me retrouver “à poil”
Quel dommage de se priver d’IPv6 alors que ton FAI est l’un des rares en France qui le proposent (et le seul grand public). Quelle joie de pouvoir se connecter en IPv6 aux serveurs Debian, de faire ses mises à jour en IPv6, avec de vraies adresses globales pour tous les postes !
Pour info, j’ai l’IPv6 chez moi depuis des années et jusqu’à récemment ma passerelle ne faisait pas de filtrage IPv6 à part le blocage de certains ports car son noyau Linux ne supportait pas le suivi de connexion IPv6. Les postes du réseau local n’ont pas de pare-feu.
Faudra que je te file un jeu de règles ip6tables minimal pour que tu te sentes au chaud.
Sais tu quand est prévue le remplacement (si cela le sera) de l’IPv4 au profit de l’IPv6??
J’ai lu quelque part (je n’ai plus le lien “sous la main”) que les adresses IPv4 atteignent leur limite en termes de nombres d’adresses.
[quote=“M3t4linux”]Sais tu quand est prévue le remplacement (si cela le sera) de l’IPv4 au profit de l’IPv6??
J’ai lu quelque part (je n’ai plus le lien “sous la main”) que les adresses IPv4 atteignent leur limite en termes de nombres d’adresses.[/quote]
L’arrivée et la démocratisation de ipv6 va probablement libérer des plages entières d’adresses en ipv4 (pour ceux qui migreront complètement de l’un à l’autre) donc la tendance s’inversera à moment donné, je suppose…
Jamais. Il n’y aura pas de “jour J” où on “éteindra” l’IPv4 sur le réseau mondial. Si jamais IPv6 devient majoritaire (ce qu’on souhaite), les deux continueront à coexister pendant longtemps.
Ça non plus, ça n’arrivera pas avant longtemps, si jamais ça arrive.
Jamais. Il n’y aura pas de “jour J” où on “éteindra” l’IPv4 sur le réseau mondial. Si jamais IPv6 devient majoritaire (ce qu’on souhaite), les deux continueront à coexister pendant longtemps.
Ça non plus, ça n’arrivera pas avant longtemps, si jamais ça arrive.[/quote]
Tu as tronqué la partie de ma phrase qui faisait qu’on était d’accord sur un point : que ca arriverait peut être a un moment donné (si loin soit il, ce moment)