Serveur Debian / pare feu

Bonjour, je souhaiterais mettre en place un pare feu mais je l’ai jamais fais. Je voudrais que ça sois serveur debian mais avant ou après la box?
Puis une deuxième question , j’aurais bien besoin une carte d’Ethernet d’entré et une carte d’Ethernet de sortie , comment cela se met en place? Quelqu’un pourrait m’expliquer s’il vous plaît?
Sinon j’apprends debian en WM.
Merci.

Bonjour,
en fait quel est le but recherché?
pour mettre avant la box c’est particulier et je ne suis pas sur que ça ne marche pas chez tous les FAI (personnellement j’y arrive très avec orange ce qui me permet de me passer de la livebox, mais je n’utilise pas la TV).
Après la box, en ayant 2 cartes réseaux, cela veux dire qu’une seule machine va pouvoir s’y connecter en filaire.
Si tu utilise le wifi de la box ton parefeu devient inutile.

1 : Bonjour, le but est dans le titre, un pare feu.

2 : Pourquoi? parce que je besoin mettre en place des règles spécifiques pour plusieurs posts.

3 : Après la box j’ai pris la décision et cela ne m’empêche pas de distribuer le réseau d’une carte via un switch.

Je besoin juste quelqu’un de compétent qui m’explique comment ça marche ( entrè et sortie pare feu installè sur un vieux PC ) et ce qu’il est le mieux pour le faire.

Un parefeu en soit ca ne veut rien dire et c’est justement ce que tu fais.
Si tu met ton parefeu après ta box en l’état, il ne sert absolument à rien.
si tu veux qu’il serve à quelque chose il te faudrait mettre ta box en bridge, ce que, à moins que tu n’en ai les compétences, je ne te conseille pas.
Par defaut ta box ferme tous les ports.

Sinon, certaines box (Free et orange notament) permettent de faire ds modification de regles de flux dans leur interface.

de quoi parles tu? un parefeu ça ne gère que des règles de flux. Qu’entends tu par un post?

Oui en effet, mais ce n’etait pas précisé. Cependant un switch classique ne permettra pas d’utiliser du Wifi en prenant en compte tes règles.

ouf . .
si , le pare feu après la box sert! Les box sont bien protégé de l’usine et c’est ne pas ma connexion entrante laquelle je besoin contrôler mais la connexion sortante , pigé monsieur?
Je ne besoin de se protéger de extérieur mais avoir le contrôle sur les posts derrière la box.

Ca ne dit pas ce que tu appelles des posts.
Comme je te l’ai déjà dit, un parefeu ne gère que des flux et rien d’autre.
Et suivant les cas, ceux des box permettent aussi de gérer les flux sortants en les mettant en mode expert.
si c’est un contrôle des flux web, alors c’est un proxy qu’il te faut et non pas parefeu.

enfin:

Non à moins de vouloir créer une DMZ spécialisée plus complexe que celle que certaines box permettent.

On évite ça quand on est un débutant et qu’on demande de l’aide.

On comprend si tu expliques.
Sinon, on dit « poste » (comme poste de travail), le mot « post » ayant en anglais une autre signification, ce qui rend ton message peu clair.
Enfin, as-tu déjà entendu parler des serveurs proxy ? cela semble correspondre à tes besoins.

Merci, enfin quelqu’un pour m’aiguiller. Désole pour orthographe je suis un étranger et je suis toujours en apprentissage de la lingue.
Alors serveur proxy donc?

Le proxy, c’est juste une idée, mais il faut que tu nous expliques mieux ton besoin, plutôt que de venir avec tes conclusions quant à la solution à y apporter. Pas certain que ton idée de pare feu + 2 cartes réseau soit la meilleure solution. C’est pour cette raison qu’il serait préférable de nous expliquer ton contexte (nombre de postes, sous quel OS, pourquoi ce besoin de filtrer les accès sortants, env. pro ou home, etc…).

