Discussion :

[Artemus24]

Salut à tous.

Je désire faire l'acquisition d'un routeur dont voici les principales caractéristiques que je recherche :

1) routeur sans modem.
Le routeur est destiné à être branché sur la Box ADSL SFR que je possède.
Comme celle-ci risque d'être changée en une Box fibre optique, ce routeur doit rester compatible !

2) le wifi en dual band avec surtout les dernières normes 802.11AC & 802.11N.
Il peut posséder les anciennes normes : 802.11B & 802.11G.

3) sécurité du Wifi (wep / wpa / wpa2 avec TKIP / AES) avec filtrage des adresses MAC.

4) DHCP --- DNS --- PAT/NAT

5) gestion IPv4 et compatible avec l'IPv6.

6) gestion des pings / upnp / dmz

7) le point le plus important : un pare-feu très complet !
Genre filtrage des flux entrants et sortants concernant le web, c'est-à-dire :
--> interdire des flux venant de certains pays d'une manière globale.
--> interdire l'accès à des sites, par le nom du site mais aussi par l'adresse IP.
--> gestion VPN
--> gestion des emails, histoire de bloquer tout ce qui est spam, ...

8) serveur de fichiers genre samba
Mais aussi NFS (Network File System) ou son équivalent afin d'avoir un serveur TFTP (trivial file transfer protocol).
C'est destiné à gérer du matériel à distance sans disque dur.
Il est fort probable que cela va se gérer dans un NAS, mais si c'était déjà incorporé dans un routeur, ce serait bien.

En fait, je recherche quelque chose de ressemblant à une box améliorée, avec un haut niveau de sécurité (genre par-feu).
Je ne sais pas trop ce dont j'ai besoin afin d'améliorer la sécurité de mon réseau local.

J'ai pensé à un D-LINK DSR-1000AC mais je ne suis pas certain que cela corresponde à mon attente.
Il est peut-être un peu trop compliqué à configurer.

J'avais une préférence pour du CISCO, mais je n'ai rien trouvé d'intéressant.

Que me conseillez-vous ?

@+

[JML19]

Bonjour

Le routeur choisi est un Dual WAN, c'est à dire qu'il permet deux liaisons internet pas deux FAI différents, c'est ce que tu veux ?

[chrtophe]

Si tu veux un routeur avec pare-feu intégré, regardes chez Zyxel.

Pour le reste il te faut un NAS. Les synology gère le tftp.

[Artemus24]

Salut à tous.

c'est ce que tu veux ?

Ce routeur D-LINK DSR-1000AC n'est pas mon choix personnel, mais c'est ce que LDLC m'a conseillé quand je leur ai demandé un routeur avec un haut niveau de sécurité.
Ils ne se sont pas génés pour me donner le routeur le plus cher !

Pour répondre à la question, c'est NON. J'ai qu'un seul FAI et c'est SFR.

Si tu veux un routeur avec pare-feu intégré, regardes chez Zyxel.

Mais encore ? C'est vague comme proposition.
Avez-vous un routeur en particulier, avec un pare-feu de haut niveau et sans modem intégré ?

Pour le reste il te faut un NAS. Les synology gère le tftp.

Je me doutais que d'avoir tout en un, était trop demandé.

@+

[chrtophe]

Mais encore ? C'est vague comme proposition.

Ils vendent des routeurs Zyxel, chez LDLC, jetes un oeil, mais selon ton budget, tu n'auras pas forcément ce que tu veux.
haut niveau de sécurité=haut tarif.

[Artemus24]

Salut à tous.

Je viens de jeter un coup d'oeil, chez LDLC et je n'ai rien trouve de probant :
--> https://www.ldlc.com/informatique/re...000005198.html

Ou bien, ils sont avec modem, ce que je ne veux pas, ou bien ils ne sont pas compatibles IPv6.

Il est très difficile de choisir son routeur sans modem, car les explications ne sont pas clairs, quand il y a des explications.

Si vous avez d'autres suggestions, je suis preneur. Merci à vous deux.

