Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 29-06-2018 14:11:26

Croutons
Membre
Distrib. : Handylinux 2.5 vers Jessie et Debian Stretch
Noyau : Linux 3.16.0-4-686-pae, Linux 4.9.0-7-686-pae
(G)UI : xfce
Inscription : 16-12-2016

Re : Pare feu iptable et c’est tout

Salut

je n’ai pas réussi à savoir si le pare feu de l’a box était opérationnelle.


La présentation est différente suivant les box mais tu peux consulter ton interface en tapant l'adresse ip locale de ta box dans ton navigateur
Exemple sur ma Livebox a l'adresse 192.168.1.1
p6iVhEFl.png


-->les cahiers du debutant<--      WikiDF-->Découvrir les principales commandes Linux<--
L' expérience, c'est le nom que chacun donne à ses erreurs. Oscar Wilde

Hors ligne

#27 29-06-2018 15:12:28

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

@crouton : là, c'est pour l'IPV4. La question de chalu est pertinente me semble-t-il, dans le sens où en IPV4, ton réseau interne est privé, donc si tu n'as pas demandé à ta box de rediriger un certain trafic sur une des machines de ton réseau (redirection Nat/par), rien ne peut venir l'interroger de dehors. Je ne sais pas exactement comment ça se passe en IPV6, puisque là, il me semble que chaque adresse est unique. Si la box relais tout les paquets sans rien filtrer, alors une requête pourrait atteindre une de tes machines en choisissant une adresse au hasard ( ou en les essayant toutes type scanner). Mais mes connaissances en réseau sont trop limitées pour être affirmatif.

@chalu : si tes machines n'ont aucun logiciel serveur (web, FTP, ssh ...), même dans ce cas, tu n'a rien à craindre, aucune porte n'étant ouverte. Dans le cas contraire, Tito conseillerais plutôt de configurer ces services afin d'en contrôler l'accès plutôt que de rajouter une couche de filtration par dessus avec un Firewall.

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#28 29-06-2018 15:34:23

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

Je t’avoue que firewall activé mon PC ne me paraît pas plus lent, je n’ai pas noté de ralentissement donc je laisse en attendant un tuto que je comprenne sur ces histoires avec IPv6 tongue

Hors ligne

#29 29-06-2018 16:03:32

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Je ne sais pas si un tuto de de genre est possible. C'est un peu pour ça que j'ai parlé d'article de vulgarisation en fait wink Il existe d'ailleurs déjà des choses dans le wiki concernant les réseaux dont un sur l'ipv6 https://debian-facile.org/doc:reseau:ipv6

Si tu veux faire des expériences, tu peux savoir quels ports sont ouverts sur ta machine avec nmap. Si rien n'est ouvert, rien a craindre.

Tu peux aussi comparer ton adresse IP telle que renvoyée par la commande ip[ et ton adresse IP publique https://debian-facile.org/doc:reseau:ip-publique

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#30 30-06-2018 08:43:51

Tito
Membre
Distrib. : Devuan ASCII 64 (100% free, fork de Debian)
Noyau : 4.9.0-7
(G)UI : TTY + LXDE de temps en temps
Inscription : 13-10-2016

Re : Pare feu iptable et c’est tout

Salut chalu smile

@tito à la base sous Jessie et stretch, je n’avais pas de firewall effectivement en étant en IPv4 car il y avait celui de la bx. Avec l’ipv6 je ne sais pas ce que ça change, certaines box n’auraient pas de pare feu ?



IPv4 ou Ipv6 ne change rien au principe de base, ils dépendent tous les deux de la pile TCP/IP du Kernel. Simplement, IPV6 a vu le jour pour répondre à une demande croissante de périphériques connectés à Internet (objets connectés). De 2 ^ 32, tu passes à 2 ^ 128, ce qui permet donc d'être tranquille pour un bout de temps en terme d'adresse Ip disponibles.
Dans IPv6, l'en-tête de paquet n'a pas de champs sans importance. Il n'a que 8 champs par rapport à 13 dans le cas d'IPv4. Les champs supplémentaires sont maintenant des extensions d'en-tête optionnelles. En outre, la taille de l'en-tête (40 octets) est presque le double de l'IPv4 (20 octets).
Le moins d'encombrement dans l'en-tête contribue à simplifier le traitement des paquets dans le routeur. Ainsi, rendre le traitement plus efficace et plus rapide. IPSec est une exigence majeure (natif) pour IPv6 ainsi qu'une meilleure gestion QoS faisait également parti du cahier des charges. Mais dans le cas d'IPv4, le protocole IPSec par exemple a été implémenté comme ajout facultatif.

