Un Firewall , est il nécessaire , ou souhaité sous Debian ?

Non, et non. Ou peut-être, ça dépend. Par exemple si on ne sait pas ou n’a pas envie de sécuriser ses services et applications réseau.

Non.

Non, iptables fait partie de netfilter. Le programme utilisateur [mono]iptables[/mono] sert à configurer la partie d’iptables qui est dans le noyau.

@PascalHambourg : imaginons que je souhaite héberger mon site sur mon PC , que mon nom de domaine soit chez un hébergeur et que je sois obligé d’utiliser le service DNS étendu pour rediriger mon nom de domaine vers mon adresse IP , étant donné que mon site se trouve dans /var/www sécurisé (root) sur mon PC et que j’ai fait un lien vers mon home via ln : y a t’il un risque si mon port 80 reste ouvert sans configuration d’iptables ?
NB : sachant que j’ai activé le firewall de ma box …

Si ton site est accessible publiquement, le risque vient du serveur web, pas de la configuration du firewall.

Donc le port 80 , ouvert par apache reste un risque même si j’ai pris des précautions , en même temps mon site tout le monde s’en fout ! lol

Pas pour en faire un botnet, si?

Nan , d’ailleurs je ne sais mm pas ce qu’est un botnet … juste savoir à quel point il fallait être parano sur le web ! @+

Je commence a étudier tous les posts , et les liens !

j’avoue qu’il me faudra un peu de temps pour tout assimiler ?

mais la bonne volonté y est !

Merci pour les conseils!

Ce n’est pas le fait d’avoir un port ouvert sur l’extérieur qui est dangereux, mais le fait d’avoir un service en écoute derrière. Si ce service est vulnérable (et ils le sont tous plus ou moins, et en fonction dutemps), alors il pourra étre utilisé pour corrompre la machine (plus ou moins suivant son niveau de configuration).
D’où l’intérêt de logiciel de détection d’intrusion: en gros, lorsque plusieurs tentatives d’utiliser un port en dehors des usages (requête http non conforme), le logiciel décide au bout d’un moment de bannir l’ip du chercheur de merde.
C’est pour cela que je parle de défense en profondeur, et à plusieurs étages.
Mais pour l’usage qui est le tient tel que que tu décris, pas la peine de chercher des outils trop sophistiqués.

[quote=“piratebab”].
D’où l’intérêt de logiciel de détection d’intrusion: en gros, lorsque plusieurs tentatives d’utiliser un port en dehors des usages (requête http non conforme), le logiciel décide au bout d’un moment de bannir l’ip du chercheur de merde.

[quote][/quote]C’est pour cela que je parle de défense en profondeur, et à plusieurs étages.
Mais pour l’usage qui est le tient tel que que tu décris, pas la peine de chercher des outils trop sophistiqués.[/quote]

Je pense que pour mon utilisation actuelle , une configuration simple suffit , je suis assez d’accord ,

J’ai déjà entendu parler de logiciel snifeur de ports , mais je ne retrouve pas le lien ?

qu’est ce que tu appelles sniffeur de ports ?
un port c’est comme l’argent, ça n’a pas d’odeur …
(enfin d’prés le dicton, car dans la réalité c’est très odorant, surtout pour un chien …)

quelque chose qui me dit quels ports sont ouverts , ou fermés ,

Mes excuses je m’explique a ma façon !

L’un des plus connus : nmap (et sa surcouche graphique : zenmap)

oui, nmap depuis ton réseau local. Sinon depuis internet, tu as quelques sites qui proposent ce service.

De ce que j’ai compris (donc attention), les ports sont comme des guichets plutôt que des portes. Cela permet à ta machine de communiquer avec l’exterieur en placant tel ou tel service sur tel ou tel port:
Par défaut, tout les ports sont “fermés”, disons plutôt “vacants”. Le port devient “ouvert” si un service se met à écouter sur le port.
Pour t’en convaincre, utilise netstat ou nmap pour regarder tes ports. Si le port est ouvert c’est qu’un service de chez toi est à l’écoute.

Lorsqu’une requête (attaque) arrive sur le port, si celui ci est vacant, il ne se passe rien. Cela reviendrait à se prendre la tête avec un distributeur de billet hors service.
Si le port est occupé alors l’attaquant peut lancer des requetes au service. Il peut le submerger de requetes: DOS (voir la solution de piratebab). L’attaquant peut aussi profiter d’une faille du service pour faire n’importe quoi. Dans ce cas de figure, firewall ou pas, l’attaque passera au moins cette étape.

