Bonjour à tous,

J'ai une petite question d'ordre technique, j'aurai voulu savoir si la configuration faites grâce à IPtables sur son PC était effective même en ayant une livebox, je m'explique. Imaginons que quelqu'un fasse un scan de port sur ma livebox pour voir les ports ouvert, pour utiliser ses derniers d'une manière frauduleuse.

Les paquets qui seront utilisés pour le port scan arrive d'un réseau tiers jusqu'à ma livebox, est-ce que en ayant configurer mon  réseau avec des règles d'acceptation ou de rejet de paquet le scan sera toujours effectif ?

En effet, si la configuration via IPtables est faite sur mon PC cela n'aura normalement aucune incidence sur les paquets qui arrive dans mon réseau (sur ma livebox), pour bien faire il faudrait que je puisse configurer des règles sur ma livebox même. J'ai donc pensé à acheter un routeur pour que je puisse configurer les règles sur ce dernier avant que les paquets arrivent sur mon PC, dîtes moi ce que vous en pensez.

Ou alors les paquets sont transmis à mon PC via l'interface réseau et c'est à ce moment que la configuration des règles fait sont taff, je suis un peu perdu.

Si des points ne sont pas claires faites le moi savoir, je me ferais un plaisir de vous éclaircir.

Merci d'avance

-
Edité par Failure 26 mai 2015 à 9:30:58

Salut

je n'ai pas compris ton idée mais sache que lorsque tu mets une box devant un pare-feu alors le plus logique est de mettre la box en bridge, elle ne fait plus pare-feu mais uniquement "modem" ADSL. Ainsi c'est ton pare-feu qui gère tous les paquets transitant sur ta ligne ADSL.

Si tu as une box, inutile de mettre en place un firewall sur les machines derrière. Ou alors seulement si tu nécessites un niveau de sécurité élevé, mais dans ce cas il faut travailler sur plus d'aspects sécuritaires.

Dès lors que tu as une box qui nat, il y a un filtrage naturel qui est fait par la nat.

Au passage, tu peux configurer le firewall de tes livebox (enfin, créer des règles)

Mais vu qu'il y a de la NAT, cela n'aura que peu d'intérêt non ? ou alors pour les flux sortants.

Ca n'aura pas d'intérêt pour le réseau interne oui, c'est juste la protection de la box (comme tu l'as dit vouloir configurer son firewall dans un lan particulier n'a aucun intérêt)

Mais en fait la box ne devrait pas être plus sécurisée avec un firewall ou non. 

Quoiqu'il arrive, seuls les ports ouverts seront accessibles, et de toute façon il est nécessaire de les laisser ouverts selon les accès que l'on veut avoir. Donc même si le firewall est en place, il devra laisser passer ces paquets.

Après, cela peut être utile si la box a des services non nécessaires qui tournent et que l'on ne peut pas arrêter, mais je pense que c'est assez rare.

Oui, c'est ce que je veux dire. Techniquement, le firewall de la box ne protège qu'elle-même sur son interface publique en bloquant toutes les connexions entrantes non initiées en TCP (sauf le HTTP). Son intérêt est à la limite pour éviter les flux sortants non-désirés (si on veut pas qu'il y ait du P2P ou que sais-je)

-
Edité par Doezer 26 mai 2015 à 14:07:48

Tout d'abord merci pour vos réponses, en fait l’intérêt que je voyais était par exemple de se protéger contre certaines attaques visant à atteindre un déni de service, typiquement du SYN Flood (ou autre), en effet il n'est pas rare puisque je joue en ligne de se faire flooder en pleine partie visant à une déconnexion du joueur en l’occurrence moi.

Ou même éviter un scan de port de ma box, j'avais donc penser à créer des règles pour qu'au bout d'un certains nombres de paquet envoyés par la même IP dans un laps de temps très court, cette dernière soit bloquées en rejetant les paquets ou en les droppant tout simplement.

C'est là que ma question vient, faut-il que je filtre les paquets quand il arrive d'un réseau extérieur en l’occurrence Internet par le biais des règles que je peux créer dans l'interface de ma Livebox, ou alors je filtre les paquets qui partent de ma box pour arriver sur mon PC ?

-
Edité par Failure 26 mai 2015 à 15:43:23

Un firewall ne te protègera pas des floods, ni non plus des scans de ports. Si tu as des ports qui doivent rester ouverts pour rendre un service, on les verra lors d'un scan de ports.

Dans le cadre de l'utilisation d'une box qui fait de la NAT, tu n'as pas besoin d'un firewall.

D'accord, et du coup quelles sont les contre-mesures pour le flood et le scan de port, y'en a t-il  ? Ou alors la NAT s'occupe de ça ?

Pour moi la NAT c'est ni plus ni moins de la translation d'adresses pour pouvoir avoir accès à l'extérieur de mon réseau depuis mon adresse privé qui sera NATé et pouvoir recevoir les paquets entrant dans mon réseau en se servant de la correspondance IP publique / IP privé et grâce aussi à la translation de port (PAT), mais en aucun cas la NAT à avoir avec un quelconque aspect sécuritaire, si vous pouvez m’éclairez, je suis vraiment intéressé, merci.

-
Edité par Failure 26 mai 2015 à 15:58:22

On peut atténuer (via anycast par exemple) mais pas contrer le flood, c'est le fonctionnement même d'internet. 

Pour le flood, les contre-mesures doivent se faire en amont du réseau, chez le fournisseur d'accès par exemple, car sinon une fois que les paquets réseau sont là il n'y a plus rien à faire que de subir.

Pour le scan de ports, il n'y a pas grand chose à faire non plus. Tu serveur est là pour rendre des services et doit donc avoir des ports disponibles et accessibles sur le réseau. Dès lors, ces ports seront visibles par un scan de ports. L'idée est de ne faire tourner que les applications nécessaires pour n'ouvrir que les ports nécessaires. Après, il faut que tes services ouverts en disent le poins possible, mais là la configuration est applicative et non réseau.

La NAT dynamique permet la communication dans un sens. Sans utilisation de PAT, tes machines internes seront injoignables de l'extérieur, donc pas besoin de firewall. De plus, si tu décides de mettre en place du PAT, tu ne rendras accessibles que les ports nécessaires, donc ta configuration sera exactement comme celle d'un firewall. Seuls les ports que tu veux rendre visibles le seront.

Ok merci pour ces informations, c'est désormais plus claire pour moi.