@+

[JML19]

C'est un peu compliqué ce que tu cherches, tu associes beaucoup d'appareil en un seul => https://www.ldlc.com/fiche/PB00210856.html

http://downloads.linksys.com/downloa...4.pdf#page=129

[Artemus24]

Salut JML19.

Merci de vous intéresser à mon futur achat.

Dois-je supposer que ce modèle "EA9500" correspond au haut de gamme des routeur chez LinkSys ?
Juste une remarque, il s'agit de la version 1 du modèle EA9500. Il existe aussi une version 2, donc une version plus récente ! Mais où la trouver ?

J'ai lu le PDF, et je constate que la partie française y est deux fois.
J'ai fait aussi une recherche sur le net et à l'inverse de D-Link, je trouve que ce routeur EA9500 est bien documenté.
--> https://www.linksys.com/ca/fr/suppor...icleNum=263808
--> https://www.linksys.com/fr/support-a...eNum=178069#H1

Il y a des fonctionnalités intéressantes dans ce routeur. Par exemple :
--> plan du réseau local.
--> gestion des invités.
--> gestion des priorités du trafic.
--> test de vitesse.
--> serveur FTP.

Dans la page "sécurité", je n'ai pas vu la partie consacré au NAT/PAT (redirection des ports aussi bien pour l'IPv4 & l'IPv6)?
Ce qu'il nomme FireWall doit correspondre à cette partie, mais elle me semble incomplète.
A vrai dire, je n'ai pas vu le détail de ce qui est proposé, en lisant le document PDF.

On trouve pour le VPN : IPsec, PPTP et L2TP

Il y a même un onglet consacré aux gamers.

La gestion du sans fils (Wifi) est très complète.

Il y a même une gestion du dépannage (troubleshooting).

Mais par contre, il n'y a pas dans la documentation (???) :
--> gestion du DHCP.
--> gestion du DNS.
--> gestion de la table de routage ??? Pour un routeur c'est surprenant !
--> UPnP
--> SIP ALG
--> GRE
--> blocage des pings entrants

Ce routeur sans modem a l'air d'être très intéressant comparé au D-Link DSR-1000AC.

Je ne suis pas du tout familiarisé avec les routeurs.
Je connais ma box SFR NB4v2 ainsi que le modem/routeur D-Link DSL-320B qui est basique.
J'aimerai retrouver les mêmes fonctionnalités de ma box SFR NB4v2 mais en mieux.
Il est vrai que je recherche un produit tout-en-un, comme une box.
Ce qui est secondaire pour moi, mais non dépourvu d'intérêt, le VPN et tout ce qui concerne le cryptage des flux.

Voici quelques questions :

1) est-ce LinkSys, pour les particuliers, est leader pour les routeurs ?

2) pourquoi chrtophe m'a conseillé Zyxel ? Peut-être parce qu'il possède déjà un produit de cette marque ?

3) comparativement, qui est le mieux LinkSys ou Zyxel ?

4) Peut-être que je fais un mauvais choix en ce qui concerne un routeur et que je devrais plutôt choisir un pare-feu matériel.
Sauf que je ne sais pas trop ce qui se cache derrière le mot "firewall" matériel.
J'ai l'impression que c'est très différent de celui de Windows ou de ma raspberry ("iptables").
J'insiste sur le fait que je recherche un moyen de mieux contrôler les flux entrants et sortants de mon réseau local :

Dans Windows, pour Google Chrome, j'ai autorisé que les port 80, 443 & 8080.
Sauf que par ces ports peuvent transiter autre chose que des requêtes HTTP & HTTPS. Et tout le problème est là !
Mais je vais encore plus loin, en désirant aussi filter par :
--> les noms de site
--> les adresses IPv4 & IPv6
Par exemple, interdire des plages d'adresses correspondant à des pays.
Ou encore filtrer les emails dont je connais les origines.

Est-ce que je me trompe en disant que la sécurité concerne le routeur ?

