Parefeu-Iptables sur un réseau ?

Une question bête mais que je me pose au moment d’installer les logiciels sur mon nouvel ordibureau :
Mon petit réseau comporte quatre machines :

• serveur
• ordibureau
• portable
• P4
  Ces quatre machines sont reliées à la FreeBox (et au Net) qui fait fonction de routeur et peuvent communiquer via SSH.
  Jusqu’à maintenant, j’installais un parefeu (iptables) sur chacune d’elles.
  Dans mon cas : utilisateur unique, est-il indispensable d’installer un parefeu sur toutes ces machines ou celui du serveur est-il suffisant ?

Un pare-feu n’est jamais indispensable, sauf cas particuliers. Je ne vois pas en quoi le serveur en aurait plus besoin que les autres machines, et encore moins en quoi un pare-feu sur le serveur en dispenserait les autres machines.

Les questions que tu dois te poser sont les suivantes :

• Contre quels risques veux-tu te protéger avec un pare-feu ?
• Pour chaque machine, ces risques sont-ils susceptibles de se produire ?

Excellente question métaphysique que je ne manquerai pas de me poser demain, avec un esprit plus clair.

Et tu peux aussi rajouter: contre quoi suis je protégé avec ma freebox ?
Comme je n’ai jamais trouvé de réponse claire à cette question, j’ai mis un routeur derrière la freebox, celle ci ne servant plus que de vulgaire modem.
Et pas de parefeu sur les machines individuelles (sauf sur le poste win, un vieux réflexe …)

En IPv4 en mode routeur NAT, contre les tentatives de connexion provenant de l’extérieur non redirigées et les paquets provenant de l’extérieur non liés à une connexion existante, par effet de bord de l’usage d’adresses IPv4 privées non routables sur l’internet public (mais cette “protection” saute en cas de compromission de la box ou d’un équipement réseau du FAI).
En IPv4 en mode non routeur sans NAT, contre rien du tout.
En IPv6 s’il est activé, contre rien du tout.

Je n’ai pas l’esprit très clair en ce moment mais d’après ce que tu écris, avec ma FreeBox en mode routeur et en IPv4, seul mon serveur serait vulnérable puisque atteignable par son IP “externe” directement en SSH ou web ?
Je n’affirme rien, hein, j’essaie de comprendre.

Pour ton routeur,
tu n’es pas obligé d’ouvrir tous les ports depuis l’extérieur.
Tu ne fais une redirection que du port 80 par exemple pour un serveur web. Pour le port ssh, tu te gades bien de le rediriger depuis le net externe.
Et tu double la protection en le protégeant avec un parefeu sur le serveur lui même.

[quote=“piratebab”]Pour ton routeur,
tu n’es pas obligé d’ouvrir tous les ports depuis l’extérieur.
Tu ne fais une redirection que du port 80 par exemple pour un serveur web. Pour le port ssh, tu te gades bien de le rediriger depuis le net externe.
Et tu double la protection en le protégeant avec un parefeu sur le serveur lui même.[/quote]
Je n’ai jamais bien compris ces histoire de redirection de port.
Actuellement, je suis sur mon nouvel “ordibureau” et je n’ai encore rien fait au niveau parefeu, redirection de port et fail2ban.
Par contre, je vais installer SSH pour pouvoir communiquer avec les autres machines, dont mon serveur.
Si je ne redirige pas l’IP interne de mon “ordibureau”, est-ce que je pourrai communiquer en SSH

La redirection de port se fait au niveau de ta freebox, et ne concerne pas les échanges à l’intérieur de ton réseau interne (LAN).
Vu d’internet, ton réseau se résume à une seule machine (la box) , et donc une seule adresse IP. Si quelqu’un veut accéder à une machine de ton LAN via internet, il est bien embêté.
C’est là qu’intervient la redirection. Tu vas dire à ta box (c’est un exemple): si quelqu’un depuis internet te fait une demande sur le port 80, tu rediriges la demande sur la machine X du LAN, sur son port Y (généralement le même que celui d’entrée de la box, ici le 80).
Et donc le serveur X présent sur ton LAN est visible depuis internet via le port 80 de la box.
Toutes les autres machines restent invisibles.
C’est une explication imagée et simplifiée qui risque de faire bondir Pascal , mais c’est le principe de la redirection dans ton cas.