Donc Ipv6 ne justifie pas la mise en place d'un FW, au contraire, cette nouvelle version est plus sécurisée que son ancêtre IPv4. ^^

Hors ligne

#31 30-06-2018 09:03:24

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

Merci Tito !
Mériterait d'être dans le tuto... wink

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#32 30-06-2018 10:15:48

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Merci Tito smile

J'ai encore des petites questions malgré tout tongue

Tito a écrit :

implement, IPV6 a vu le jour pour répondre à une demande croissante de périphériques connectés à Internet (objets connectés). De 2 ^ 32, tu passes à 2 ^ 128, ce qui permet donc d'être tranquille pour un bout de temps en terme d'adresse Ip disponibles.

Avec IPV6 la notion d'adresse privée/publique est elle encore d'actualité ? Parce-que même si c'est plutôt une conséquence du faible nombre d'adresse disponible, le fait d'avoir une box avec une seule adresse publique visible et un réseau privé empêche à un assaillant de scanner toutes les machines de ton réseau privé à la recherche d'un service à l'écoute.

Avec IPV6, si toutes les adresses sont publiques (ce qui serait plus pratique pour l'IoT), si ta box (routeur) fait suivre n'importe quelle requête sans rien filtrer, il est possible d'utiliser un scanner sur chaque machine/objet chez toi derrière la box. Cela augmente fortement les surface d'attaque et pourrait justifier la mise en place d'un mécanisme centralisé interdisant les requêtes entrante au delà de la box ?


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#33 30-06-2018 10:28:17

Jean-Pierre Pinson
Membre
Lieu : Orléans
Distrib. : Trisquel 8 64bits Ordi.: Thinkpad T400
Noyau : 4.4.0-64-generic x86_64
(G)UI : xfce
Inscription : 04-03-2017

Re : Pare feu iptable et c’est tout

Dites, ça intéresserait des gens de rédiger un tuto/article de vulgarisation (en mode Debian-Facile tongue ) sur le firewall et les principes qui le sous-tendent ?

Perso, je ne saurais pas faire techniquement, mais quelques intervenants de ce fil semble en être capable smile Je veux bien poser les questions de débutants si ça peut aider







Oui ce serait intéressant d'apprendre à configurer iptable et Fail2ban de manière simple smile merci.gif

Dernière modification par Jean-Pierre Pinson (30-06-2018 10:37:21)


Trisquel 8 64bits  Ordi.: Thinkpad T400
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#34 30-06-2018 10:42:58

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Jean-Pierre Pinson a écrit :

Oui ce serait intéressant d'apprendre à configurer iptable et Fail2ban de manière simple

En l'occurence, ce n'est pas un tuto de ce type auquel je pense, mais plus un article permettant de comprendre les bases du réseau, nécessaire à la bonne compréhension de ce qu'on fait avec un pare-feu, et non pas comment on le fait wink

Notons également que fail2ban n'est pas un pare-feu, même si il utilise iptables pour interdire l'accès d'une adresse IP à un serveur. Il se base sur des tentatives d'intrusion ratés visible dans les logs pour détecter les intrus.


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#35 30-06-2018 10:44:03

Jean-Pierre Pinson
Membre
Lieu : Orléans
Distrib. : Trisquel 8 64bits Ordi.: Thinkpad T400
Noyau : 4.4.0-64-generic x86_64
(G)UI : xfce
Inscription : 04-03-2017

Re : Pare feu iptable et c’est tout

bendia a écrit :

Dites, ça intéresserait des gens de rédiger un tuto/article de vulgarisation (en mode Debian-Facile tongue ) sur le firewall et les principes qui le sous-tendent ?