@+

[chrtophe]

Tu manques de compétences dans le domaine, et tu mélanges tout. Quels sont tes besoins ?

Prends-donc un modèle grand-public.

J'ai proposé Zyxel, car je sais qu'ils ont des routeurs avec pare-feu intégré. Si un linksys a la même fonctionnalité, il conviendra.

iptables maitrisé te fera la même chose qu'un pare-feu intégré au routeur. Le pare-feu intégré au routeur sera mieux pour toi, car plus simple à configurer, et cadré.

Dans Windows, pour Google Chrome, j'ai autorisé que les port 80, 443 & 8080.
Sauf que par ces ports peuvent transiter autre chose que des requêtes HTTP & HTTPS. Et tout le problème est là !

Ben oui, pour analyser cela il te faut des routeurs hauts de gamme faisant du Deep Packet Inspection. Ce qui n'est pas à portée du grand-public.

gestion du DHCP

c'est une option de base incluse dans tous les routeurs grand-public

gestion du DNS

Ce n'est pas au routeur de gérer ça, la seule chose étant de pouvoir les fixer dans les réglages de la plage DHCP.

gestion de la table de routage ??? Pour un routeur c'est surprenant !

Un routeur grand-public est cadré, et ici encore une fois il faut maitriser le sujet. Les options de bases suffisent en général.

UPnP

non maitrise=faille de sécurité

SIP ALG

Tu fais de la téléphonie IP ? Dans ce cas laisses ta box gérer.

GRE

Ce n'est pas à toi de gérer mais à l'infrastructure sur laquelle tu te raccordes, périmètres des FAI et des gros services informatiques (du moins à mon avis).

Pour le filtrage, tu peux envisager l'installation d'un proxy, qui pourras te filtrer des URL, des IP facilement. Pour avoir Internet, tu te connectes sur le proxy. Au niveau du Firewall, tu n'autorise l'http et htps (voire ftp) que pour le proxy, celui-ci ayant une carte réseau dans le LAN, et une autre vers le Firewall. Et tu autorises les ports pouir la messagerie, et d'autres si besoin en gardant l'idée qu'un port ouvert=1 risque potentiel en plus.

[JML19]

Bonjour

Je crois que chrtophe l'a dit mieux que moi, tu mets plusieurs appareils en un seul, ce n'est pas évident.

Dans ce cas il est difficile de trouver une notice expliquant tous les tenants et aboutissants d'un modèle

Pour être sur il faudrait que tu puisses tester toi même ce modèle.

N'oublies pas la Box est un modem routeur pas un routeur.

C'est pour cela qu'elle intègre des fonctionnalités qui tapent un peu partout, elle sera l'appareillage unique chez beaucoup d'internaute.

[Artemus24]

Salut à tous.

Tu manques de compétences dans le domaine, et tu mélanges tout.

Je n'ai jamais dit que j'étais un spécialiste réseau. Mais en bidouillant dans un vrai routeur, peut-être que j'arriverai à me perfectionner.

Quels sont tes besoins ?

Je l'ai déjà dit : augmenter la sécurité de mon réseau local. D'où la nécessité d'avoir un firewall dans le routeur.
Filtrer le flux entrant des protocoles HTTP & HTTPS par les adresses IPv4 & Ipv6.
Interdire l'accès à certains sites.
Filtrer les emails d'une manière plus fine.
J'ai déjà indiqué tout cela dans mes messages précédents. Peut-être que je me fais une fausse idée de ce que peut faire un Firwall matériel.

Prends-donc un modèle grand-public.

Ne sont-ce pas des modèles grand public le D-Link, le Linksys ou encore le Zyxel ?
D'après le wikipedia sur les routeurs, c'est le cas, ce sont des modem/routeurs pour particuliers, voire pour petites entreprises.

J'ai proposé Zyxel, car je sais qu'ils ont des routeurs avec pare-feu intégré. Si un linksys a la même fonctionnalité, il conviendra.

