Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 27-06-2018 15:08:19

root@rkn
Adhérent(e)
Lieu : Grenoble
Distrib. : Debian Strech Apache2 HTTPS HTTP/2 BROTLI REDIS et
Noyau : PROD: 4.9.88-1+deb9u1
(G)UI : headless - aucun
Inscription : 24-02-2018
Site Web

Pare feu iptable et c’est tout

Moi je dis toujours faire simple !!

La premiere chose a maîtriser, c'est iptables !
La seconde, c'est le mode ligne de commandes !

Toutes ces surcouches alourdissent et en fait ne ne simplifie rien car il faut aussi apprendre leur syntaxe.
Et en plus pour les outils graphiques, lorsque le mode graphique est HS, rien ne vaut un bon vieux ssh.

Edit : cette discussion est issue du fil d’entraide https://debian-facile.org/viewtopic.php … 05#p270505

J'ai trouvé dieu https://www.debian.org/doc/manuals/debi … ex.fr.html
- If it works, dont update it.
- You don't know how, just do it, you will learn.
- Test, re-stest, test again, and maybe it will work.

Hors ligne

#2 27-06-2018 16:08:33

hyrr0
Membre
Distrib. : Debain stable
Noyau : 4.9
(G)UI : KDE 5.8 LTS
Inscription : 12-01-2018

Re : Pare feu iptable et c’est tout

root@rkn a écrit :

Moi je dis toujours faire simple !!

La premiere chose a maîtriser, c'est iptables !
La seconde, c'est le mode ligne de commandes !

Toutes ces surcouches alourdissent et en fait ne ne simplifie rien car il faut aussi apprendre leur syntaxe.
Et en plus pour les outils graphiques, lorsque le mode graphique est HS, rien ne vaut un bon vieux ssh.



C'est une blague?

Après on s'étonne que les débutants soient paumés. Déjà qu'on leur demande de taper des commandes dans un terminal, en plus faut aller se bouffer du Iptable.

Je dis pas que tu as tort, hein. Je partage ton point de vue. Quand t'es admin sys, iptable.. pas le choix. Maintenant, pour le commun des mortels, ufw est largement suffisant. Et son interface (gufw) est plus que satisfaisante. Faut pas plus.

Démocratisons Linux smile

Hors ligne

#3 27-06-2018 17:33:09

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

Je serai pour inviter les débutants à se consacrer à la ligne de commande, de toute façon il leur faudra le faire tôt ou tard...

hyrr0 a écrit :

Démocratisons Linux


La démocratie n'est qu'une forme de dictature, alors, autant se jeter dans le bain de l'activisme pour se libérer réellement. big_smile

Dernière modification par smolski (27-06-2018 17:37:00)


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#4 27-06-2018 22:46:00

root@rkn
Adhérent(e)
Lieu : Grenoble
Distrib. : Debian Strech Apache2 HTTPS HTTP/2 BROTLI REDIS et
Noyau : PROD: 4.9.88-1+deb9u1
(G)UI : headless - aucun
Inscription : 24-02-2018
Site Web

Re : Pare feu iptable et c’est tout

hyrr0 a écrit :

root@rkn a écrit :

Moi je dis toujours faire simple !!

La premiere chose a maîtriser, c'est iptables !
La seconde, c'est le mode ligne de commandes !

Toutes ces surcouches alourdissent et en fait ne ne simplifie rien car il faut aussi apprendre leur syntaxe.
Et en plus pour les outils graphiques, lorsque le mode graphique est HS, rien ne vaut un bon vieux ssh.



C'est une blague?

Après on s'étonne que les débutants soient paumés. Déjà qu'on leur demande de taper des commandes dans un terminal, en plus faut aller se bouffer du Iptable.

Je dis pas que tu as tort, hein. Je partage ton point de vue. Quand t'es admin sys, iptable.. pas le choix. Maintenant, pour le commun des mortels, ufw est largement suffisant. Et son interface (gufw) est plus que satisfaisante. Faut pas plus.