Perso, je ne saurais pas faire techniquement, mais quelques intervenants de ce fil semble en être capable smile Je veux bien poser les questions de débutants si ça peut aider big_smile

Édit : @tito, un pare-feu matériel, ça reste une machine dédié avec un logiciel dedans (probablement iptables d'ailleurs), comme les routeurs ?




Oui ce serait intéressant d'apprendre à configurer iptable et Fail2ban de manière simple smile merci.gif


Trisquel 8 64bits  Ordi.: Thinkpad T400
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#36 30-06-2018 10:49:29

Jean-Pierre Pinson
Membre
Lieu : Orléans
Distrib. : Trisquel 8 64bits Ordi.: Thinkpad T400
Noyau : 4.4.0-64-generic x86_64
(G)UI : xfce
Inscription : 04-03-2017

Re : Pare feu iptable et c’est tout

bendia a écrit :

Jean-Pierre Pinson a écrit :

Oui ce serait intéressant d'apprendre à configurer iptable et Fail2ban de manière simple

En l'occurence, ce n'est pas un tuto de ce type auquel je pense, mais plus un article permettant de comprendre les bases du réseau, nécessaire à la bonne compréhension de ce qu'on fait avec un pare-feu, et non pas comment on le fait wink

Notons également que fail2ban n'est pas un pare-feu, même si il utilise iptables pour interdire l'accès d'une adresse IP à un serveur. Il se base sur des tentatives d'intrusion ratés visible dans les logs pour détecter les intrus.



un article permettant de comprendre les bases du réseau, nécessaire à la bonne compréhension de ce qu'on fait avec un pare-feu aussi serait le bienvenu smile merci.gif


Trisquel 8 64bits  Ordi.: Thinkpad T400
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#37 30-06-2018 11:01:21

raleur
Membre
Inscription : 03-10-2014

Re : Pare feu iptable et c’est tout

bendia a écrit :

Avec IPV6 la notion d'adresse privée/publique est elle encore d'actualité ?


Oui, même si les noms on changé.
On parle d'adresse IPv6 globale et non publique.
On parle d'adresse IPv6 locale et non privée. Il en existe plusieurs types :
- les adresses locales de lien ("link local", fe80::/10), non routables, qui servent uniquement pour les communications bas niveau sur un lien
- les adresses locales de site ("site local", fec0::/10), routables entre les réseaux d'un site, aujourd'hui abandonnées et remplacées par les adresses ULA
- les adresses locales uniques ULA ("unique local addresses", fc00::/7), non routables sur l'internet public mais routables entre des sites locaux, par exemple via un VPN ou une liaison privée.

bendia a écrit :

Parce-que même si c'est plutôt une conséquence du faible nombre d'adresse disponible, le fait d'avoir une box avec une seule adresse publique visible et un réseau privé empêche à un assaillant de scanner toutes les machines de ton réseau privé à la recherche d'un service à l'écoute.


Tu rappelles à juste titre que cette "protection" apportée par l'adressage privé n'est qu'un effet de bord. J'ajoute que son efficacité dépend de facteurs externes comme le non-routage des adresses privées par les équipements amont et la position de l'attaquant. Par exemple Si l'attaquant est situé directement devant la box, alors l'adressage privé du LAN derrière la box ne l'empêche pas d'accéder aux machines sans redirection de trafic.
Faut vraiment avoir confiance pour confier sa sécurité à un effet de bord qui dépend de facteurs externes.

Concernant le scan d'un réseau IPv6, il faut rappeler que la taille classique d'un préfixe de réseau local est /64, c'est-à-dire 18 milliards de milliards d'adresses. Le scan complet va prendre du temps.

