L'ANSSI recommande deux pare-feux pour former une passerelle Internet sécurisée.

Ouais enfin a recommendation concerne en premier lieu les "organisations" au sens large. Pas le particulier, même s'il s'auto-héberge...

De toute façon la compromission d'un réseau directement en attaquant le routeur d'accès est peu probable, il est bien plus simple d'utiliser une faille d'un service hébergé pour attaquer le réseau de l'intérieur. Et dans le cas d'un particulier il est à mon avis bien plus simple d'isoler les machines exposées dans un VLAN dédié (DMZ) avec des règles très stricte de communication vers les autres VLAN et le routeur lui-même (pas question d'autoriser SSH vers le routeur depuis le VLAN DMZ, ça me semble un bon début). Et pas besoin de multiples routeurs pour ça.

Merci @Hugues !

Ah... ok. C'est plus simple que ce que je croyais.

Ce n'est pas vraiment comparable a un routeur meme si un firewall peut router  et certains routeurs faire du NAT et des access-list.

En fait trop de gens confondent NAT et firewall car le NAT nécessite de faire du "tracking de connections" ce qui est la base de fonctionnement d'un firewall.

Apres pour un usage grand public ca peut suffire.

Salut à tous.

Quelle sera l'utilité de ton pare-feu ? De quoi veux tu te protéger ?

J'ai WampServer d'installé sous Windows 10 Pro et j'utilise le pare-feu Microsoft pour me protéger des indésirable. Comment je fais ? Je me suis fais un mouchard qui me permet de recenser les connexions à mes sites WEB. Si je constate qu'une connexion est trop souvent présente, je consulte les log et si l'adresse IP est problématique, je l'interdit depuis le pare-feu. J'ai déjà subit des tentatives d'attaques, ce qui m'a permis depuis de leur interdire l'accès. Par défaut, le pare-feu Microsoft est mal configuré. Tout le flux sortant est autorisé, ce qui peut poser des problèmes en cas de piratage. J'ai fait le recensement des applications que j'utilise et j'ai créé une règle sortante pour les autoriser, ce qui me fait un peu plus d'une centaine de règles. Pour les règles entrantes, j'ai créé une règle pour apache, Mysql, Firebird, Microsoft SQL Server, MicroSIP & Zoiper5 et le reste est bloqué. Autrement dit, le serveur WEB et les softphones. En dehors des règles d'applications, j'ai des règles pour le fonctionnement du réseau, comme DNS, ICMPv4, ICMPv6, IGMP.

Tu peux remplacer ta Box par un véritable routeur ayant un pare-feu d'intégrer comme PFSense ou OPNSense. Le problème est que tu ne peux pas protéger l'application car celle-ci se ne trouve pas dans le routeur mais dans un ordinateur, quelque part dans ton réseau local. Ce que tu vas autoriser ou interdire ne sont que des adresses IP, des ports et des types de protocoles. Tu devras aussi configurer les pare-feu de tes ordinateurs. Depuis ton réseau local, presque à 100%, ce sont les flux sortants (les questions) que tu vas autoriser et en retour les flux entrants (les réponses) sont implicites. D'où comme chez moi, la quantité importante des règles sortantes vis-à-vis des règles entrantes. Le peu de règles entrantes sont dues à des flux qui ne sont pas de mon initiatives et doivent être autorisés, comme ceux des softphones et du serveur WEB. Tu peux isoler ton serveur WEB en créant une DMZ depuis ton routeur et de configurer un pare-feu spécifiquement dédié à ce serveur WEB.

Tu as le choix de passer à PFSense ou OPNSense qui est selon moi, plutôt compliquer à bien configurer, ou bien de prendre un MiniPC sous Linux et de le transformer en routeur. Il y a suffisamment d'applications pare-feu pour bien se protéger, en se donnant la peine de bien les configurer.

L'important est de ne pas être visible sur le net, et de ne pas cliquer sur toutes les pièces jointes des e-mail dont l'émetteur est inconnue. Un anti-virus comme Kaspersky ne sert à rien. Je l'ai utilisé et cela me causait plus de problèmes que d'avantage. Depuis, j'utilise des outils pour vérifier si mes ordinateurs sont contaminés et à vrai dire, rien à signaler depuis plusieurs années.

La base d'un firewall est de router les paquets d'un port a un autre, donc un firewall est un routeur

sémantique tout ca... pour moi la base d'un firewall est d'appliquer des règles de sécurité en entrée ou/et sortie de ses interfaces.
D'ailleurs tu as des firewall avec une seule "interface"... celui dans Windows par exemple. en quoi c'est un routeur ?

Ce que tu décris ici est le rôle du NAT.

Non. Le NAT c'est du NAT, et rien d'autre.
C'est à dire la modification des entêtes source/destination des paquets pour modifier les IP/ports, associée selon les cas à une table de correspondance (table NAT) et à l'utilisation de la table de suivi (table conntrack, qui ne sert pas qu'au NAT).

Les règles NAT sont dans la configuration du firewall mais ce n'est en soi ni du filtrage ni du routage, même si cela peut avoir une incidence sur les décisions de filtrage/routage.

Edit : au temps pour moi @artemus il y a confusion entre port du routeur et port d'un paquet avec Hughes. Je laisse le message quand même.

La majorité des routeurs dans le monde ne font absolument jamais de NAT.

Même en comptant les box grand public?