Démocratisons Linux smile



Hélas non.

Mon experience de parrain-linux et de formateur, ainsi que mon expérience professionnel dans le merveilleux monde des réseaux et systèmes me font faire un distinguo entre deux categories:

  1. L'utilisateur lambda qui veut un windows like. Franchement, c'est pas ma tasse de thé du tout. C'est un peu une négation du système sécurisé de linux (utilisateurs, acl de sécurité ). Pour un windows like, j'utilise windows et j'en suis content. voyez, rester simple. Si vous voulez un windows like "sécurisé" et simple, achetez un MAC ( beurk )...

  2. Le sys-admin qui fait tourner un serveur headless..



Le problème qui se pose en fait, c'est que les utilisateurs windows like veulent ... du windows like.
Un truc simple, graphique et qui fait la tambouille à leurs places car en fait ils n'ont simplement pas les compétences pour véritablement gérer leur système.
Il ne faut pas leur parler d'interfaces, de zone, de chain, de forward ou meme de régles de routages car en fait ils ne maîtrisent pas le B.A BA de la sécurité informatique dont fait partie le firewall... ( ne parlons pas de l'intégrations des drivers ou autres éléments externes via usb ou ports series )
Ils sont un peu les vegan de l'informatique: ils veulent du bio parce que c'est la mode: tu reprendra bien un peu de gnome avec ton server-x ou tu préfère un peu de cinnamon pour calmer tes aigreurs de firewall ? ( ouille, là je vais me faire tancer de réactionnaire fachiste ).

Dans le cas des utilisateurs windows-like, je me rappel d'interface graphique en surcouche de netfilter qui ne faisaient pas leur job en "truckatant" les régles mise en places ou qui ne voyaient pas la seconde carte réseaux ... Ou bien plus proche et actuel, la fâcheuse tendance de l'interface firewall de webmin à soit ignorer soit écraser des régles pré-existantes, sans parler de bypasser certains fichiers de configurations...  Mais je digresse.

Ce que je vois la plupart du temps c'est l'absence de maîtrise sur ce qu'est un firewall. Lorsque je pose la question a un particuliers/élève/client pour savoir le type de firewall qu'ils veulent, ils ne savent meme pas qu'il en existe plusieurs types:

  1. Firewall à filtrage simple de paquet

  2. Firewall à filtrage de paquet avec état

  3. Firewall de type proxy ou "proxying applicatif"

  4. Inclusion des couches basses de réseaux ou pas



Ensuite, pourquoi veulent -ils un firewall ?
- Alors, tu veux un firewall pour noel ?
-- ho oui, avec pleins de régles et de ports !!!
- c'est bien, mais tu veux te protéger de quoi ?
-- ben heu, des vilains virus !!
- Mais mon petit, à la limite il te protégera des cheval-de-troie, mais tu sais les virus ...
-- ....

Désolé de caricaturer, mais je ne pouvais pas m'en empêcher.

Allez hop, retour dans l'espace temps zéro.

Dernière modification par root@rkn (27-06-2018 22:50:08)


J'ai trouvé dieu https://www.debian.org/doc/manuals/debi … ex.fr.html
- If it works, dont update it.
- You don't know how, just do it, you will learn.
- Test, re-stest, test again, and maybe it will work.

Hors ligne

#5 28-06-2018 00:22:41

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

Entre le lambda qui veut le windows gratos et sys-admin, il y a beaucoup d'autres démarches... smile
Les forums sont là pour aider de quelque niveau que tu sois et pour toutes les motivations.

