Pare-feu et antivirus ?

**hipokamp** · 10/02/2016, 17h02

Bonjour,

Je ne vois aucun pare-feu n'y antivirus à défaut dans la distribution DEBIAN.

Alors quelques aimables conseils serait fort appréciés de ma part pour m'indiquer un bon pare-feu et antivirus.

Le mieux avec une jolie interface graphique pour un débutant comme moi...

Merci bcp pour vos conseils ?

**frp31** · 10/02/2016, 18h33

deja avec clamav / fail2ban / iptables t peux vite avoir une station bien secured....tu peux surcharger avec selinux en prime...

**papajoker** · 10/02/2016, 18h44

bonjour,

mais en as tu réellement besoin ?
pour un desktop bureautique derrière une box, le pare-feu n'est pas obligatoire. en graphique tu as gufw

et pour les antivirus, il n'y a rien de très concluant en libre sous linux.

**hipokamp** · 10/02/2016, 19h19

Ah bon pas besoin de pare-feu derrière une box ?
Alors pourquoi est ce indispensable sur Windows ? Linux est-il nativement si costaud ?

**Flodelarab** · 10/02/2016, 19h50

Bonjour

Qui a dit qu'un pare-feu était indispensable sous windows ? Ton vendeur de pare-feu ?

Pour qu'on accède à ta machine de l'extérieur, il faut ouvrir les ports de la box.

N'est-ce pas l'utilité initiale du pare-feu ?

**hipokamp** · 10/02/2016, 20h22

Oui mais toutes les box ( j'ai une free ) on nativement pare-feu ?

**chrtophe** · 10/02/2016, 21h23

Les machines connectés derrière une BOX ne sont pas visibles directement, elles utilisent le NAT, sauf si tu la met en mode routeur/pont :
https://fr.wikipedia.org/wiki/Networ...ss_translation

Le machines ne sont donc pas visibles de l’extérieur. C'est les postes en internes qui ouvrent des connexions vers l’extérieur, et pas l’extérieur vers l’intérieur.

Le NAT n'est pas un pare-feu, mais cela limite les problèmes.

Des serveurs Web étant directement visibles sur le net (ayant une adresse IP publique, dans le cas d'une BOX seule celle-ci a une adresse publique), ils sont derrière un pare-feu qui va par exemple empêcher l'accès extérieur en FTP et autoriser l'accès HTTP.

Les firewalls personnels connus sous Windows vont empêcher une application X d'aller sur Internet (exemple, seul Firefox pourra aller sur le net, le logiciel x ne pourra pas). Mal configuré, il pourra ne servir à rien voire bloquer l'utilisation d'Internet.

**hipokamp** · 11/02/2016, 00h31

Dans le principe je vous comprends. ( Bien qu'avec l'IPV6 le NAT tendra à disparaitre )

Par contre actuellement, moi je suis en clé 3G+ sur SFR avec Windows , je ne sais pas ce que vous en pensez mais je préfère avoir un pare feu. ai-je tord ?

**chrtophe** · 11/02/2016, 07h36

Sous réserve de vérification avec une clé 3G, on est en direct sur le net, il n'y a pas de NAT.

Mais Linux est moins sensible à ce type de problèmes que Windows. Sinon, tu peux utiliser Shorewall qui est une surcouche à iptables plus facile à configurer.

**BufferBob** · 11/02/2016, 07h57

salut,

Envoyé par hipokamp

Oui mais toutes les box ( j'ai une free ) on nativement pare-feu ?

oui, toutes les box actuelles ont un pare-feu activé par défaut en mode "on laisse tout sortir, on laisse rien rentrer", il suffit de lancer un paquet (...) vers l'IP publique d'un internaute lambda pour s'en convaincre : l'IP ne renverra aucun paquet (policy drop)

la Freebox quant à elle repose ni plus ni moins sur un noyau Linux, donc il y a d'office la couche Netfilter comme pare-feu (iptables n'est qu'une interface qui permet de manipuler Netfilter)

pour les antivirus sous Linux, on en trouve aussi, juste qu'ils sont moins mis en avant que leurs homologues sous Windows, pourtant ce sont les mêmes produits :

Edit: oui, avoir un pare-feu bien configuré sur sa machine c'est indispensable, toute la difficulté réside dans le "bien configuré"
quant à la 3G on est comme "mutualisé" avec pleins d'autres mobiles sur une IP de sortie unique du fournisseur (le mobile n'a pas d'adresse IP propre), y'a bien une sorte de NAT (par contre quid des risques de sniffing en sortie du node ? si quelqu'un a l'occasion de faire tourner une wireshark ou t-shark sur son interface 3G ça pourrait être intéressant )

**hipokamp** · 11/02/2016, 16h20

Oui j'ai déjà bien essayé de faire un wireshark mais je ne sais pas l'utilisé, alors j'ai fait un arp -a et plein d'adresse apparaissent en grappe.
On est bien mutualisé avec une clé 3G+.
D'ailleur si je délogue et relogue, mon ip publique change tout en restant sur le même réseau.

Si Netfilter implémente un pare-feu au sein du noyau linux alors Debian en est pourvu, et pourrais être piloté avec iptables, non ?

**BufferBob** · 11/02/2016, 17h25

Envoyé par hipokamp

Si Netfilter implémente un pare-feu au sein du noyau linux alors Debian en est pourvu, et pourrais être piloté avec iptables, non ?

Netfilter est le nom de la couche de filtrage réseau (aka "pare-feu" ;p) dans le noyau Linux, n'importe quelle distribution basée sur Linux dispose nativement de la couche Netfilter, l'installation d'iptables est en général triviale

en revanche il faut comprendre qu'il ne s'agit pas d'un firewall "applicatif" comme sous Windows, il s'agit uniquement d'un firewall réseau, c'est à dire que la couche Netfilter permet de spécifier quels paquets réseau laisser passer ou non, mais ne les relie pas à un exécutable ou un processus lancé, si on décide d'ouvrir le port 80 en sortie, tous les programmes peuvent envoyer des paquets dehors sur le port 80 sans distinction, un fonctionnement similaire au ICF Windows (Internet Communication Firewall) n'existe pas sous Linux (il y a eu des tentatives, mais rien n'a tenu sur la durée)
pour une granularité plus fine (et aussi beaucoup plus de boulot pour le configurer) il faudra alors s'orienter vers des choses comme AppArmor, Selinux ou plus généralement les capabilities du noyau, en clair; adieu les clics, bonjour la doc

**hipokamp** · 11/02/2016, 19h02

Aie pas envie de me compliquer trop et je suis pas un expert en plus.

moi j'ai comodo sur windows... Y'a t'il un firewall qui s'en rapproche sous Debian ( graphique et applicatif ) ?