Le D-link que j'ai proposé aussi, non ? Il y a juste une chose que je ne sais pas, en quoi consiste exactement un pare-feu dans un routeur ?
Ma confusion vient des pare-feu logiciels qui sont plus fin en terme de filtrage.

iptables maîtrisé te fera la même chose qu'un pare-feu intégré au routeur.

Je le sais ça. Ce que je cherche à faire, c'est dégrossir le flux qui arrive depuis internet afin de ne traiter que ce qui m'intéresse et rien d'autre, ainsi qu'interdire le flux sortant.

Le pare-feu intégré au routeur sera mieux pour toi, car plus simple à configurer, et cadré.

Peut-être. Je ne sais pas trop répondre à cette question car j'ai un manque d'expérience dans ce domaine.
N'empêche que je suis arrivé à obtenir uniquement des "stealth" sur mes 1056 premiers ports de ma box.

Les fonctionnalités de base que je désire gérer sont : http / https, ftp, ssh, voip, vpn.
Je désire faire le gros du travail par le firewall du routeur et ponctuellement gérer dans le pare-feu logiciel de Windows ou de mes Raspberry.

pour analyser cela il te faut des routeurs hauts de gamme faisant du Deep Packet Inspection.

C'est ce genre de conseil que je recherche. Est-ce que le Linksys EA9500 le fait ?

Fais-tu de la téléphonie IP ? Dans ce cas laisses ta box gérer.

C'est un de mes projets : acheter un téléphone voip et le configurer.

Ce n'est pas à toi de gérer mais à l'infrastructure sur laquelle tu te raccordes, périmètres des FAI et des gros services informatiques (du moins à mon avis).

Un autre projet : utiliser OpenVPN. J'ai déjà fait un test entre deux ordinateurs sur internet, mais pas encore en ayant un compte VPN.

Pour le filtrage, tu peux envisager l'installation d'un proxy

Je ne comprends pas trop en quoi un proxy pourrait m'aider.

Pour être sur il faudrait que tu puisses tester toi même ce modèle.

Et je fais comment ? On ne va certainement pas me prêter un routeur pour que je bidouille dedans.
D'où des conseils afin de ne pas me planter dans cet achat.

On progresse car je n'aurai pas trouvé sans vous ce LinkSys qui est fort intéressant !
Christophe et vous-même, avez-vous un routeur chez vous (autre qu'une box) ? Si oui lequel ? Et que faites-vous avec ?

@+

[JML19]

Le vrai rôle d'un routeur c'est de séparer des réseaux LAN, c'est grâce à eux que l'on constitue des WAN.

En gros à la louche :

- Un Routeur sépare physiquement (par les plages IP) des réseaux LAN pour fabriquer un WAN.

- Un Proxy gère les accès, on appelle cela un serveur mandataire.

- Un Pare-Feu (FireWall) protège les accès.

Il faut comprendre qu'entre gérer et protéger les accès la barrière est mince, c'est pour cela que souvent on associe les deux fonctions Proxy et FireWall.

Il ne manque plus que d'insérer tout cela dans un routeur pour ajouter à la séparation IP la gestion des noms d'utilisateurs et de domaine.

Il reste pourtant une fonction la gestion des machines, les noms NetBIOS des machines, le serveur s'appelle serveur Wins le fichier correspondant est le lmhosts.

Tout cela est géré par un serveur de domaine avec Active Directory.

[chrtophe]

Envoyé par chrtophepour analyser cela il te faut des routeurs hauts de gamme faisant du Deep Packet Inspection.


C'est ce genre de conseil que je recherche. Est-ce que le Linksys EA9500 le fait ?

Non, fonctionnalité non disponible au grand-public, très cher et nécessité un haut niveau de compétence pour être utilisé.