Ton serveur étant maintenant ouvert sur internet via son port 80, il est judicieux de contrôler ce qui passe par ce port (failtoban …), et de renforcer la protection en contrôlant au niveau serveur tous ses autres ports (parefeu …)…

Ce que je t’expliquais précédemment, c’est qu’il faut réfléchir à 2 fois (voire 3) avant de permettre l’accès ssh à ton serveur depuis internet (via un routage dans la box).

C’est assez bien expliqué pour ma façon d’interpréter les mots, merci.
Au niveau de mon serveur, la protection est testée depuis 2 ou 3 ans (?) et malgré les nombreuses tentatives, je n’ai jamais eu de problèmes.
Dans iptables :
Politique générale : Input = DROP ; forward = DROP ; Output = ACCEPT
Pour Input, en dehors des traditionnels ‘lo ; RELATED…, etc.’, seuls 5 ports sont ouverts : FTP ; SMTP ; Imap ; WWW ; SSH.
Tous sont protégés par Fail2ban qui “drope” à la pelle.

Au niveau de la FreeBox, je n’ai redirigé que vers [strike]la Box[/strike]. EDIT : le serveur.

Suite à la modif précédente (je suppose ?) je n’ai plus accès à mon serveur de courrier via mon portable (icedove n’est pas encore installé sur ordibureau). Bizarre car les seules redirections que j’ai supprimées concernent SSH

L’un des risques, ce serait que ton serveur (accessible depuis l’internet) soit compromis, et qu’un utilisateur malveillant accède depuis ton serveur, à tes autres machines (partages samba, ssh…). Idéalement il faudrait qu’un tel serveur se trouve dans une DMZ ( fr.wikipedia.org/wiki/Zone_d%C3 … matique%29 ).

Sans DMZ, il pourrait être utile de mettre des règles iptables sur tes stations, de façon à bloquer (par exemple) les connections ssh en provenance de ton serveur, etc…

Ceci étant si ton serv. est bien protégé, pas trop de souci à se faire (enfin normalement )

Note: Certaines box adsl permettent de définir une DMZ (chez SFR par ex.) mais j’avoue ne pas encore avoir testé.

Non. D’abord je préfère dire “exposée” (à des attaques, qu’elles aient ou non une chance de réussir) au lieu de “vulnérable” (ce qui suppose l’existence d’une faille de sécurité). Toute machine qui communique avec l’extérieur est exposée, à des degrés divers. Et une fois une machine du LAN compromise, toutes les autres machines du LAN sont exposées aussi.

Non, elle est très bien. Par contre,

Je ne vois pas ce qu’il y a à réfléchir deux ou trois fois. Soit on en a besoin, soit on n’en a pas besoin.

La notion de “DMZ” des box n’a pas grand chose à voir avec une vraie DMZ qui est une isolation des machines exposées dans un réseau séparé du réseau principal. Définir une adresse en DMZ sur une box, cela signifie lui envoyer tout le trafic entrant par défaut. Il n’y a pas de réseau séparé ni isolation, cela ne protége en rien les autres machines.