Dernière modification par raleur (30-06-2018 11:04:23)

Hors ligne

#38 30-06-2018 11:16:21

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

le tuto réseau s'agrandit de données... wink

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#39 01-07-2018 20:09:11

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-6-amd64 #1 SMP Debian 4.9.88-1+deb9u1
(G)UI : xfce
Inscription : 28-06-2017

Re : Pare feu iptable et c’est tout

chalu a écrit :

@tito à la base sous Jessie et stretch, je n’avais pas de firewall effectivement en étant en IPv4 car il y avait celui de la bx. Avec l’ipv6 je ne sais pas ce que ça change, certaines box n’auraient pas de pare feu ? Je ne me souviens pas
N’y comprenant rien du pourquoi comment de ce truc, j’ai installé ufw par précaution dans le sens où je n’ai pas réussi à savoir si le pare feu de l’a box était opérationnelle.
Un tuto clair serait le bienvenu smile



Bonsoir, Chalu.
Je ne me suis pas servi du pare-feu de la Freebox, pour mon serveur Owncloud (Jessie, Owncloud 10.x).

Mais je te vois parler d'ipv6 : il m'a fallu réinstaller Debian, en configurant manuellement le réseau.
Parce que, par défaut, Debian le configure en ipv6. Du coup, Apache écoutait bien le port 80... mais en ipv6. Pas la peine de le passer en HTTPS. Pour ça, j'ai suivi ce tuto : https://foxty.io/passer-owncloud-https/

Et, forcément, aucune bécane en ipv4 ne pouvait accéder au serveur. J'ai aussi appliqué ce tuto : https://www.memoinfo.fr/tutoriels-linux … ur-debian/
Pour l'instant, je ne sais pas faire gérer par Apache, ET l'ipv6 ET l'ipv4 sad
C'est pourtant possible : je l'ai vu sur un serveur (Owncloud, justement).

Hors ligne

#40 01-07-2018 20:21:12

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 (2018-10-08)
Noyau : 4.9.0-6-amd64 #1 SMP Debian 4.9.88-1+deb9u1
(G)UI : xfce
Inscription : 28-06-2017

Re : Pare feu iptable et c’est tout

Bonsoir à tous smile

@root@rkn : j'ai bien lu ton intervention.
Sur le fond, je suis parfaitement d'accord avec toi, sur le "windows like". Ce n'est pas ce que je recherche personnellement.
Mais... il faut bien apprendre... Du coup, parfois, une interface graphique aide à avancer, plutôt que rester bloqué, et on revient ensuite dans les pignons d'un OS aussi complexe que Linux. C'est de l'empirisme ? Ben... oui ! big_smile Mais même en programmation, l'empirisme existe aussi. La rigueur absolue, heu ! big_smile

Personnellement, je n'ai jamais rien vu d'aussi complexe que Linux : intellectuellement, c'est très stimulant. On réapprend tout en repartant de zéro.
Alors si on peut se faciliter temporairement l'accès au bas niveau, ça vaut quand-même mieux que de ne pas avancer du tout...

Hors ligne

#41 02-07-2018 15:53:31

hyrr0
Membre
Distrib. : Debain stable
Noyau : 4.9
(G)UI : KDE 5.8 LTS
Inscription : 12-01-2018

Re : Pare feu iptable et c’est tout

@root@rkn

En voyant cette belle réponse d'admin-sys, j'ai quelque part l'impression de parler à Linus Torvald qui trouve que tous les langages sauf le C sont pourris et que toute technologie autre que celles qu'il considère intéressantes sont bonnes à mettre à la poubelle! Heureusement que Cromagnon n'a pas dit pareil au premier qui est arrivé avec le feu en main... Sinon iptable n'existerait pas, ce forum non plus, et nous serions en train de nous prendre la tête pour savoir s'il faut utiliser du sang d'autruche ou d'oie pour les pigments de nos fresques murales au fin fond de notre grotte...

Je suis ingénieur en informatique. Du coup, si je suis ta logique d'admin système, je devrais aller au plus bas niveau pour avoir accès à l'intégralité des fonctionnalités d'un machine (ce que propose iptable pour toi)?

Oui, parfois c'est utile et je ne dis pas qu'il ne faut pas savoir s'en servir. Mais je dis bien parfois.

Tu as raison. L'utilisateur Lambda il veut du Windows Like. Et c'est quoi le problème? Windows a formaté les esprits à une façon de penser et d'utiliser un système d'exploitation. T'as beau parler, expliquer, t'arriveras peut être à installer un Linux chez quelqu'un qui trouvera certainement que c'est de la merde, que ça marche pas et qu'il priera le seigneur de lui réinstaller son Windows par la suite pour pouvoir jouer au dernier Assassin's Creed ou installer M$ Office...