Pour la téléphonie, tout dépend de ce qui t'ai fourni par ton prestataire. Ex : OVH, tu as un téléphone qu'ils te fournissent que tu branches sur n'importe quelle ligne Internet, et ça fonctionne, rien à configurer. Tu n'as pas accès aux réglages du téléphone. Si tu utilises SIP, il faut comprendre que ton tél. se connecte à un serveur, avec des droits, qui va définir ce que tu peux faire, ex: téléphoner à un tél mobile, utiliser ton compte SIP depuis n'importe où ou uniquement le réseau de ton opérateur, depuis n'importe quel appareil (ou logiciel SIP appelé aussi softphone) ou un seul, etc.

Certains Firewalls grand-publics intègrent OpenVPN pour faire du VPN (vu que c'est gratuit). L’intérêt de l'avoir dans l'appareil plutôt que de l'installer en serveur sur un poste est que se sera cadré dans une interface graphique (options limitées mais plus simple, en général suffisant). Les équipements plus professionnels proposent un logiciel client à installer pour les postes à l’extérieur.

avez-vous un routeur chez vous (autre qu'une box) ?

Non, inutile pour moi. Je n'ai aucun port ouvert en NAT, pas besoin. La téléphonie de base fournie par la box tel quel me convient. Le NAT fait déjà office de filtrage dans le sens ou la connexion doit être initiée par un poste interne. En général les malwares communiquent vers l’extérieur en https, donc ça passe les firewalls de toute façon. Dans ce cadre, un firewall personnel me suffirait, et tout comme un firewall matériel, mal réglé, il ne sert à rien, il faut donc comprendre à minima ce que l'on fait por que ça ai une utilité, et dans ce sens, les solutions Internet Security te machent le travail, mais il faut comprendre que de toute façon ça te protègera pas à 100%, notamment si tu as de mauvaises pratiques comme travailler en admin et ouvrir un exe qui vient de l’extérieur.

Je ne comprends pas trop en quoi un proxy pourrait m'aider.

Un proxy est un serveur qui est entre toi et Internet. Il peut servir de cache, mais aussi être filtrant (interdire certaines IP, domaines, etc). Avec un Proxy tu peux aller sur Internet sans avoir de passerelle sur ton poste par exemple. Dans ce cas de figure, ton LAN n'est pas connecté directement au routeur, le proxy ayant une carte réseau connecté à celui-ci, et une carte réseau connecté au LAN. On peut appliquer cette méthode en ayant un serveur mail en interne avec deux cartes réseaux, une sur le LAN et une sur le WAN. Il est possible de faire un proxy socks. On ne monte pas un proxy pour juste un poste chez soi.

[Artemus24]

Salut JML19.

Le vrai rôle d'un routeur c'est de séparer des réseaux LAN, c'est grâce à eux que l'on constitue des WAN.

Autant je suis d'accord avec vous sur le fait de séparer des réseaux locaux (LAN), autant une multitude de réseaux locaux ne font pas un réseau étandu (WAN).

Le rôle d'un routeur est de filtrer les adresses IP d'un réseau local vers un autre réseau local.
C'est pourquoi, le routeur (ou la box) possède une adresse de réseau et c'est sur ce critère que l'on laisse passer ou pas le flux entrants.
Et dans ce réseau local, il y a une multitude de périphériques comme des ordinateurs, des imprimantes, des NAS, où l'on est obligé de gérer différents protocoles afin de les faire communiquer entre eux.

Dans un réseau étendu, il n'y a qu'un seul type de périphérique, les routeurs et rien d'autre. Et il y a qu'un seul protocole à savoir TCP/IP.
Si vous avez besoin d'acheminer quelque chose, cela se fait par encapsulation de vos paquets dans la trame TCP/IP.

Dans un réseau étendu, il n'y a pas de filtrage, juste du routage.
Ce qui veut dire que le chemin n'est pas toujours le même et s'adapte en fonction du trafic.
Si un routeur vient à tomber en panne, et bien c'est pas grave, le flux trouvera un autre chemin.
C'est l'organisation en réseau, genre toile d'araignée (Spider web) que l'expression web est venu.

