Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-03-2016 10:15:51

fdf
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3.14
Inscription : 17-02-2016

ip_table

Bonjour,

Je viens de réinstaller mon serveur, et c'est donc l'occasion de revoir certains fonctionnements.
Comme beaucoup de serveur pour de l'auto hébergement, il fait les emails, et serveur web (avec dessus des outils genre owncloud, mon site perso…)

Du coup, je regarde de nouveau les règles d'ip_table. J'ai regarder pas mal d'explications, et le wiki de debian donne une bonne base ici: https://wiki.debian.org/iptables

Mais je suis currieux d'avoir vos retours, entre trop fermé et trop ouverts. En particulier udp/tcp n'est pas clair pour moi.

Merci et bonne journée

Hors ligne

#2 08-03-2016 13:34:33

raleur
Membre
Inscription : 03-10-2014

Re : ip_table

TCP et UDP sont des protocoles de la couche transport, entre la couche réseau (IP) et la couche applicative (HTTP, FTP, SSH, SMTP...).
TCP est orienté connexion et flot de données, alors que UDP est orienté datagramme (paquet).
Selon ses  besoins, un protocole applicatif utilise un protocole de transport donné. Par exemple HTTP, FTP, SSH utilisent TCP. DNS, NTP, SIP, DHCP utilisent UDP (DNS peut aussi utiliser TCP dans certains cas). Donc quand on dit que SSH utilise le port 22, il s'agit du port 22 en TCP. Il existe un port 22 en UDP, mais il n'est pas utilisé par un service standard car le même port est attribué en TCP et en UDP à un service même s'il n'utilise qu'un des deux protocoles de transport.

Hors ligne

#3 08-03-2016 15:18:55

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : ip_table

Et si je me souviens bien, TCP fonctionne avec avis de réception des paquets. UDP transfère les paquets sans savoir s'ils sont arrivés à bon port.

Dernière modification par Papadakis (08-03-2016 15:19:27)


Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#4 09-03-2016 10:41:17

fdf
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3.14
Inscription : 17-02-2016

Re : ip_table

Quand on regarde les listes de ports par service, comme la page wikipedia, on se rend compte que les services utilisent pour la majorité tcp et udp. Donc quand on fait ses règles, en considérant uniquement les ports et pas trop UDP et TCP, on ne fait pas un gros trou dans son firewall.

J'ai bien compris la mise en oeuvre? tongue

Merci

Hors ligne

#5 09-03-2016 15:04:19

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

Re : ip_table

Salut,
Pour un serveur avec mail et owncloud, pas de site mais un accès https à Owncloud et au client messagerie, j'utilise UFW avec Iptables.
Voir le très bon wiki https://debian-facile.org/doc:systeme:ufw.
Pour la configuration UFW, j'autorise tous les ports en sortie, j'interdit tout en sortie, puis j'autorise en sorite les ports qui vont bien en TCP seulement.

ufw status verbose


Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
25/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
993/tcp                    ALLOW IN    Anywhere
465/tcp                    ALLOW IN    Anywhere
143/tcp                    ALLOW IN    Anywhere
587/tcp                    ALLOW IN    Anywhere



Avec en plus Fail2ban en plus pour virer les trop curieux, ca fonctionne très bien sans avoir à mettre en manuel la moindre règle dans iptables.
Il me semble en tout cas !
A+


Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

Pied de page des forums