[technique] pare-feu sous Debian

[claude.lluis at laposte.net]

<div style="font-family:Arial, Helvetica, sans-serif; font-size:12px;">Bonjour‌<br>
Tu as aussi la distribution linux IPFIRE qui semble assez complète et offre beaucoup de possibilités.<br>
<br>
 </div>
 

<div class="gl_quote" style="margin-top: 20px; padding-top: 5px;">De : technique-request at lists.tetaneutral.net<br>
A : technique at lists.tetaneutral.net<br>
Envoyé: lundi 9 Novembre 2020 12:00<br>
Objet : Lot technique, Vol 113, Parution 2<br>
 
<div class="gl_quoted">Envoyez vos messages pour la liste technique à technique at lists.tetaneutral.net Pour vous (dés)abonner par le web, consultez http://lists.tetaneutral.net/listinfo/technique ou, par email, envoyez un message avec 'help' dans le corps ou dans le sujet à technique-request at lists.tetaneutral.net Vous pouvez contacter l'administrateur de la liste à l'adresse technique-owner at lists.tetaneutral.net Si vous répondez, n'oubliez pas de changer l'objet du message afin qu'il soit plus spécifique que "Re: Contenu du digest de technique..." Thèmes du jour : 1. pare-feu sous Debian (Luc Maisonobe) 2. Re: pare-feu sous Debian (Philippe Latu) 3. Re: pare-feu sous Debian (Xavier Gendre) 4. Re: pare-feu sous Debian (Luc Maisonobe) 5. JiTSI (Yves Dhenain) ---------------------------------------------------------------------- Message: 1 Date: Sun, 8 Nov 2020 17:25:49 +0100 From: Luc Maisonobe To: technique Subject: [technique] pare-feu sous Debian Message-ID: Content-Type: text/plain; charset=utf-8 Bonjour à tous, J'ai plusieurs machines, toutes sous Debian, soit à mon domicile soir hébergées à TLS00. Certaines sont très vieilles et doivent être remplacées car elles ont des pannes de plus en plus fréquentes. Je m'interroge sur la configuration de pare-feu à adopter pour une installation à jour. Actuellement, j'utilise shorewall et shorewall6 pour configurer les règles de filtrage, et j'utilise systemd-networkd pour configurer le réseau. J'ai vu récemment que systemd-firewalld semblait avoir le vent en poupe. J'ai commencé à regarder, mais aimerais avoir des avis d'experts. La documentation de systemd-firewalld semble privilégier l'utilisation en association avec NetworkManager, mais je préfèrerais rester sur systemd-networkd désormais. Mon utilisation est assez basique. Les machines présentent quelques services accessibles de l'extérieur (DNS, mail, calendrier, SSH et sauvegarde). Le serveur principal est à TLS00, mais des machines hébergées chez moi peuvent parfois prendre le relais en cas de panne (ce qui est arrivé plusieurs fois ces derniers mois, en raison de l'âge canonique du serveur principal). Certains liens sont ouverts juste entre la maison et TLS00, par exemple pour les sauvegardes ou pour de la réplication PostGreSQL. Que me conseilleriez-vous ? cordialement, Luc ------------------------------ Message: 2 Date: Sun, 8 Nov 2020 17:38:11 +0100 From: Philippe Latu To: technique at lists.tetaneutral.net Subject: Re: [technique] pare-feu sous Debian Message-ID: <4c838b46-4a6b-2cee-9454-95c22870dfa3 at inetdoc.net> Content-Type: text/plain; charset="utf-8"; Format="flowed" Bonjour, À mon niveau de compréhension, deux tendances de fond se dégagent en fonction du contexte : Mobilité -> NetworkManager -> systemd-* Hébergement -> UFW Perso, je conserve iptables avec les deux fichiers /etc/iptables/rules.v4 et /etc/iptables/rules.v6 associés au paquet iptables-persistent qui se charge du chargement des règles via systemd. Je n'ai jamais eu de souci avec ce mode gestion des règles de filtrage. Mes 2€cts, Le 08/11/2020 à 17:25, Luc Maisonobe via technique a écrit : > Bonjour à tous, > > J'ai plusieurs machines, toutes sous Debian, soit à mon domicile soir > hébergées à TLS00. Certaines sont très vieilles et doivent être > remplacées car elles ont des pannes de plus en plus fréquentes. > > Je m'interroge sur la configuration de pare-feu à adopter pour une > installation à jour. > > Actuellement, j'utilise shorewall et shorewall6 pour configurer > les règles de filtrage, et j'utilise systemd-networkd pour configurer > le réseau. > > J'ai vu récemment que