[technique] pare-feu sous Debian

Luc Maisonobe luc at spaceroots.org
Lun 9 Nov 07:56:39 CET 2020 

Le 09/11/2020 à 07:00, Xavier Gendre via technique a écrit :
> Bonjour,
> 
> On 11/8/20 5:38 PM, Philippe Latu via technique wrote:
>> [...]
>>
>> Perso, je conserve iptables avec les deux fichiers
>> /etc/iptables/rules.v4 et /etc/iptables/rules.v6 associés au paquet
>> iptables-persistent qui se charge du chargement des règles via systemd.
> 
> La documentation du projet Debian recommande d'utiliser nftables en
> remplacement d'iptables à partir de la version buster (version stable
> actuelle). Les règles placées dans /etc/nftables.conf se chargent au
> démarrage grâce au service nftables. Il n'y a plus de distinction entre
> deux scripts pour les règles IPv4 d'un côté et IPv6 de l'autre, tout se
> fait dans le même fichier. Comme Luc, je n'ai que des règles assez
> simples et le passage à nftables ne m'avait posé aucune difficulté, la
> lecture de la doc était suffisante pour mes besoins.

Merci à vous, je vais regarder tout ça.
Les nouvelles machines seront au moins sur Buster.

Merci encore,
Luc

> 
> À plus,
> Xavier
> 
>> Le 08/11/2020 à 17:25, Luc Maisonobe via technique a écrit :
>>> Bonjour à tous,
>>>
>>> J'ai plusieurs machines, toutes sous Debian, soit à mon domicile soir
>>> hébergées à TLS00. Certaines sont très vieilles et doivent être
>>> remplacées car elles ont des pannes de plus en plus fréquentes.
>>>
>>> Je m'interroge sur la configuration de pare-feu à adopter pour une
>>> installation à jour.
>>>
>>> Actuellement, j'utilise shorewall et shorewall6 pour configurer
>>> les règles de filtrage, et j'utilise systemd-networkd pour configurer
>>> le réseau.
>>>
>>> J'ai vu récemment que systemd-firewalld semblait avoir le vent en poupe.
>>> J'ai commencé à regarder, mais aimerais avoir des avis d'experts.
>>> La documentation de systemd-firewalld semble privilégier l'utilisation
>>> en association avec NetworkManager, mais je préfèrerais rester sur
>>> systemd-networkd désormais.
>>>
>>> Mon utilisation est assez basique. Les machines présentent quelques
>>> services accessibles de l'extérieur (DNS, mail, calendrier, SSH et
>>> sauvegarde). Le serveur principal est à TLS00, mais des machines
>>> hébergées chez moi peuvent parfois prendre le relais en cas de
>>> panne (ce qui est arrivé plusieurs fois ces derniers mois, en
>>> raison de l'âge canonique du serveur principal). Certains liens
>>> sont ouverts juste entre la maison et TLS00, par exemple pour
>>> les sauvegardes ou pour de la réplication PostGreSQL.
>>>
>>> Que me conseilleriez-vous ?
>>>
>>> cordialement,
>>> Luc
>>> _______________________________________________
>>> technique mailing list
>>> technique at lists.tetaneutral.net
>>> http://lists.tetaneutral.net/listinfo/technique
>>
>> -- 
>> - Philippe Latu
>> -- 
>> https://inetdoc.net
>>
>>
>> _______________________________________________
>> technique mailing list
>> technique at lists.tetaneutral.net
>> http://lists.tetaneutral.net/listinfo/technique
>>
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique

Plus d'informations sur la liste de diffusion technique