Deux réseaux locaux font encore un réseau local et non un réseau étendu.
Par exemple, les réseaux d'entreprises sont des réseaux locaux, avec des sous-réseaux gérés par des routeurs et ainsi de suite.
Sauf que ces routeurs font du filtrage à partir d'une épine dorsale (backbone) qui est de la fibre optique.

Il va de soi que le routeur d'entreprise ou celui que l'on a chez soi n'est pas du tout le même que celui utilisé à l'extérieur dans le réseau étendu.
Pourquoi ? Parce que le câble utilisé n'est pas de l'Ethernet mais du câble téléphonique, à deux brins.
Et pour se brancher sur un câble téléphonique, il faut un modem, et derrière, ce trouve d'autres appareils comme un PABX IP pour acheminer l'information.
A vrai dire, derrière ma prise murale téléphonique, je ne sais pas trop ce qui se passe et cela ne m'a jamais trop intéressé vu que je n'y ai pas accès.

Un Proxy gère les accès, on appelle cela un serveur mandataire.

Le proxy est une application qui gère les accès entre deux réseaux, et de ce fait, il se situe au niveau 7 (couche application) du modèle OSI.
Il a plutôt le rôle d'une passerelle. A part ça, je n'en sais pas plus, vu que je ne l'ai jamais utilisé.
--> https://www.culture-informatique.net...serveur-proxy/

Et comme je le suppose, il faut s'abonner à un serveur proxy qui est nécessairement à l'extérieur de mon réseau local.
Pour l'instant, Je ne vois pas trop l'intérêt dans utiliser un.

Un Pare-Feu (FireWall) protège les accès.

On revient toujours au pare-feu qui est ma demande première.

Il faut comprendre qu'entre gérer et protéger les accès la barrière est mince

Il y a peut-être une subtilité entre gérer et protéger, mais là, je ne vois pas du tout.
C'est pourquoi, j'ai plutôt utiliser le terme filtrer qui selon moi correspond bien à l'usage d'un pare-feu (laisser passer ou interdire).

Il reste pourtant une fonction la gestion des machines, les noms NetBIOS des machines, le serveur s'appelle serveur Wins le fichier correspondant est le lmhosts.

A vrai dire, j'utilise le DNS pour accéder à mes périphériques, c'est-à-dire l'association entre une adresse IP et un nom d'hôte, comme dans un serveur DNS ou dans le fichier hosts.
D'autre part, il y a netbios avec les ports 137, 138, 139 qui sont utilisés avec SAMBA, ainsi que 135 et le fameux 445.
Comme c'est interne à mon réseau local, cela ne me pose pas de problème. De plus, chez SFR, les cinq ports 135, 137, 138, 139, 445 ne peuvent pas servir pour transiter des informations sur le net.
Autrement dit, le travail de filtrage est déjà fait pas SFR.

Tout cela est géré par un serveur de domaine avec Active Directory.

Peut-être, mais on s'écarte un peu de ma demande initiale, à savoir l'achat d'un routeur avec un pare-feu intégré.

Merci quand même de votre participation, JML19.

@+

[Artemus24]

Salut chrtophe.

Non, fonctionnalité non disponible au grand-public, très cher et nécessité un haut niveau de compétence pour être utilisé.

C'est toujours bon à savoir que cela n'est pas disponible pour le grand-public.

Pour la téléphonie, tout dépend de ce qui t'ai fourni par ton prestataire.

Mon FAI Altice (anciennement SFR) actuellement ne fournit aucune ressource pour faire de la voip.
Avant chez SFR, il y avait un service d'accès à un serveur voip qui a été stopper lors du rachat par Altice.

Je vais passer par un service extérieur à mon FAI pour accéder à la téléphonie VOIP.
Par exemple skype fournit un tel service qui est gratuit si tu passes par la vidéo mais payant si tu passes par le téléphone.

Oui, il s'agit bien de voip/sip que je vais utiliser.

Certains Firewalls grand-publics intègrent OpenVPN pour faire du VPN (vu que c'est gratuit).