systemd-firewalld semblait avoir le vent en poupe. > J'ai commencé à regarder, mais aimerais avoir des avis d'experts. > La documentation de systemd-firewalld semble privilégier l'utilisation > en association avec NetworkManager, mais je préfèrerais rester sur > systemd-networkd désormais. > > Mon utilisation est assez basique. Les machines présentent quelques > services accessibles de l'extérieur (DNS, mail, calendrier, SSH et > sauvegarde). Le serveur principal est à TLS00, mais des machines > hébergées chez moi peuvent parfois prendre le relais en cas de > panne (ce qui est arrivé plusieurs fois ces derniers mois, en > raison de l'âge canonique du serveur principal). Certains liens > sont ouverts juste entre la maison et TLS00, par exemple pour > les sauvegardes ou pour de la réplication PostGreSQL. > > Que me conseilleriez-vous ? > > cordialement, > Luc > _______________________________________________ > technique mailing list > technique at lists.tetaneutral.net > http://lists.tetaneutral.net/listinfo/technique -- - Philippe Latu -- https://inetdoc.net -------------- section suivante -------------- Une pièce jointe HTML a été nettoyée... URL: ------------------------------ Message: 3 Date: Mon, 9 Nov 2020 07:00:37 +0100 From: Xavier Gendre To: technique at lists.tetaneutral.net Subject: Re: [technique] pare-feu sous Debian Message-ID: Content-Type: text/plain; charset=utf-8; format=flowed Bonjour, On 11/8/20 5:38 PM, Philippe Latu via technique wrote: > [...] > > Perso, je conserve iptables avec les deux fichiers > /etc/iptables/rules.v4 et /etc/iptables/rules.v6 associés au paquet > iptables-persistent qui se charge du chargement des règles via systemd. La documentation du projet Debian recommande d'utiliser nftables en remplacement d'iptables à partir de la version buster (version stable actuelle). Les règles placées dans /etc/nftables.conf se chargent au démarrage grâce au service nftables. Il n'y a plus de distinction entre deux scripts pour les règles IPv4 d'un côté et IPv6 de l'autre, tout se fait dans le même fichier. Comme Luc, je n'ai que des règles assez simples et le passage à nftables ne m'avait posé aucune difficulté, la lecture de la doc était suffisante pour mes besoins. À plus, Xavier > Le 08/11/2020 à 17:25, Luc Maisonobe via technique a écrit : >> Bonjour à tous, >> >> J'ai plusieurs machines, toutes sous Debian, soit à mon domicile soir >> hébergées à TLS00. Certaines sont très vieilles et doivent être >> remplacées car elles ont des pannes de plus en plus fréquentes. >> >> Je m'interroge sur la configuration de pare-feu à adopter pour une >> installation à jour. >> >> Actuellement, j'utilise shorewall et shorewall6 pour configurer >> les règles de filtrage, et j'utilise systemd-networkd pour configurer >> le réseau. >> >> J'ai vu récemment que systemd-firewalld semblait avoir le vent en poupe. >> J'ai commencé à regarder, mais aimerais avoir des avis d'experts. >> La documentation de systemd-firewalld semble privilégier l'utilisation >> en association avec NetworkManager, mais je préfèrerais rester sur >> systemd-networkd désormais. >> >> Mon utilisation est assez basique. Les machines présentent quelques >> services accessibles de l'extérieur (DNS, mail, calendrier, SSH et >> sauvegarde). Le serveur principal est à TLS00, mais des machines >> hébergées chez moi peuvent parfois prendre le relais en cas de >> panne (ce qui est arrivé plusieurs fois ces derniers mois, en >> raison de l'âge canonique du serveur principal). Certains liens >> sont ouverts juste entre la maison et TLS00, par exemple pour >> les sauvegardes ou pour de la réplication PostGreSQL. >> >> Que me conseilleriez-vous ? >> >> cordialement, >> Luc >> _______________________________________________ >> technique mailing list >> technique at lists.tetaneutral.net >> http://lists.tetaneutral.net/listinfo/technique > > -- > - Philippe Latu > -- > https://inetdoc.net > > > _______________________________________________ > technique mailing list > technique at lists.tetaneutral.net > http://lists.tetaneutral.net/listinfo/technique > ------------------------------ Message: 4 Date: Mon, 9 Nov 2020 