Nécessité d'un pare feu

Bonjour !

Derrière une box , est il nécessaire de configurer ,un pare feu , pour quelqu’un qui a une utilisation
familiale de sa machine ?

je veux dire par la que mon ordinateur ne sert que pour gérer tout ce qui a rapport au foyer

et utilisation sur quelques forums et recherches sur internet ?

est ce que par défaut tous les ports sont fermés ?

je sais que j’ai beaucoup a apprendre !

mais j’attaque le sujet !

Merci d’avance pour vos conseils

un-firewall-est-il-necessaire-ou-souhaite-sous-debian-t46735.html?hilit=parefeu
Pour moi non.

On accède à ta machine par des services qui écoutent sur des ports. Un port sans service n’est pas vulnérable puisque inutilisable.

Sur un serveur, un parefeu permet de contrôler les connexions aux services.
Pour un utilisateur qui utilise ssh, il va permettre de restreindre l’accés à ssh (par exemple) à partir d’une seule IP.

pour voir la liste de port, leur protocole et le nom de l’application qui l’utilise[mono]/etc/services[/mono]

Je ne crois pas que tous les ports soient fermés par défaut, je pense meme qu’ils soient tous ouverts, mais ils ne sont pas tous utilisés. Tu peux voir les ports ouverts sur ta machine avec la commande netstat -antu, et utiliser le logiciel, interface graphique, Firestarter pour gèrer les règles d’iptables.

[quote=“sv0t”][quote=“rafix”]
est ce que par défaut tous les ports sont fermés ?
[/quote]
pour voir la liste de port, leur protocole et le nom de l’application qui l’utilise[mono]/etc/services[/mono][/quote]
linux.about.com/cs/linux101/g/sl … shserv.htm
/etc/services est un tableau d’alias. Par exemple http: 80, imaps: 993.
Ce n’est pas la liste des services en écoute.

[quote=“Funkygoby”]https://www.debian-fr.org/un-firewall-est-il-necessaire-ou-souhaite-sous-debian-t46735.html?hilit=parefeu
Pour moi non.

On accède à ta machine par des services qui écoutent sur des ports. Un port sans service n’est pas vulnérable puisque inutilisable.

Sur un serveur, un parefeu permet de contrôler les connexions aux services.
Pour un utilisateur qui utilise ssh, il va permettre de restreindre l’accés à ssh (par exemple) à partir d’une seule IP.[/quote]

Je n’utilise pas ssh

Lien tés intéressant
Merci de ton avis !

[quote=“sv0t”][quote=“rafix”]
est ce que par défaut tous les ports sont fermés ?
[/quote]
pour voir la liste de port, leur protocole et le nom de l’application qui l’utilise[mono]/etc/services[/mono][/quote]

Cela peut donner une indication intéressante !

Je met de cotè

@Funkygoby

/etc/services est un tableau d’alias. Par exemple http: 80, imaps: 993.
Ce n’est pas la liste des services en écoute.

Oui bien sur !

Ce n’est qu’un exemple.
Un port ne devient utilisable que si un service se connecte dessus. Le parefeu se contente de filtrer le trafic selon les regles.
Je crois que la box fourni déjà un filtre qui laisse rentrer une connexion uniquement si tu es à l’origine de l’échange.
Avec une utilisation bureautique/internet, ça à l’air suffisant.
ssh fourni un service qui est souvent choisi par les attaquants voulant un accés à ta machine. Ici, un parefeu avec fail2ban permet de blinder ton accés ssh.

entendu Funkygoby

Venant d’ubuntu j’ai déjà utilisé UFW !

je vois que firestater excite toujours j’ai du aussi l’utiliser un temps ?

[quote=“Funkygoby”]Un port sans service n’est pas vulnérable puisque inutilisable.
[/quote]
Sauf si le protocole sous-jacent a une faille exploitable à distance.

Ce n’est pas un filtre, c’est juste sa façon de fonctionner ; quand elle fait du NAT comme la plupart, elle ne sait pas faire autrement. Elle n’a qu’une adresse IP publique, et quand elle reçoit un paquet de l’extérieur qui n’est pas une réponse, comment savoir vers laquelle des machines du LAN le retransmettre par défaut si aucune redirection explicite vers une machine particulière n’a été définie ?

Un accès SSH se blinde d’abord avec des mots de passe solides ou une authentification par clés. Le reste ne sert qu’à alléger les logs.

C’est vrai, mais si tu manques de confiance vis à vis de ton noyau, il semble futile de chercher à combler le problème en utilisant … le noyau (netfilter), non ?

ma livebox adresse 192.168.x.x
l’ordinateur vers la Livebox c’est toujours 192.168.x.x
et après la livebox c’est l’adresse ip qui m’est donné par Orange ?
Je dis peut être une bêtise ?

Mais c’est important de savoir !

Erreur de ma part !

Les 4 lignes en 192.168.x.x correspondent à tes connexions vers ta box. Je crois que le reste represente les connexion du système vers lui même.

Ton adresse dans le sous-reseau de la box est 192.168.1.10

bien compris Funkygoby !

Non, pas forcément. Si les paquets malveillants peuvent être bloqués avant d’atteindre le sous-système vulnérable, je ne vois pas où est le problème. Par exemple si on découvre une faille dans l’implémentation du protocole SCTP dans le noyau, il suffit de bloquer tous les paquets SCTP en amont en attendant le correctif.

@PascalHambourg
Oui l’utilisation du pare feu est importante !
je vais m’y mettre !