Dernière modification par smolski (28-06-2018 00:24:01)


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#6 28-06-2018 00:50:29

root@rkn
Adhérent(e)
Lieu : Grenoble
Distrib. : Debian Strech Apache2 HTTPS HTTP/2 BROTLI REDIS et
Noyau : PROD: 4.9.88-1+deb9u1
(G)UI : headless - aucun
Inscription : 24-02-2018
Site Web

Re : Pare feu iptable et c’est tout

smolski a écrit :

Entre le lambda qui veut le windows gratos et sys-admin, il y a beaucoup d'autres démarches... smile
Les forums sont là pour aider de quelque niveau que tu sois et pour toutes les motivations.




Tu as 100% raison.

Il faut juste au minimum les rappeler et les énumérer ... et puis maintenant, le windows il est (encore) gratuit (faut juste tricher un peu et demander la version avec les aides handicapé, si si je déconne pas).

Apres, effectivement, le forum est principalement la pour aider, mais pas complètement:
- Il est là aussi pour apporter d'autre solutions, "éduquer" en apportant des précisions et aider a choisir par la contradiction...


J'ai trouvé dieu https://www.debian.org/doc/manuals/debi … ex.fr.html
- If it works, dont update it.
- You don't know how, just do it, you will learn.
- Test, re-stest, test again, and maybe it will work.

Hors ligne

#7 28-06-2018 06:52:35

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

Dans la mesure où le paquet ufw et son interface gufw sont proposés dans les dépôts officiels Debian, je ne vois pas bien pourquoi un utilisateur de Debian devrait s’interdire de les utiliser

Hors ligne

#8 28-06-2018 07:42:47

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

chalu a écrit :

je ne vois pas bien pourquoi un utilisateur de Debian devrait s’interdire de les utiliser


L'idée est surtout d'installer ou, si possible, de faire installer les deux afin d'enseigner/apprendre l'ensemble et non une seule partie des outils du libre.

Edit : Je vois l'entraide comme la rencontre avec un randonneur perdu et lui indiquer d'abord la plus sûre et belle voie dont on connaît déjà le trajet et les astuces.
Parole d'un éternel vagabond, céleste ou pas... 2975.gif

Dernière modification par smolski (28-06-2018 09:48:19)


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#9 28-06-2018 08:13:00

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

Je vois l’entraide comme
- essayer d’avoir la solution avec les infos et liens utiles sur le wiki DF ou Debian pour apprendre, en savoir plus
- proposer si elles semblent adaptées d’autres voies, toujours avec des liens pour en savoir plus
Pour iptables https://debian-facile.org/doc:reseau:iptables, j’ai ajouté d’ailleurs ce lien dans le fil d’origine.

Hors ligne

#10 28-06-2018 10:05:49

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

chalu a écrit :

Dans la mesure où le paquet ufw et son interface gufw sont proposés dans les dépôts officiels Debian, je ne vois pas bien pourquoi un utilisateur de Debian devrait s’interdire de les utiliser

La réelle difficulté de l'utilisation d'un firewall, ça n'est pas vraiment la syntaxe de son utilisation, c'est de savoir quelles règles on instaure et pourquoi.

Or dans la grande majorité des cas, l'utilisateur qui ne comprend rien au firewall va mettre sur le dos de l'interface son incompréhension plus profonde des principes, et installer quelques chose de plus facile, qui ne changera rien à son incompréhension. A mon sens, il ne s'agit pas d'interdire quoique-ce soit, mais d'alerter sur la difficulté réelle de l'utilisation d'un firewall.

Dans un sens, tu peux faire un parallèle avec apt en ligne de commande ou synaptic. Si tu n'a rien compris au système de paquets et de dépôt, et que tes sources ne sont pas correctes par exemple, et bien tu sera coincé de la même façon avec l'un ou l'autre de ces outil pour installer un logiciel.

chalu a écrit :

Je vois l’entraide comme
- essayer d’avoir la solution avec les infos et liens utiles sur le wiki DF ou Debian pour apprendre, en savoir plus
- proposer si elles semblent adaptées d’autres voies, toujours avec des liens pour en savoir plus

Ça se rapproche beaucoup de la définition de root@rkn wink Lorsque la solution est évidente, j'essaye en général de ne pas la donner d’emblée, mais d'essayer  de donner les pistes qui permettent à l'OP de trouver seul la solution, quitte à la donner plus tard si ça coince (ou pas si j'ai l'impression de faire du SAV gratuit).


