La Freebox v6 propose une case à cocher pour activer un firewall sur la délégation principale. Si celle-ci est activée, alors une autre case concernant les délégations secondaires devient activable.

Le problème, c'est que rien n'indique ce que fait ou ce que ne fait pas ce firewell et rien ne semble paramétrable. Aussi allons-nous utiliser notre maquette pour mettre en place sur demoserver un pare-feu certes minimaliste, mais qui aura le mérite d'être maîtrisé. Il y a plus loin un chapitre dédié au système de filtrage de paquets du noyau Linux.

Juste un mot pour donner du courage.

• Netfilter, c'est le cœur du système de filtrage de paquets, présent dans le kernel Linux depuis les versions 2.4x. C'est un système extrêmement puissant et peu gourmand en ressources CPU.
• IPtables, c'est l'outil qui permetait autrefois de définir les règles de filtrage que Netfilter doit suivre. La commande iptables permet de créer de manipuler ces règles. C'est en quelque sorte le «front-end» de Netfilter.
• Nftables apparaît comme le successeur d'IPtables, toujours en appui sur Netfilter, mais avec plus de cohérence et d'efficacité.

Passer d'un système de gestion des règles à l'autre n'est pas simple, mais ce n'est pas ici le débat. IPtables est toujours activement supporté, bien que Debian 12 (Bookworm) installe nftables par défaut.

Soyons ouverts à l'avenir et utilisons Nftables…

Il y a deux façons de concevoir un pare-feu:

1. Tout interdire, sauf ce dont on a besoin;
2. Tout autoriser sauf ce dont on n'a pas besoin.

Sur une installation similaire à notre maquette, nous pouvons effectuer un permier niveau de filtrage sur demoserver:

• pour sa protection personnelle;
• pour la protection des nœuds présents dans la délégation qui est derrière lui.

Nous pouvons également ajouter des filtrages plus personnels sur chaque hôte de la délégation. Le but ici est de faire juste un minimum, en partant du principe que les postes clients ne sont que des clients de l'internet et que demoserver n'a aucun service à proposer à l'extérieur de sa délégation.

Du fait que cet hôte n'a rien à partager avec le monde extérieur, aucune requête venant de dehors ne devrait passer. en mode TCP, tous les paquets contenant un simple [SYN] devraient être rejetés.

En revanche, demoserver va avoir des requêtes à formuler vers les services extérieurs, ne serait-ce que pour que notre résolveur DNS puisse fonctionner. Il faut également assurer les mises à jour du système qui nécessiteront de se connecter aux dépôts de paquets Debian. En UDP, il n'y a pas de SYN, mais Netfilter va bien se débrouiller.