[technique] pare-feu sous Debian

Xavier Gendre gendre.reivax at gmail.com
Lun 9 Nov 07:00:37 CET 2020


Bonjour,

On 11/8/20 5:38 PM, Philippe Latu via technique wrote:
> [...]
> 
> Perso, je conserve iptables avec les deux fichiers 
> /etc/iptables/rules.v4 et /etc/iptables/rules.v6 associés au paquet 
> iptables-persistent qui se charge du chargement des règles via systemd.

La documentation du projet Debian recommande d'utiliser nftables en 
remplacement d'iptables à partir de la version buster (version stable 
actuelle). Les règles placées dans /etc/nftables.conf se chargent au 
démarrage grâce au service nftables. Il n'y a plus de distinction entre 
deux scripts pour les règles IPv4 d'un côté et IPv6 de l'autre, tout se 
fait dans le même fichier. Comme Luc, je n'ai que des règles assez 
simples et le passage à nftables ne m'avait posé aucune difficulté, la 
lecture de la doc était suffisante pour mes besoins.

À plus,
Xavier

> Le 08/11/2020 à 17:25, Luc Maisonobe via technique a écrit :
>> Bonjour à tous,
>>
>> J'ai plusieurs machines, toutes sous Debian, soit à mon domicile soir
>> hébergées à TLS00. Certaines sont très vieilles et doivent être
>> remplacées car elles ont des pannes de plus en plus fréquentes.
>>
>> Je m'interroge sur la configuration de pare-feu à adopter pour une
>> installation à jour.
>>
>> Actuellement, j'utilise shorewall et shorewall6 pour configurer
>> les règles de filtrage, et j'utilise systemd-networkd pour configurer
>> le réseau.
>>
>> J'ai vu récemment que systemd-firewalld semblait avoir le vent en poupe.
>> J'ai commencé à regarder, mais aimerais avoir des avis d'experts.
>> La documentation de systemd-firewalld semble privilégier l'utilisation
>> en association avec NetworkManager, mais je préfèrerais rester sur
>> systemd-networkd désormais.
>>
>> Mon utilisation est assez basique. Les machines présentent quelques
>> services accessibles de l'extérieur (DNS, mail, calendrier, SSH et
>> sauvegarde). Le serveur principal est à TLS00, mais des machines
>> hébergées chez moi peuvent parfois prendre le relais en cas de
>> panne (ce qui est arrivé plusieurs fois ces derniers mois, en
>> raison de l'âge canonique du serveur principal). Certains liens
>> sont ouverts juste entre la maison et TLS00, par exemple pour
>> les sauvegardes ou pour de la réplication PostGreSQL.
>>
>> Que me conseilleriez-vous ?
>>
>> cordialement,
>> Luc
>> _______________________________________________
>> technique mailing list
>> technique at lists.tetaneutral.net
>> http://lists.tetaneutral.net/listinfo/technique
> 
> -- 
> - Philippe Latu
> --
> https://inetdoc.net
> 
> 
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique
> 



Plus d'informations sur la liste de diffusion technique