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#11 28-06-2018 10:36:28

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

Moi je dis toujours faire simple !!

La premiere chose a maîtriser, c'est iptables !
La seconde, c'est le mode ligne de commandes !

Toutes ces surcouches alourdissent et en fait ne ne simplifie rien car il faut aussi apprendre leur syntaxe.
Et en plus pour les outils graphiques, lorsque le mode graphique est HS, rien ne vaut un bon vieux ssh.


Mon ressenti sur l'idée initiale  était plutôt sur un passage obligé par iptables (sans indication pour le faire, ça serait peut-être venu ensuite mais en 8 messages aucun lien, j’ai donné le lien du wiki DF au 9e) et une discussion qui ne prenait plus en compte les questions de l’auteur du fil d’entraide et c’est pourquoi j’ai scindé afin de pouvoir continuer chacune sans gêner l’autre ... en mettant dans chaque discussion le lien vers l’autre discussion pour que tout le monde,, y compris Lupa, s’y retrouve.
Cette modération ne convient pas visiblement, j’en prends note et vous laisse poursuivre comme vous l’entendez.
Bonne journée smile

Dernière modification par chalu (28-06-2018 11:26:25)

Hors ligne

#12 28-06-2018 12:05:11

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Ah ben non, elle est très bien ta modération, ça évite effectivement de débattre sur la manière d'aider dans un fil d'entraide smile

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#13 28-06-2018 12:30:27

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

Ok smile avec le message de smolski puis le tien j’en avais déduit le contraire. Pas toujours simple de comprendre et de se faire comprendre wink

Hors ligne

#14 28-06-2018 14:18:42

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

chalu a écrit :

Pas toujours simple de comprendre et de se faire comprendre


Plus on se fait confiance et plus tout ça devient simple... big_smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#15 28-06-2018 14:28:07

root@rkn
Adhérent(e)
Lieu : Grenoble
Distrib. : Debian Strech Apache2 HTTPS HTTP/2 BROTLI REDIS et
Noyau : PROD: 4.9.88-1+deb9u1
(G)UI : headless - aucun
Inscription : 24-02-2018
Site Web

Re : Pare feu iptable et c’est tout

bendia a écrit :

chalu a écrit :

Dans la mesure où le paquet ufw et son interface gufw sont proposés dans les dépôts officiels Debian, je ne vois pas bien pourquoi un utilisateur de Debian devrait s’interdire de les utiliser

La réelle difficulté de l'utilisation d'un firewall, ça n'est pas vraiment la syntaxe de son utilisation, c'est de savoir quelles règles on instaure et pourquoi.

Or dans la grande majorité des cas, l'utilisateur qui ne comprend rien au firewall va mettre sur le dos de l'interface son incompréhension plus profonde des principes, et installer quelques chose de plus facile, qui ne changera rien à son incompréhension. A mon sens, il ne s'agit pas d'interdire quoique-ce soit, mais d'alerter sur la difficulté réelle de l'utilisation d'un firewall.




trop fort, il m'a compris !


J'ai trouvé dieu https://www.debian.org/doc/manuals/debi … ex.fr.html
- If it works, dont update it.
- You don't know how, just do it, you will learn.
- Test, re-stest, test again, and maybe it will work.

Hors ligne

#16 28-06-2018 15:51:17

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Je fais partie de ceux qui ne pige pas trop grand chose aux Firewalls tongue Plus je sais, plus je sais que je ne sais rien  wink

Au fait, quel est réellement l'intérêt d'un firewall pour un poste client domestique derrière une bix (non, la bix/bique est derrière la clavier tongue ) box?

