L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Quelques expériences en IPv6 » Couverture de survie

Ceci est une ancienne révision du document !

Table des matières

Couverture de survie

Le firewall de la Freebox

La Freebox v6 propose une case à cocher pour activer un firewall sur la délégation principale. Si celle-ci est activée, alors une autre case concernant les délégations secondaires devient activable.

Le problème, c'est que rien n'indique ce que fait ou ce que ne fait pas ce firewell et rien ne semble paramétrable. Aussi allons-nous utiliser notre maquette pour mettre en place sur demoserver un pare-feu certes minimaliste, mais qui aura le mérite d'être maîtrisé. Il y a plus loin un chapitre dédié au système de filtrage de paquets du noyau Linux.

Netfilter et IPtables (et Nftables)

Juste un mot pour donner du courage.

  • Netfilter, c'est le cœur du système de filtrage de paquets, présent dans le kernel Linux depuis les versions 2.4x. C'est un système extrêmement puissant et peu gourmand en ressources CPU.
  • IPtables, c'est l'outil qui permet de définir les règles de filtrage que Netfilter doit suivre. La commande iptables permet de créer de manipuler ces règles. C'est en quelque sorte le «front-end» de Netfilter.
  • Avec le temps et l'expérience, l'adjonction de nouvelles possibilités, il est devenu clair que le projet devait être repensé, ce qui a débouché sur le développement de nftables.
  • Nftables apparaît comme le successeur d'IPtables, toujours en appui sur Netfilter, mais avec plus de cohérence et d'efficacité.

Seulement voilà, Nftables, n'est apparu que depuis les kernels 3.13, ce qui a laissé le temps à de très nombreuses applications de venir se greffer sur IPtables et de très nombreux firewalls ont été laborieusement mis au point avec les règles IPtables, si bien que la reconversion est loin d'être évidente. Aussi une longue période de transition se profile. Aujourd'hui (17/03/2025) avec un kernel 6.1 sur Debian 12, les deux systèmes existent et IPtables est toujours parfaitement supporté. Aussi, allons-nous continuer ici à utiliser cet ancêtre.

Principes de base

Il y a deux façons de concevoir un pare-feu:

  1. Tout interdire, sauf ce dont on a besoin;
  2. Tout autoriser sauf ce dont on n'a pas besoin.

Sur une installation similaire à notre maquette, nous pouvons effectuer un permier niveau de filtrage sur demoserver:

  • pour sa protection personnelle;
  • pour la protection des nœuds présents dans la délégation qui est derrière lui.

Nous pouvons également ajouter des filtrages plus personnels sur chaque hôte de la délégation. Le but ici est de faire juste un minimum, en partant du principe que les postes clients ne sont que des clients de l'internet et que demoserver n'a aucun service à proposer à l'extérieur de sa délégation.

Couverture de survie: Dernière modification le: 17/03/2025 à 08:20 par prof