Configuration pare-feu

Privilégier un niveau de sécurité maximum

. Sécurité
. Règles Pare-feu
. Services sortants

Règles Pare-feu

Services sortants

# Activer Nom du service Action Utilisateurs LAN Serveurs WAN Journal

1 DNS ALLOW always 192.168.0.2-192.168.0.3 Any Never

2 FTP ALLOW always 192.168.0.2-192.168.0.3 Any Never

3 POP3 ALLOW always 192.168.0.2-192.168.0.3 Any Never

4 SMTP ALLOW always 192.168.0.2-192.168.0.3 Any Never

5 HTTP ALLOW always 192.168.0.2-192.168.0.3 Any Never

6 HTTPS ALLOW always 192.168.0.2-192.168.0.3 Any Never

7 NNTP ALLOW always 192.168.0.2-192.168.0.3 Any Never

8 BitTorrent ALLOW always 192.168.0.2 Any Never

9 Gestion à distance ALLOW always 192.168.0.2 Any Never

10 LivePass1 ALLOW always 192.168.0.2-192.168.0.3 Any Never

11 LivePass2 ALLOW always 192.168.0.2-192.168.0.3 Any Never

12 Any(ALL) BLOCK always Any Any Never

Par défaut Oui Indifférent Toujours PERMETTRE Indifférent Indifférent Jamais

Services entrants

# Activer Nom du service Action Adresse IP serveur LAN Utilisateurs WAN Journal

1 BiTorrent ALLOW always 192.168.0.2 Any Never

2 FTP ALLOW always 192.168.0.2 Any Never

Par défaut Oui Indifférent Toujours BLOQUER Indifférent Indifférent Jamais

- Règles de base pour autoriser la Navigation Internet et l'envoie/réception d'e-mail (règles 1 à 7)

Créer une règle pour autoriser (ALLOW always) les services (déjà pré configurés) DNS, FTP, SMTP, HTTP, HTTPS, NTTP pour les adresses IP des PC qui doivent avoir une connexion Internet (dans mon exemple de configuration seulement les deux PC en 192.168.0.2 et 192.168.0.3).

Créer ensuite un service POP3 en TCP et port 110 (règle 3).
Créer une règle pour autoriser également ce service aux PC disposant d'un accès Internet.

- Règles spécifiques d'autorisation (règles 8 à 11)

Comme pour la règle 3, créer les services dont vous avez besoin et créer ensuite une règle d'autorisation pour les PC concernés.

Dans mon exemple de configuration :
. BitTorrent en TCP et ports 6881 à 7881 pour le PC en 192.168.0.2
. Gestion à distance en TCP et port 8080 pour autoriser le PC en 192.168.0.2 à gérer à distance par Internet l'interface de configuration d'un autre routeur
. LivePass1 et LivePass2 en TCP et respectivement en port 554 et 1755 afin d'autoriser les PC en 192.168.0.2 et 192.168.0.3 à profiter du service LivePass (bouquet de chaînes de télévision) de Club-Internet

- Règle bloquante (règle 12)

Créer une règle bloquant (BLOCK always) tous les services (Any(ALL)) sur l'intégralité du réseau Any, aussi bien en LAN (réseau local) qu'en WAN (Internet).

- Attention de bien respecter l'ordre des règles sortantes.
Les règles d'autorisation doivent toujours être interprétées par le routeur avant la règle bloquante.

- Cette configuration vous procure une sécurité optimale, puisque vous autorisez uniquement les ports sortants nécessaires, tout le reste étant systématiquement bloqué.
Cette configuration est par contre beaucoup plus lourde à mettre en place.
A chaque nouvelle application spécifique (P2P, etc ...) vous devrez déterminer quels sont les ports à ouvrir et créer autant de nouveaux services et de nouvelles règles d'autorisation.