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#17 28-06-2018 16:58:22

Croutons
Membre
Distrib. : Handylinux 2.5 vers Jessie et Debian Stretch
Noyau : Linux 3.16.0-4-686-pae, Linux 4.9.0-7-686-pae
(G)UI : xfce
Inscription : 16-12-2016

Re : Pare feu iptable et c’est tout

Salut je connais pas la différence mais les box ont déjà un firewall de paramétré

-->les cahiers du debutant<--      WikiDF-->Découvrir les principales commandes Linux<--
L' expérience, c'est le nom que chacun donne à ses erreurs. Oscar Wilde

En ligne

#18 28-06-2018 19:24:58

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Pare feu iptable et c’est tout

Bonsoir,

je ne fais que moyennement confiance à ma box roll

Je suis très heureux de trouver des outils

netstat -r


dhclient -v wlp4s0

......... et les debiannistes pour partager le mode d'emploi big_smile


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#19 29-06-2018 07:26:09

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

J’ai installé ufw+gufw en passant en IPv6. Dans ce cas, il y a je ne sais quoi avec certaines box.
Je l’ai fait par précaution

Hors ligne

#20 29-06-2018 08:18:32

Tito
Membre
Distrib. : Devuan ASCII 64 (100% free, fork de Debian)
Noyau : 4.9.0-7
(G)UI : TTY + LXDE de temps en temps
Inscription : 13-10-2016

Re : Pare feu iptable et c’est tout

@ chalu: Par précaution, mais lesquelles ? Je ne dois pas provenir du même monde et un principe de précaution n'est jamais efficace en terme de sécurité ! Si tu as installé un FW sur une station de travail Gnu/Linux, j'ai le regret de te dire que cela ne sert à rien. De base sur Gnu/Linux, rien en écoute par défaut, on n'est pas sur W$ ici :þ
Sur un serveur cela n'est pas obligatoire pour construire une stratégie sécuritaire, d'autres tools sont plus efficaces. J'ai un dédié qui tourne depuis trois ans sans FW et ma foi, c'est Ok. Les majs, une installation minimale et une config logicielle soignée est bien plus efficace.
Pare-feu ou pas, du moment que tu autorises une sortie, potentiellement tu es déjà compromis si infection. Bin oui, c'est le principe de proposer un service (serveur), offrir un port en écoute n'est pas une faille.

Pour moi, un pare-feu logiciel est surtout utile en cas de Pat/Nat... Les organismes qui sécurisent leur réseau utilisent souvent un pare-feu matériel. Je serais curieux de connaître les perfs de Iptable à l'égard du modèle OSI.

Hors ligne

#21 29-06-2018 09:50:35

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Dites, ça intéresserait des gens de rédiger un tuto/article de vulgarisation (en mode Debian-Facile tongue ) sur le firewall et les principes qui le sous-tendent ?

Perso, je ne saurais pas faire techniquement, mais quelques intervenants de ce fil semble en être capable smile Je veux bien poser les questions de débutants si ça peut aider big_smile

Édit : @tito, un pare-feu matériel, ça reste une machine dédié avec un logiciel dedans (probablement iptables d'ailleurs), comme les routeurs ?

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#22 29-06-2018 10:03:09

Tito
Membre
Distrib. : Devuan ASCII 64 (100% free, fork de Debian)
Noyau : 4.9.0-7
(G)UI : TTY + LXDE de temps en temps
Inscription : 13-10-2016

Re : Pare feu iptable et c’est tout

De mon humble avis, avant de chercher à maîtriser un FW particulier (Iptable), autant s'intéresser au réseau puis aux types de FW dispos.
Comprendre que le mur est une déformation de notre vision humaine sur quelque chose qui ne l'est pas ! Un FW filtre des paquets, point, ce n'est pas un mur.

