NFtables ne sert à rien

Support Debian
#1

Titre un peu provocateur…

Bon plutôt que de chercher à comprendre des réglages de bases que je ne comprend pas dans NFtables (qui partent dans tous les sens en fonction des besoins de chacun…)

Je pense que l’idée serait déjà de définir ses (mes) besoins

Donc si j’ai bien compris NFtables va me permettre d’ouvrir et fermer certains ports
de bannir ou autoriser certaines IP
de récupérer des LOG (journaux),
et compter des paquets (pour m’endormir le soir, plutôt que de compter des moutons, je vais compter des paquets…)

Donc j’ai QUOI :

  • Un serveur Apache derrière une BOX
  • je n’ai pas d’IP fixe (externe) pour le moment
  • J’ai un ordi qui se connecte au serveur en SSH par l’intermédiaire de la BOX (routeur).

L’objectif c’est quoi : sécuriser le serveur en limitant les accès

  • Ouvrir le port HTTP et HTTPS
  • Ouvrir le port 22 (et encore c’est pas sur car je suis en local)
  • fermer tout le reste

Si vous pouvez m’aider a appréhender la notion de pare feu au sens large, car un pare feu pour moi est déjà une notion vague, alors NFtables :wink:

L’idée c’est d’arriver comprendre mes besoins, et objectif pour mieux comprendre la notion de pare feu et les réglages qui en découlent (découleront)…

#2

Pour que les règles soient applicable en IPv4 et IPv6 on doit créer une table filtre inet

table inet filter

ouvrir les ports

tcp dport { 22, 80, 443 } ct state new accept

puis bloquer le reste

drop

si j’ai bien compris ?

Car l’utilité d’un pare feu ne semble pas si évident

De plus, même si votre *box ou votre routeur ne dispose pas d’un module de pare-feu, la manière selon laquelle fonctionne un routeur ou une *box rend techniquement vos ordinateurs inaccessibles directement depuis Internet.1) Une intrusion devient difficile, mais pas totalement impossible. Ce niveau de sécurité suffit généralement à empêcher les intrusions, mais elle ne dispense pas d’avoir un pare-feu activé localement sur l’ordinateur de l’utilisateur

https://doc.ubuntu-fr.org/pare-feu

#3

Certaines box sont configurées pour n’autoriser que le trafic initialisé par “l’intérieur” du réseau (venant de chez toi, quoi).

Dans ce cas, effectivement, peu de risque d’intrusion (quoi que… Il suffit qu’un petit malin réussisse à te refiler un cheval de Troie, par exemple à partir d’un mail malicieux, pour que cette règle ne serve plus à grand-chose).

Par contre, si tu veux pouvoir accéder à ton réseau local (ou une partie) à partir d’internet, alors, tu as fortement intérêt à mettre un pare-feu.

Amicalement.

Jean-Marie

#4

Mon serveur n’a pas d’écran et j’utilise un autre ordi sur le même réseau local pour me connecter soit en ligne de commande en SSH soit en SFTP pour déposer des fichiers.

Si j’ai bien compris le principe du pare feu -> j’interdis TOUT sauf ce que j’utilise.

Je dois donc ouvrir le port 22 ???

Comme les 2 ordis sont en réseau local est il possible d’ouvrir le port 22 que pour le réseau local et non sur l’extérieur… style je peux me connecter en SSH de l’ordi vers le serveur qui sont sur le même réseau… mais interdire l’accès en SSH vers le serveur depuis internet (l’extérieur) ???

#5

Toutafé.

Amicalement.

Jean-Marie

#6

Un truc du style

iptables -A INPUT -i eth0 -p tcp --dport 22 -s 82.238.xxx.xxx -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 84.239.xxx.xxx -j ACCEPT

Si j’ai bien compris cela limite l’ouverture au réseaux LOCAL par ETHERNET eth0
l’IP 82.238.xxx.xxx c’est l’IP de qui puisque on est en réseau local on n’a pas besoin d’un IP externe ???

On est plutôt sur un truc du style

iptables -t filter -i eth1 -A INPUT --dport 22 -j ACCEPT