Microsoft, c'est le cancer de l'informatique. Pourtant, il aura fallu combien de temps aux fumeurs pour comprendre que le tabac était cancérigène? Et combien de temps supplémentaire pour leur permettre d'arrêter concrètement? Pour moi, il y a deux phases : la prise de conscience puis la solution. Comme un fumeur sait que le tabac est mauvais, c'est pas pour autant qu'il ne fume plus. De la même façon, beaucoup de gens aujourd'hui savent que Microsoft (les GAFAM en général) sont mauvais pour leur liberté sur internet. Pourtant, ils s'en servent toujours. C'est une habitude... et comme le tabac, une habitude s'apparente à une drogue qu'il est malheureusement difficile de quitter.

Pour continuer ma métaphore, tu peux en effet arrêter de fumer du jour au lendemain. T'auras envie d'y retourner. C'est sûr. Mais t'auras la motivation et le courage de continuer dans ta direction salvatrice. Et puis tu as ceux qui vont abandonner. Réessayer. Abandonner... Est-ce que pour autant, il faut les laisser sur le carreau? Ils font des efforts pourtant. Sur n'importe quel graphique de la consommation du tabac, tu pourras voir la corrélation entre la diminution du nombre de fumeur et l'arrivée de la cigarette électronique. Similaire à la cigarette tant par sa forme que sa "vapeur". Elle a permit une transition à des gens qui, jusqu'à lors, n'avaient rien. Pour information, elle est arrivée progressivement de 2010 à 2012. Période qui, en France, marque la plus grosse diminution du nombre de fumeurs (en pourcentage) depuis les années 2000.

Alors ce que tu racontes dans tout ça, c'est bien gentil. Oui t'as des gens vont aller utiliser Linux parce qu'ils savent que ça leur apporte quelque chose de positif au prix de quelques sacrifices d'habitude. Et t'as ceux qui vont se sentir frustrés du changement et à qui Windows manquera. Pour prendre une métaphore pédagogique cette fois, t'as le prof de sport qui pour apprendre à nager à ses élèves va les mettre dans l'eau en attendant de voir si un miracle se produit. Et t'as celui qui va prendre le temps et y aller par étapes. Pédagogiquement parlant, je suis plus du deuxième bord. Utiliser un système Windows Like, n'a rien de mauvais. Au contraire, il permet à des gens de mettre le pied à l'étrier et de se spécialiser par la suite s'ils en ont envie/besoin.

Pour en revenir au sujet de départ, c'est quoi le mieux pour les règles d'un Firewall? D'un point de vue technique, c'est sans hésitation iptables. Maintenant, qu'il existe des solutions plus simples mises à disposition des gens me parait être une bonne chose. Sinon, à quoi servent les interfaces graphiques alors qu'on a un bon vieux terminal? L'évolution c'est la simplification. C'est par la simplification qu'on démocratise une technologie. Et faisant la promotion d'iptable comme vérité absolue, tu marginalises de façon conséquente Linux en lui gardant son étiquette de "système de geek" là où des générations de développeurs essaient de le rendre plus accessible. C'est, à mon avis, une erreur que de vouloir persister dans ce modèle old-school réservé aux puristes.

Une simple question : LibreOffice 6 met en place une interface à onglets à la M$ Office. Ma propre femme, qui n'a jamais voulu utiliser LibreOffice car elle était perdue (elle utilise Word quotidiennement), l'utilise maintenant grâce à ces onglets. Je suppose que, de la même façon que Gufw, c'est un aberration pour certains d'entre-vous? Ou bien il existe quand même des gens qui pensent comme moi... ?