Non. D’abord je préfère dire “exposée” (à des attaques, qu’elles aient ou non une chance de réussir) au lieu de “vulnérable” (ce qui suppose l’existence d’une faille de sécurité). Toute machine qui communique avec l’extérieur est exposée, à des degrés divers. Et une fois une machine du LAN compromise, toutes les autres machines du LAN sont exposées aussi.
[/quote]J’essaierai de me souvenir du terme “exposé” qui en effet semble mieux adapté.
Malheureusement, en essayant de suivre (certainement mal) les conseils du Pirate, j’ai cassé mon serveur mail.
Avant de continuer de me plaindre, j’aimerais une réponse claire sur les redirections de port. Pour ça, je présente mon cas personnel, sachant qu’il ne sera pas applicable à tous :
Situation :
FreeBox en mode routeur et en IPv4.
machine serveurs : SSH ; FTP ; WEB ; Courrier.
machines 1
machine 2
Tout ça dans le LAN et communicant en SSH.
Ports “ouverts” dans parefeu : 22 ; 21 ; 80 : 25 (smtp) ; 143 (imap)
Dans la Box, quels ports dois-je rediriger et vers quelle(s) machine(s)

Tu dois rediriger vers le serveur les ports des services qui doivent être accessibles depuis l’extérieur.

J’oubliais : les phrases “je n’ai plus accès à mon serveur de courrier via mon portable” et “j’ai cassé mon serveur mail” ne contiennent aucune information concrète.

donc tous les précités sauf le 25.

[quote=“PascalHambourg”]
J’oubliais : les phrases “je n’ai plus accès à mon serveur de courrier via mon portable” et “j’ai cassé mon serveur mail” ne contiennent aucune information concrète.[/quote]C’est volontairement vague car je veux essayer de trouver moi-même, donc je ne demande pas d’aide pour l’instant.
J’essaie demain avec ces nouvelles données et si ‘pas mieux’, j’expliquerai concrètement ce qui ne fonctionne pas.
Bonne nuit.

Salut,
Ceci dit, faut pas trop stresser avec ça non plus.
J’ai un Kimsifu depuis 6 mois, et je viens de m’apercevoir qu’il n’y a aucun pare-feu… Juste fail2an.

Comme mes mots de passes sont plutôt blindés, je n’ai eu aucune intrusion…

Mon serveur mail est de nouveau fonctionnel.
J’avais une histoire de ??? (signature - me souviens plus du terme exact) qui était dépassé et la “sécurité de connexion STARTTLS” smtp hurlait sur Icedove.
De plus, j’ai mis à jour mon fichier /etc/hosts du serveur avec la nouvelle machine.
Enfin, j’ai redirigé les ports de la FreeBox comme expliqué par Pascal, en y mettant aussi le 25. Pour ce dernier, j’avais un doute sur la devinette donnée par Pascal
Le 25 doit-il être accessible de l’extérieur ?
Je considère ce fil comme résolu, sauf …

Certificat périmé ?

[quote=“ricardo”]doute sur la devinette donnée par Pascal
Le 25 doit-il être accessible de l’extérieur ?[/quote]
Ce n’était pas une devinette mais une affirmation d’ordre général.
Le port 25 doit être accessible de l’extérieur si tu as besoin qu’il le soit (et dans ce cas il vaut mieux que le MTA soit blindé pour ne pas finir en relais de spam). Si tu sais à quoi sert le port 25, tu devrais être capable de répondre tout seul.

Certificat périmé ?[/quote]
Voilà - mémoire de vieux chnock

[quote=“PascalHambourg”]

[quote=“ricardo”]doute sur la devinette donnée par Pascal
Le 25 doit-il être accessible de l’extérieur ?[/quote]
Ce n’était pas une devinette mais une affirmation d’ordre général.
Le port 25 doit être accessible de l’extérieur si tu as besoin qu’il le soit (et dans ce cas il vaut mieux que le MTA soit blindé pour ne pas finir en relais de spam). Si tu sais à quoi sert le port 25, tu devrais être capable de répondre tout seul.[/quote]
Ben port 25 = smtp = envoi des mails. Dans ma p’tite tête, s’il ne fait qu’envoyer les mails, il n’a besoin d’être ouvert que pour moi, donc, je ne devrais pas rediriger.
Le meilleur moyen d’en être sûr, c’est encore de tester, ce que je vais faire de ce pas.