un pare-feu derrière un routeur

Salut,

Le point "un pare-feu derrière un routeur" s'intitule dans ton cas "un pare-feu derrière un routeur à translation d'adresse" qui, en effet, ne fait rien rentrer si aucun port n'est configuré pour laisser entrer ...

Dans mon cas le plus courant (ma boite) où l'on a des routeurs qui routent :) des blocs d'ip, on a un pare-feu sur le routeur qui filtre port par port les machines de l'intérieur, en entrant comme en sortant. Très utile pour imposer une politique et contrôler les services autorisés.

Si un client me dit "j'ai un apache et ssh uniquement sur ce serveur" je ne vais ouvrir que 80 et 22 tcp, et d'autres trucs internes (dns & ntp en udp typiquement, et ce uniquement vers les machines dédiées à ces services)

Après, on ouvre aussi en sortie des ports classiques à la demande des clients (http, ssh etc.). Dans le cas contraire, comme tout est fermé, le vilain pirate ne pourra pas faire grand chose :

- pas possible de virer le pare-feu interne de la machine : c'est le routeur qui s'en charge
- pas possible de rentrer autrement que par un service officiellement ouvert (genre faille applicative, toutça)
- une fois entré, pas possible d'aller chercher son script à la mode avec fetch ou wget : cela limite l'usage de bots de piratage parallèles ...
- pas possible d'écouter sur un port exotique pour y laisser une backdoor : ce port sera fermé en entrée sur le routeur.

Bref, cela complique quand même rudement la tâche de piratage.

[ Répondre ]