Bonjour
 
 
j'héberge un serveur et je me suis fait la réflexion suivante :
 
J'ai un firewall matériel (routeur/firewall netgear) dispatchant ma connexion internet sur un réseau de 4 machines , dont le fameux serveur .
Dans les règles d'entrée , j'ai autorisé les services que chacune de mes machines utilise notemment ceux du serveur en question . En revanche , par défaut , mon firewall autorise tout en sortie .
 
L'idée que je m'étais faite est que le principal risque d'intrusion sur mon réseau vient de mon serveur (celui-ci étant un serveur linux) . J'ai constaté que toutles services (au sens large du terme) que je propose sur mon serveur utilisent des ports inférieur au 1024 (apache 80 , ftp 21 , ssh 22) . Je suis donc parti dans l'idée qu'il est inutile de laisser certaine porte ouverte , autrement dit je me dis qu'il serait bon de tout simplement fermer en sortie les port de 1024 à 65535 , afin de couper court purement et simplement à toute attaque de l'intérieur (je pense à des lkm ou autre rootkit, ou ddos via ma machine etc..) .
Est-ce une bonne idée ? Celà ne posera-t-il pas de problème dans la mesure où mes services ne seront pas dérangés ?
 
merci de vos réponses

ouais mais le probleme que tu vas avoir ... c'est que le serveur sera joignable mais le net sera inaccessible ... parce que si ta machine de bureau se sert du port 80 pour les réponse du server, elle se sert d'un port au hasard supérieur a 1024 pour envoyer ses requetes au serveur qui lui les recois sur son port 80
 
donc si tu bloques tous les ports supérieurs a 1024, ton serveur sera, je crois, accessible mais tes autres machines ne pourront plus aller sur le net !!! ...

Ca dépend si le fw du Netgear est stateful ou pas  (en général, ils appellent ça SPI ou Stateful Packet Inspection sur les routeur SOHO)
 
Sa façon de voir, je la connais vu que c'est celle que j'ai appliqué depuis 3-4 ans déjà mais sur un fw linux (iptables/netfilter), donc je sais pas si c'est transposable sur le Netgear (je connais pas ses capacités réelle, pas la plaquette marketing ... )
 
Faut essayer, c'est le meilleur moyen de savoir AMHA

le firewall permet d'integrer en entrée comme en sortie des regles suivant les services que l'on créé manuellement :
 
on donner les infos suivante :
- le nom du port
- le numero de port
- si c'est de l'udp ou tcp
- vers quelle machine appliquer cette règle*
 
* C'est justement cette derniere directive qui , logiquement , devrait outrepasser le fait que mes autres machines n'auront pas accès au net . Si je n'applique cette regle particuliere qu'à mon serveur , les autres ne seront pas embetées si je ne m'abuse ?

On ne peux pas geré ca en testant established

Sachant que si tu bloque les ports en sortie, même avec un fw stateful tu peux avoir des problemes avec FTP qui ouvrent des ports n'importe où. Dans ce cas là il faut passer par un proxy.
http://openbsd.md5.com.ar/faq/pf/fr/ftp.html

ou FTP en passif