Quelle partie ? Je suppose la partie cliente.
L'installation n'est pas si compliqué à faire, vu que je l'ai déjà fait.
C'est la partie configuration, avec les certificats qui sont un peu plus compliquer à faire.
Je l'ai déjà utiliser, histoire de voire comment cela fonctionnait, et surtout pour être vu avec une autre adresse IP que la mienne.

Dans un routeur, je n'ai pas compris en quoi consiste la gestion VPN.
Est-ce par rapport à la gestion des ports ou des flux ?
Ou bien est-ce par un logiciel déjà intégré ?

En général les malwares communiquent vers l’extérieur en https, donc ça passe les firewalls de toute façon.

Pas d'accord avec vous. Un pare-feu se configure aussi en bloquant le flux sortant.
C'est ce que j'ai fait aussi bien dans Windows que dans ma raspberry.

Par contre, ce que l'on nomme firewall dans la box de chez SFR est en fait un NAT et bloque que le flux entrant.
D'où mon intérêt d'avoir un autre routeur ayant une fonctionnalité firewall plus performante, à l'identique du pare-feu linux (iptables).

et dans ce sens, les solutions Internet Security te mâchent le travail

Si vous parlez logiciel, cela ne m'intéresse pas. J'ai déjà testé Kaspersky Internet Security ainsi que Comodo.
C'est payant (licence), compliqué à mettre en oeuvre et ne fonctionne pas comme je le voudrais.
J'ai trouvé que iptables et le pare-feu windows correspondent mieux à mes attentes.
D'où mon envie de transposer cela dans un routeur afin de simplifier la gestion de mes pare-feu.

P.S.: quand je parle de pare-feu, je parle logiciel et quand je parle de firewall, je parle matériel, histoire de faire une distinction.

mais il faut comprendre que de toute façon ça te protégera pas à 100%

Oui, je le sais, mais je vous rassure, je ne clique pas sur tout ce qui bouge !
Parfois, il y a des malewares qui sont installés à lin insu, comme celui dans ccleaner.
J'ai bien constaté le maleware mais il a été inefficace à cause de mon pare-feu, vu qu'il est bloquant pour le flux sortant.
Mais ça, je ne peux rien faire contre l'installation inopiné des malewares.

Dans ce cas de figure, ton LAN n'est pas connecté directement au routeur, le proxy ayant une carte réseau connecté à celui-ci, et une carte réseau connecté au LAN.

Justement, je veux éviter d'avoir une passerelle intermédiaire entre le routeur et mes ordinateurs.

@+

[chrtophe]

Le rôle d'un routeur est de filtrer les adresses IP d'un réseau local vers un autre réseau local.

Absolument pas, c'est de créer une route entre deux réseaux, d'éventuelles options de filtrages sont annexes, tt c'est pas la fonction de base.

Quelle partie ? Je suppose la partie cliente.

Pour openvpn, dans le routeur, se sera la partie serveur.

En général les malwares communiquent vers l’extérieur en https, donc ça passe les firewalls de toute façon.
Pas d'accord avec vous. Un pare-feu se configure aussi en bloquant le flux sortant.

Si ton poste initie un trafic en https vers l’extérieur, en ouvrant une page web par exemple, le firewall le laissera passer. Si c'est un malware sur ton poste qui fait la même chose, il le laissera passer aussi. Le firewall logiciel sur le poste pourra te sauver si il est réglé pour ne laisser que le navigateur aller sur Internet par exemple, et encore c'est contournable.

Le fait d'être en IPv4 avec NAT fait déjà un filtrage car c'est le poste interne qui initie une communication vers l’extérieur, à moins d'ouvrir des ports ce qui en usage normal n'est pas à faire.

Il ne sert à rien d'investir dans un firewall si tu n'en maitrise pas le fonctionnement.

[gangsoleil]

Hello,

J'arrive un peu tard dans la discussion, mais pourquoi pas un turris omnia ? https://omnia.turris.cz/en/

[Artemus24]

Salut Chrtophe.