Une piste de réflexion pour votre futur tuto ?:
https://wapiti.telecom-lille.fr/commun/ … nement.htm

Hors ligne

#23 29-06-2018 10:37:47

nono47
Invité

Re : Pare feu iptable et c’est tout

Salut,

bendia a écrit :

Dites, ça intéresserait des gens de rédiger un tuto/article de vulgarisation (en mode Debian-Facile tongue ) sur le firewall et les principes qui le sous-tendent ?


plus.png c'est un aspect qui interroge les internautes .

Il y a la documentation sur la sécurité qui est une mine d'information, un peu austère mais ça explique : Securing Debian Manual
( Il y est précisé que la sécurité ne peut reposer juste sur le pare-feu )

un extrait qui parle des avantages/inconvénient du pare-feu : 5.14.1 Protéger le système local avec un pare-feu dont :

Une configuration correcte de pare-feu serait donc une règle de refus par défaut, c'est-à-dire :

    les connexions entrantes ne sont autorisés que pour des services locaux par des machines autorisées ;

    outgoing connections are only allowed to services used by your system (DNS, web browsing, POP, email...).

    la règle forward interdit tout (à moins que vous ne protégiez d'autres systèmes, voir ci-dessous) ;

    toutes les autres connexions entrantes et sortantes sont interdites.


smile

Dernière modification par nono47 (29-06-2018 10:41:25)

#24 29-06-2018 11:32:52

Tito
Membre
Distrib. : Devuan ASCII 64 (100% free, fork de Debian)
Noyau : 4.9.0-7
(G)UI : TTY + LXDE de temps en temps
Inscription : 13-10-2016

Re : Pare feu iptable et c’est tout

Édit : @tito, un pare-feu matériel, ça reste une machine dédié avec un logiciel dedans (probablement iptables d'ailleurs), comme les routeurs ?



Absolument. Ainsi, tu ne mets pas tous les oeufs dans le même panier. Le principe de séparation des fonctions est déjà un bon début sécuritaire. En soi et pour nos modestes besoins en tant que particulier, un modem de FAI fait office de routeur, pourquoi surcharger sa machine avec un truc que l'on ne maîtrise pas trop ? Et surtout pour une station de travail ? Encore une fois, un port ouvert n'est pas une faille mais un service or, et sauf erreur de ma part, aucun service n'écoute par défaut à l'extérieur de son réseau privé avec Gnu/Linux même bonjour (Avahi) que je trouve particulièrement intrusif hmm.
La faille provient de la configuration du service et/ou bug lors du développement non-traités pour obtenir une élévation de privilèges ou autre joyeuseté !

Un pare feu ne changera rien à l'affaire et de toute façon, un rootkit bypassera le FW que ce soit Iptable pour Gnu/Linux ou Packet Filter sur du BSD, tous les deux filtrent les niveaux 3 et 4 (TCP/IP, synproxy du modèle OSI...)

Édit: La sécurité de Gnu/Linux réside sur une séparation des droits d'exécution et des privilèges. Ce mécanisme suffit à lui seul pour établir une conf soignée (autorisations), filtrer un paquet vient après selon moi.

Édit 2: Sur mon dédié, j'ai mis en place pour mon serveur ssh une authentification par clé DSA 2048 bits. Je ne filtre rien et n'ai même pas fail2ban. Suis-je cinglé :þ  ? J'ai désactivé l'authentification par login/mot de passe et les droits super utilisateur par défaut de sshd_config.

Dernière modification par Tito (29-06-2018 11:52:08)

Hors ligne

#25 29-06-2018 13:45:30

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

@tito à la base sous Jessie et stretch, je n’avais pas de firewall effectivement en étant en IPv4 car il y avait celui de la bx. Avec l’ipv6 je ne sais pas ce que ça change, certaines box n’auraient pas de pare feu ? Je ne me souviens pas
N’y comprenant rien du pourquoi comment de ce truc, j’ai installé ufw par précaution dans le sens où je n’ai pas réussi à savoir si le pare feu de l’a box était opérationnelle.
Un tuto clair serait le bienvenu smile

Hors ligne

Pied de page des forums