Tu dois surement l'entendre de ton Sys Admin régulièrement : "c'est le pare-feu qui bloque"

Pour rappel, c'est un équipement ou un service qui permet de protéger le réseau.

En gros, c'est une table de règles qui dit quels flux on laisse passer et quels flux on bloque

Exemple : On laisse tout internet se connecter sur le serveur web uniquement sur le port HTTP et HTTPS

Généralement les règles de pare-feu se lisent de haut en bas.

Il teste chaque flux en se disant : est-ce que ça match la règle 1 ? 

Oui, je m'arrête de lire les règles et j'applique la règle

Non, je continue

Et ainsi de suite.

Jusqu'à la fin de la table.

S'il arrive tout en bas sans trouver de match, par défaut il bloque le flux

Qu'est-ce que ça veut dire que "ça matche une règle" ?

Une règle est composée de (version simplifiée): 

• D'une interface réseau du firewall

• D'une IP source

• D'un port source

• D'une IP destination

• D'un port destination

• D'une action : Passe ou Bloque

Un firewall a plusieurs interfaces réseau. Généralement une interface qui est sur Internet et une interface qui est sur le réseau interne LAN

Donc quand un flux passe par le firewall, il vérifie les infos : l'interface par laquelle arrive le flux puis les IP/Port Source/Destination

Si ça match il regarde l'action à faire : Passe ou Bloque.

Comme l'action par défaut tout en bas est un "bloque tout", dans la table on ne met que les "Passe"

Petite subtilité : une règle s'applique sur une interface. Ça veut dire que le firewall teste le flux si c'est une connexion entrante par cette interface. 

Exemple : Je navigue sur le site web. Je fais une connexion sur le port 80 du serveur Web. Le serveur Web me répond avec la page HTML pour que mon navigateur l'affiche

Ici, le firewall est configuré avec cette règle

• Interface : WAN (celle sur internet)

• IP source : toute (n'importe qui sur Internet peut accéder à mon site web)

• Port source : tout 

• IP Destination : Mon serveur Web (et uniquement lui)

• Port Destination : 80 (Port pour des sites web en HTTP)

• Action : Passe

Ce qui est à noter ici, c'est que je n'ai pas besoin d'écrire une règle qui autorise le serveur à envoyer la réponse. En effet, le firewall sait que c'est la réponse à un flux qui a été autorisé en entrée, donc il le laisse sortir.

Par contre, si je veux que mon serveur web fasse des appels API en HTTPS vers un autre site sur internet, je suis obligé de créer une nouvelle règle

• Interface : LAN (mon serveur est sur le LAN et il veut passer par le firewall par cette interface pour aller sur internet)

• IP Source : Serveur Web

• Port Source : tout

• IP Destination : Le serveur que je souhaite atteindre (ou son nom DNS)

• Port Destination : 443 (Port pour HTTPS)

• Action : Passe

Ici, on note que l'interface utilisée est l'interface LAN : en effet, mon serveur web entre sur le firewall par cette interface. Donc le firewall autorisera le flux que si ça passe par là

C'est précisément le cas d'erreur que je vois le plus souvent chez les Dév (et parfois aussi chez les admin sys)

Le choix de l'interface est important pour que ça fonctionne. On se pose la question : par quelle interface le flux va passer à travers le firewall

Pour aller plus loin 

• Des firewall plus évolués existent :

  • ils peuvent vérifier le contenu du flux (présence de virus, de requête mal formée...)

  • ils peuvent limiter le débit d'un flux

  • ils peuvent notifier dès qu'un flux passe par une règle (très utile pour débugger)

  • ils peuvent analyser le "comportement" de certains flux et bloquer automatiquement des flux suspects

• Des firewalls sont souvent "en bout de réseaux" 

  • ils filtrent les flux qui entrent et sortent du réseau

• Parfois, ils sont  "en cœur de réseaux"

  • Dans ce cas, ils filtrent les flux entre les postes utilisateurs et les serveurs par exemple

   

Conclusion 

Le firewall est le videur de ton réseau. Être bon copain avec lui te permettra de faire en sorte que ton Dev soit conforme à ses attentes et surtout que tu ne te retrouves pas coincé dehors alors que tous tes potes sont à l'intérieur

Voilà :)

Imrane 🏖