07:56:39 +0100 From: Luc Maisonobe To: technique at lists.tetaneutral.net Subject: Re: [technique] pare-feu sous Debian Message-ID: Content-Type: text/plain; charset=utf-8 Le 09/11/2020 à 07:00, Xavier Gendre via technique a écrit : > Bonjour, > > On 11/8/20 5:38 PM, Philippe Latu via technique wrote: >> [...] >> >> Perso, je conserve iptables avec les deux fichiers >> /etc/iptables/rules.v4 et /etc/iptables/rules.v6 associés au paquet >> iptables-persistent qui se charge du chargement des règles via systemd. > > La documentation du projet Debian recommande d'utiliser nftables en > remplacement d'iptables à partir de la version buster (version stable > actuelle). Les règles placées dans /etc/nftables.conf se chargent au > démarrage grâce au service nftables. Il n'y a plus de distinction entre > deux scripts pour les règles IPv4 d'un côté et IPv6 de l'autre, tout se > fait dans le même fichier. Comme Luc, je n'ai que des règles assez > simples et le passage à nftables ne m'avait posé aucune difficulté, la > lecture de la doc était suffisante pour mes besoins. Merci à vous, je vais regarder tout ça. Les nouvelles machines seront au moins sur Buster. Merci encore, Luc > > À plus, > Xavier > >> Le 08/11/2020 à 17:25, Luc Maisonobe via technique a écrit : >>> Bonjour à tous, >>> >>> J'ai plusieurs machines, toutes sous Debian, soit à mon domicile soir >>> hébergées à TLS00. Certaines sont très vieilles et doivent être >>> remplacées car elles ont des pannes de plus en plus fréquentes. >>> >>> Je m'interroge sur la configuration de pare-feu à adopter pour une >>> installation à jour. >>> >>> Actuellement, j'utilise shorewall et shorewall6 pour configurer >>> les règles de filtrage, et j'utilise systemd-networkd pour configurer >>> le réseau. >>> >>> J'ai vu récemment que systemd-firewalld semblait avoir le vent en poupe. >>> J'ai commencé à regarder, mais aimerais avoir des avis d'experts. >>> La documentation de systemd-firewalld semble privilégier l'utilisation >>> en association avec NetworkManager, mais je préfèrerais rester sur >>> systemd-networkd désormais. >>> >>> Mon utilisation est assez basique. Les machines présentent quelques >>> services accessibles de l'extérieur (DNS, mail, calendrier, SSH et >>> sauvegarde). Le serveur principal est à TLS00, mais des machines >>> hébergées chez moi peuvent parfois prendre le relais en cas de >>> panne (ce qui est arrivé plusieurs fois ces derniers mois, en >>> raison de l'âge canonique du serveur principal). Certains liens >>> sont ouverts juste entre la maison et TLS00, par exemple pour >>> les sauvegardes ou pour de la réplication PostGreSQL. >>> >>> Que me conseilleriez-vous ? >>> >>> cordialement, >>> Luc >>> _______________________________________________ >>> technique mailing list >>> technique at lists.tetaneutral.net >>> http://lists.tetaneutral.net/listinfo/technique >> >> --  >> - Philippe Latu >> -- >> https://inetdoc.net >> >> >> _______________________________________________ >> technique mailing list >> technique at lists.tetaneutral.net >> http://lists.tetaneutral.net/listinfo/technique >> > _______________________________________________ > technique mailing list > technique at lists.tetaneutral.net > http://lists.tetaneutral.net/listinfo/technique ------------------------------ Message: 5 Date: Mon, 9 Nov 2020 08:41:21 +0100 From: Yves Dhenain To: technique at lists.tetaneutral.net Subject: [technique] JiTSI Message-ID: <0d29bd9e-a677-69e5-550f-734b5c9742e3 at free.fr> Content-Type: text/plain; charset=utf-8; format=flowed Bonjour, Y - t- il toujours des salons Jisti, si je ux veux faire des petits échanges avec mes élèves ? Je suis peut-être pas sur la bonne liste ? Merci en tout cas ------------------------------ Subject: Pied de page des remises groupées _______________________________________________ technique mailing list technique at lists.tetaneutral.net http://lists.tetaneutral.net/listinfo/technique ------------------------------ Fin de Lot technique, Vol 113, Parution 2 *****************************************</div>
</div>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20201109/7921ff08/attachment.htm>