Absolument pas, c'est de créer une route entre deux réseaux, d'éventuelles options de filtrages sont annexes, tt c'est pas la fonction de base.

Définition du mot routage : déterminer la route à suivre. Comment cela se fait : Par les adresses IP.
Définition du mot filtrage : limiter les accès. Comment limite-t-on les accès ? Aussi par les adresses IP.
Les deux termes sont synonymes dans le cas du routeur.

Quand je parle d'adresse IP, je pense aussi aux adresses MAC qui servent à identifier le materiel.

Et comment fait-on le filtrage dans un routeur ? Entre autre par le NAT (Network address translation) : traduction d'adresse réseau.
C'est là, qu'on autorise le flux entrant à se diriger vers tel ou tel périphérique identifié par son adresse MAC.
Si cette fonction n'existait pas, un routeur ferait du broadcasting, c'est-à-dire de la diffusion à l'ensemble des machines d'un réseau.
Or cette technologie correspond à un pont ou bridge.

Pour openvpn, dans le routeur, se sera la partie serveur.

Et où va-t-on gérer les certificats ?

Le firewall logiciel sur le poste pourra te sauver si il est réglé pour ne laisser que le navigateur aller sur Internet par exemple, et encore c'est contournable.

Dans quelle mesure, si j'ai créé une règle sur Google Chrome, uniquement sur les ports 80 (HTTP) et 443 (HTTPS), ont peut contourner cela ?
Et surtout pout faire quoi avec ce contournement ? Le port 80 est une autoroute pour les hackers.

Le fait d'être en IPv4 avec NAT fait déjà un filtrage car c'est le poste interne qui initie une communication vers l’extérieur, à moins d'ouvrir des ports ce qui en usage normal n'est pas à faire.

Je le sais, et c'est pourquoi je recherche dans le routeur un firewall qui filtre aussi bien le flux entrant que sortant.
Or ceux que j'ai vu, n'ont que le filtrage sur le flux entrant, entre autre le NAT.

A l'inverse pour les pares-feux, le filtrage se fait par le programme, ce que l'on ne peut pas faire dans un routeur.

Il ne sert à rien d'investir dans un firewall si tu n'en maitrise pas le fonctionnement.

Je maitrise le fonctionnement puisque j'ai configuré aussi bien le pare-feu de windows que celui de ma raspberry.
Sauf que le pare-feu est bien plus souple à l'usage que le NAT dans le routeur, qui est très limité dans ses fonctionnalités.

J'arrive un peu tard dans la discussion, mais pourquoi pas un turris omnia ?

Non, pas du tout. Vous êtes le bienvenue.
Je ne recherche pas un routeur basique, mais un routeur avec des fonctionnalités de firewall.
C'est-à-dire ayant la possibilité de filtrer aussi bien les flux entrants que sortants, mais pas uniquement.
Je recherche le moyen de contrôler la conformité des paquets HTTP & HTTPS.
Mais aussi d'interdire les sites, par leur nom d'hôtes et par les adresses IP. Ainsi que filtrer les emails.

@+

[gangsoleil]

Non, pas du tout. Vous êtes le bienvenue.
Je ne recherche pas un routeur basique, mais un routeur avec des fonctionnalités de firewall.
C'est-à-dire ayant la possibilité de filtrer aussi bien les flux entrants que sortants, mais pas uniquement.
Je recherche le moyen de contrôler la conformité des paquets HTTP & HTTPS.
Mais aussi d'interdire les sites, par leur nom d'hôtes et par les adresses IP. Ainsi que filtrer les emails.

Sauf erreur de ma part, le turris omnia est justement un routeur très complet. Tu trouveras un exemple d'installation sur la page de Stéphane Bortzmeyer : http://www.bortzmeyer.org/turris.html, ca devrait te donner un bon aperçu si je me rappelle bien.

[Artemus24]

Salut GangSoleil.

Merci pour le lien. En effet, je retrouve bien la partie consacré au pare-feu, telle que je la connais sous ma raspberry.
Table Filter avec chain input, output et forward.

@+