Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 01-09-2017 19:27:56

Debian Alain
Membre
Lieu : BREST 29200
Distrib. : W$10 / stretch / ubuntu 17.04 / buster-sid
Noyau : Linux 4.13.0-0.bpo.1-amd64
(G)UI : Mate / Gdm3
Inscription : 11-03-2017

[résolu] du parefeu

bonsoir ,

je cherche actuellement des renseignements  sur les pare feu .

- pourquoi mettre en place un pare feu ?
- a  quoi sert il ?
- que peut il faire ? quel(s) service(s) peut il rendre ?
- que ne peut il pas faire ? quel(s) service(s) dépasse(nt) ses  competences ?

enfin , dans le cas où je  choisisse d'en mettre un : quel pare feu me conseillez vous pour commencer ?

entre ufw / gufw , iptables , netfilter ? ou d'autres ....
(je crois que ceux là sont les plus courants )

merci

Alain

Dernière modification par Debian Alain (04-09-2017 12:12:25)


1498826560.jpg 1498812139.jpg Bip ! Bip !

En ligne

#2 01-09-2017 19:45:09

enicar
Membre
Lieu : Grenoble
Distrib. : debian/sid
Noyau : Linux 4.11.12
(G)UI : openbox
Inscription : 26-08-2010

Re : [résolu] du parefeu

Il faut d'abord te dire que quelque soit la méthode finale que tu choisisses, ce sera
toujours le pare-feu du noyau qui sera utiliser que l'on appelle netfilter.
L'utilitaire en ligne de commande lui s'appelle iptables (ou ip6tables
pour l'ipv6). Ufw est une autre surcouche qui utilise iptables.
Et gufw n'est rien d'autre qu'une interface graphique pour ufw.

La machine, c'est dépassé ! On va tout remplacer par des humains big_smile

Hors ligne

#3 01-09-2017 19:57:00

Debian Alain
Membre
Lieu : BREST 29200
Distrib. : W$10 / stretch / ubuntu 17.04 / buster-sid
Noyau : Linux 4.13.0-0.bpo.1-amd64
(G)UI : Mate / Gdm3
Inscription : 11-03-2017

Re : [résolu] du parefeu

donc , si je comprends bien , enicar ,

Gufw utilise ufw qui utilise iptables qui utilise (enfin) netfilter

c'est ça ?

waaaaah ! quel bordel !

personnellement , je pense que je vais me servir de gufw (plus facile en graphique )

Dernière modification par Debian Alain (04-09-2017 12:12:05)


1498826560.jpg 1498812139.jpg Bip ! Bip !

En ligne

#4 01-09-2017 20:08:28

enicar
Membre
Lieu : Grenoble
Distrib. : debian/sid
Noyau : Linux 4.11.12
(G)UI : openbox
Inscription : 26-08-2010

Re : [résolu] du parefeu

Pour ce qui est du champ d'application d'un pare-feu, il est assez limité, même s'il y
a plein de façon de s'en servir. Donc un pare-feu sert à interdire et à autoriser certaines
connexions ip. Quand on utilise un poste client qui est derrière un routeur, l'utilité est
assez limité. Le routeur nous protège en principe des connexions directes. Je dis en principe
car il existe des options où le routeur peut rediriger les demandes de nouvelles connexions
entrantes sur ip du réseau local. Il y a plusieurs système qui permettent cela.
Si on utilise l'une de ces techniques on n'est naturellement plus exposé. Il se trouve
que sur les box des FAI il y a souvent des choses comme uPnp qu'il faut désactiver
absolument. Cela permet une redirection automatique des demandes de connexions entrantes
sans état d'âme. L'autre méthode qu'on utilise c'est une redirection pour un port en particulier
vers une machine qui gère un service. Dans ce cas c'est différent, on met en place une
zone démilitarisé avec une machine spécifique qui n'est pas un poste client (en aucun cas !),
qui ne sert qu'à ça et qui se trouve sur un réseau séparé de la machine client !

En tous cas, un pare-feu n'est certainement pas la panacée qui permet de se tenir à l'écart
de toute attaque. En particulier toute connexion qui est autorisée sera une porte d'entrée
pour une attaque potentielle. Le mieux pour une machine et de ne pas avoir des
daemons qui écoutent sur les interfaces réseaux sans que ce soit nécessaire. Par exemple
il faut prendre garde à restreindre l'écoute d'apache à l'interface lo (localhost = 127.0.0.1 ou [::1] en ipv6)
quand on l'utilise en local pour faire du dev web. Il en est de même pour tout ce
type d'application qui écoute sur une interface réseau.

La machine, c'est dépassé ! On va tout remplacer par des humains big_smile

Hors ligne

Pied de page des forums