Pare-feu sans état

Ces règles ne suivent pas l'état des connexions et s'appliquent indépendamment à chaque paquet. Chaque paquet est filtré selon les critères établis par la règle, quelles que soient les connexions précédentes.

En revanche, les apatrides ne maintiennent pas de table d'état et inspectent uniquement les paquets individuels en fonction de leurs adresses source et de destination, de leurs ports et de leurs en-têtes de protocole.

Ils fonctionnent comme des filtres de paquets, prenant des décisions basées uniquement sur les informations contenues dans chaque paquet.

Différence entre un pare-feu avec et sans état

Exemples de règles sur les apatrides

Dans MikroTik RouterOS, les règles de pare-feu sans état sont créées sans tenir compte de l'état des connexions, c'est-à-dire qu'elles sont appliquées quelles que soient les connexions précédentes. Voici quelques exemples de règles apatrides qui pourraient être utiles dans certains scénarios :

1. Autoriser le trafic provenant d'une adresse IP spécifique :

   /ip pare-feu filtre ajouter chaîne=forward src-address=192.168.1.100 action=accepter

Cette règle autorise le trafic provenant de l'adresse IP 192.168.1.100 dans la chaîne de transfert.

2. Autorisez le trafic provenant d'un sous-réseau spécifique :

   /ip pare-feu filtre ajouter chaîne=forward src-address=192.168.2.0/24 action=accepter

Cette règle autorise le trafic provenant du sous-réseau 192.168.2.0/24 dans la chaîne de transfert.

3. Bloquez le trafic vers une adresse IP spécifique :

   /ip pare-feu filtre ajouter chaîne=forward dst-address=203.0.113.10 action=drop

Cette règle bloque tout le trafic allant vers l'adresse IP 203.0.113.10 dans la chaîne de transfert.

Ce ne sont que des exemples et vous devez adapter les règles en fonction de vos besoins spécifiques et de la topologie de votre réseau. Gardez également à l’esprit que ces règles sont apatrides et ne prennent donc pas en compte l’état des connexions précédentes.

Exemples de règles avec état

Dans MikroTik RouterOS, les règles de pare-feu avec état se concentrent sur l'état des connexions, ce qui signifie qu'elles autorisent ou bloquent le trafic en fonction de l'état de la connexion. Voici quelques exemples de règles avec état :

1. Autorisez tout le trafic sortant et les réponses associées :

   /ip filtre de pare-feu ajouter une chaîne = transmettre l'état de la connexion = établi, action associée = accepter

Cette règle autorise le trafic faisant partie d'une connexion établie ou associée dans la chaîne de transfert.

2. Autoriser un trafic spécifique venant de l’extérieur :

   Filtre de pare-feu /ip add chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept

Cette règle autorise le trafic TCP destiné au port 80 depuis l'extérieur via l'interface ether1 dans la chaîne de transfert.

3. Bloquez le trafic entrant non sollicité :

   /ip pare-feu filtre ajouter chaîne=entrée connexion-état=nouvelle action=drop

Cette règle bloque tout le trafic entrant qui ne fait pas partie d'une connexion établie dans la chaîne entrante.

4. Autorisez le trafic ICMP entrant pour les requêtes ping :

   /ip pare-feu filtre add chain=input connection-state=new protocol=icmp action=accept

Cette règle autorise le trafic ICMP entrant pour les requêtes ping dans la chaîne entrante.

5. Bloquez le trafic vers un port spécifique depuis l’extérieur :

   /ip pare-feu filtre add chain=input in-interface=ether1 connection-state=new dst-port=22 action=drop

Cette règle bloque le trafic entrant vers le port 22 (SSH) depuis l'extérieur via l'interface ether1 dans la chaîne d'entrée.

Ce ne sont que des exemples et vous devez ajuster les règles en fonction de vos besoins spécifiques et de la configuration du réseau. Les règles avec état sont essentielles pour autoriser le trafic nécessaire et maintenir la sécurité en bloquant le trafic indésirable.