Je suppose que ton idée, c’est de connecter une interface réseau de ce serveur Debian sur la box internet, et l’autre branchée sur un HUB qui servira le LAN où sont connectés les fameux postes ? Pourquoi pas, mais sur ce serveur tu va devoir le configurer en routeur. Je ne suis pas un spécialiste, d’où ma remarque précédente. Mais il y a des tutos sur le net comme ici qui correspond à ta config, mis à part ta box entre internet et le serveur. Je ne sais pas si dans ce cas il n’est pas plus simple de remplacer ta box par un routeur par exemple.

Car si je me borne à répondre à tes questions, les réponses sont simples :

  1. pare feu : tu trouveras plein de tutos sur ufw par exemple. Tu peux définir sur quelle interface réseau une règle s’applique.
  2. Tu ajoutes ta deuxième carte ethernet au pc, elle est reconnue par le système, rien à dire de particulier, tu te retrouves avec deux interfaces réseau.

Juste une remarque sur ce point.
ufw dépend de iptables.
Or, depuis buster, iptables est remplacé par nftables.

NOTE: iptables is being replaced by nftables starting with Debian Buster

nftables - Debian Wiki

Comme ce genre de sujet pas simple demande de l’investissement, en supposant qu’un pare-feu soit vraiment nécessaire, la question à se poser est s’il n’est pas plus judicieux de s’appuyer sur nftables.

1 J'aime

Pas certain, d’après ce que j’ai lu, ufw peut être utilisé aussi bien pour iptables que pour nftables puisqu’ils utilisent tout les deux netfilter.
Mais je suis sur de rien, ne maîtrisant pas le sujet.

ufw installera obligatoirement iptables.
Ça devient compliqué et confus d’avoir à la fois iptables et nftables installés dans le système, le sujet étant déjà assez compliqué.
Je pense que l’interface graphique pour gérer ces filtres n’est pas la question clef.
Il n’y a pas d’interface satisfaisant à mon avis pour gérer nftables.

firewalld n’est pas terrible et compliqué à mon goût si on souhaite se limiter à des règles simples.
Finalement, après apprentissage de nftables, on y arrive sans interface, et ça parait même plus clair.

sudo nft list ruleset

table inet FILTER {
        chain INPUT {
                type filter hook input priority filter; policy drop;
                iif "lo" accept
                ct state invalid drop
                ct state established,related accept
        }

        chain FORWARD {
                type filter hook forward priority filter; policy drop;
        }

        chain OUTPUT {
                type filter hook output priority filter; policy accept;
        }
}

bonjour, pour être explicite, nous sommes compagnons d’Emmaüs et nous avons de soucis avec quelques uns qui font des téléchargements illégaux et nous voulions avoir le contrôle la dessus.

Alors je pense qu’il y a plus simple, en supposant que la liste des serveurs à bloquer soient connue.
Si tel est le cas, il faut utiliser le fichier /etc/hosts

en ajoutant 127.0.0.1 avant le nom du serveur, l’accès au site sera immédiatement bloqué.

exemple

/etc/hosts

.../...

127.0.0.1 detectportal.firefox.com
127.0.0.1 firefox.setting.services.mozilla.com

dans ce cas:

  • Blocages du protole P2P
  • mise en place d’un proxy avec identification

si le protocole est le P2P les IP ne peuvent être connu. et globalement ce type de solution c’est du bricolage souvent facile à contourner.
le proxy reste la solution la plus adaptée, car il est possible de traiter aussi bien les adresses que les protocoles mais aussi de traiter les bandes passantes, les plages horaires.
de plus avec un proxy tu peux aussi utiliser des listes autorisée classiques plus ouvertes en dehors des heures standards etc…

le proxy ici est la solution. Le parefeu, c’est ingérable dans une problématique de ce type, et ta solution est ingérable car nécessite de le faire sur tous les postes avec des mises à jour régulières en fonction de ce qui est fait; et en plus c’est facile à contourner.