sous linux, à part si tu laisse un serveur telnet, ntfs, apache, ou samba actifs sur ton interface “internet”, l’absence de pare feu ne fait pas de ta machine une passoire (on est pas sous windows ). Les autres services sont plutot securisés, ou bien n’offrent pas trop de fonctionnalités en cas de cassage avèré.
Quoi qu’il arrive, même si un casseur dépose des choses sur ta machine, si tu n’abuse pas de l’usage du compte superuser, tu es relativement tranquille: même si qqu’un obtient un login, il ne peut pas faire grand chose, c’est quand même difficile d’obtenir celui de ton superuser.
Pas d’inquietude à trainer pour corriger le probléme, donc.
ensuite, concernant l’administration d’iptables, si tu ne te sens pas à l’aise avec la ligne de commande, utilises le module webmin. Un seul inconvénient: une fois installé, il ecrase les modifs que tu pourrait faire par la ligne de commande à chaque reboot: il ne sauve que ce que tu fais sous webmin. il faudra faire un
iptables-save >/etc/webmin/firewall/iptables.save
pour sauver la config dans webmin si tu fais des modifs sans passer par l’interface.
bon, voila avec ce préambule. Sinon je te donne déja un fichier minimal de config iptables:
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
#-A INPUT -p udp -m udp --dport 110 -j ACCEPT
#-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
c’est une config minimale qui, telle quelle, bloque tout ce qui rentre, sauf le port 22 (ssh) et les retours de connections que tu as toi meme demandées.
J’ai laissé en commentaire les éléments pour ouvrir les ports smtp, webmin, etc, ainsi que la config du masquerading entre l’eth1 (mon lan) et l’eth0 (le net).
c pour t’inspirer ds ta config.
Comment utiliser ca ?
pour sauver ta config vierge afin de la restaurer si besoin, c’est
iptables-save >iptables.acceptall
ensuite, pour restaurer une config, c’est
iptables-restore < nomdefichier
vala.
éditer le fichier de sauvegarde, c’est parfois plus simple que d’ajouter les règles une à une à la main…
bonne chance.