A quoi sert un firewall?
De ce que j’ai compris encore, le firewall permet de mettre un filtrage aux ports
-le service ne verra pas les requêtes entrantes à moins que ce soit lui qui ai initié la connection vers celui qui envoie les requetes. Je crois que c’est en gros ce que font les boxs.
-forcer la “non-ouverture” des ports. Un virus qui t’aurait infecté peut se faire passer pour un service et tenter de contacter l’exterieur. Le firewall permet de refuser toutes connections entrantes/sortantes sur certains ports.
-sur le port 22, accepter la connection que si elle vient de l’IP du copain.
-etc…
Les regles de configuration peuvent être très détaillées!

Pour un mec lambda, ça sert pas à grand chose. Ca va servir pour des serveurs qui doivent répondre à des connexions qu’ils n’ont pas initiées en plus de gèrer tout un tas d’abus sur les services. Cela demande l’utilisation d’autres outils.
Certains preconisent la configuration d’un parefeu si tu es connecté dans les espace public éventuellement.

@piratebab : D’où l’intérêt de logiciel de détection d’intrusion: en gros, lorsque plusieurs tentatives d’utiliser un port en dehors des usages (requête http non conforme), le logiciel décide au bout d’un moment de bannir l’ip du chercheur de merde.

As tu la solution pour sécuriser le port 80 ouvert … ou … comment configurerais tu iptables vu que tu as besoin que ce port reste ouvert , voir quels sont les droits que tu donnerais à ton var/www/ton site , quelles sont tes ruses pour éviter une intrusion … etc ???

On s’éloigne du besoin initial, qui justement n’avais pas de serveur.
Si tu as un serveur web, tu doit laisser le port 80 ouvert pour que les navigateurs des utilisateurs puissent demander l’affichage des pages. Un firewall ne sert à rien dans ce cas, il se contente de laisser ce port accéssible.
Il peut éventuellement s’assurer que les connexions sortantes sont liées à des connexions entrantes, mais ça n’a pas trop d’efficacité (ça te protège contre un malware qui se ferait passer pour le serveur web et cherche à contacter son centre de commande).

Dans ce cas on utilise soit un logiciel de détection d’intrusion “généraliste” type fail2ban, soit un parefeu applicatif (pour parler simlement)
Le parefeux applicatif est dédié à un type de serveur donné (par ex serveur web), il est spécialiser pour un type d’application, et va analyser les requétes qui sont faites à destination du serveur. Si elles ne correspondent pas à ce qu’on attends de ce type de service, elles sont déclarées comme inappropriées, et des mesures de protection sont déclenchées (alertes, blocage d’IP, …)
J’ai fortement simplifié le truc, les experts me pardonnerons cette tentative de vulgarisation.

bonjour,
donc par défaut le port 80 est ouvert en sortie et fermé en entrée,

si je m’aperçois (avec ma caisse à outil) qu’un process cause à tort vers une @IP
la 1° action est de bloquer en sortie vers cette adresse IP,
pour cela il faut un parefeu, gestion graphique ou pas
A+
JB1

là on est dans le curatif, pas le préventif!
La 1ere action est de débrancher la câble réseau, voire d’éteindre la machine avant que le mal ne se propage …

[quote=“piratebab”]là on est dans le curatif, pas le préventif!
La 1ere action est de débrancher la câble réseau, voire d’éteindre la machine avant que le mal ne se propage …[/quote]

Le préventif serait d’avoir une politique par défaut qui rejette tous les paquets en sortie, sauf ceux explicitement autorisés dans la liste des règles de ton script iptables. L’inconvénient étant que ça peut vite devenir assez contraignant sur une machine d’utilisation courante, ou on fait un peu tout et n’importe quoi, pour analyser son besoin…

Quelque chose dans ce genre :

iptables -t filter -P OUTPUT DROP   # Sortant

J’ai trouvé ce lien en cherchant sur autre chose !

http://www.developpez.com/actu/66689/Linux-abandonne-iptables-pour-nftables-la-version-3-13-du-kernel-sort-avec-le-support-des-disques-SSD-et-du-protocole-HSR/