Dernière modification par hyrr0 (02-07-2018 15:56:15)

Hors ligne

#42 02-07-2018 16:32:14

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

@hyrr0
Pour progresser, il ne faut pas une seule pensée commune mais une pensée particulière à chacun, c'est ce qui nous enrichi tous.
L'idée du puriste est une idée aussi convenable que l'idée du laxiste, pourvu que les intentions, elles, soient bien partagées. cool

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#43 02-07-2018 16:37:41

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

hyrr0 a écrit :

Microsoft, c'est le cancer de l'informatique. Pourtant, il aura fallu combien de temps aux fumeurs pour comprendre que le tabac était cancérigène? Et combien de temps supplémentaire pour leur permettre d'arrêter concrètement?

Filons la métaphore : je sais que fumer donne le cancer, mais je suis persuadé que c'est l'allumette. Alors, je continue à fumer mais j'allume avec un briquet, et je me crois donc tranquille tongue

Spécifiquement avec les firewalls, et ce qui a trait au réseau dans l'ensemble, ça me semble un peu pareil. Lorsque le problème est ta façon d'interagir avec un firewall, alors là oui, te poser la question de ufw, gufw, iptables devient pertinentes. Mais lorsque le fait de ne pas arriver à tes fins est une question de méconnaissance du fonctionnement du réseau, changer d'interface ne changera rien à ça.

J'en parle en connaissance de cause, je ne suis pas informaticien et ai bien du mal avec ce qui dépasse la couche 1 du modèle OSI wink


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#44 02-07-2018 17:33:52

hyrr0
Membre
Distrib. : Debain stable
Noyau : 4.9
(G)UI : KDE 5.8 LTS
Inscription : 12-01-2018

Re : Pare feu iptable et c’est tout

Mais lorsque le fait de ne pas arriver à tes fins est une question de méconnaissance du fonctionnement du réseau, changer d'interface ne changera rien à ça.



Il faut les deux. Les outils, et la connaissance. Tu peux savoir faire un trou dans un mur, mais je peux te filer une perceuse à main à l'ancienne ou une perceuse à percussion moderne. Dans les deux cas, ça fait des trous, mais tu vas prendre quoi de préférence? Perso, je file sur le perfo...

Pourquoi le PC est si populaire? C'est que Microsoft a sur créer un OS simple et facile d'accès. Quand tu le démontes tu te rend compte que c'est de la merde. Mais au premier abord et dans un usage quotidien, c'est pas si mal. Alors si je te donne le choix d'un vieux PC à bande et un PC d'aujourd'hui? Pourtant le principe est le même... rien n'a réellement changé. On a juste changé les interfaces. Preuve que c'est bien là que tout se joue.

Alors oui, parfois c'est un souci de méconnaissance. Mais y'a des gens qui savent... Quand tu installes un firewall, les règles par défaut sont faites pour correspondre au plus grand nombre. C'est pas parfait, mais c'est mieux que rien. Et là, il te faut juste un bouton pour activer ou désactiver ton firewall (Gufw).

Je dis pas que c'est la panacée! Mais c'est mieux que rien... Tu dis à Mamie d'aller configurer iptables pour protéger son PC, elle va laisser son dentier sur le clavier à force de se taper la tête sur le bureau... Je reste partisan de la solution perenne qu'est iptable. De la même façon que je considère qu'en ingénierie logiciel, il est bon de parfois retourner aux sources et de ne pas tout confier à un framework. Mais faut être honnête que, de la même façon que j'ai pas envie de me faire chier à coder un serveur en C à chaque fois que j'ai besoin d'un serveur Web, un mec aura pas forcément envie (et encore moins les connaissances) pour se taper des règles iptables.

Y'a un prof que j'avais en école d'ingé qui disait qu'il fallait considérer que tout le monde était con (Bon... ça aide pas dans les relations sociales). Mais je comprends ce qu'il voulait dire maintenant. Quand tu fais un truc, faut penser simple. C'est pas pour rien que c'est devenu un design pattern : le KIS (Keep It Simple). Toutes les interfaces ont une vocation de simplification. Certaines sont meilleures que d'autres. Iptable pour un débutant c'est du suicide.

Hors ligne

#45 02-07-2018 17:49:12

chalu
Modératrice
Lieu : Anjou
Distrib. : Debian Stretch + backports
Noyau : Linux 4.9.0-8-amd64
(G)UI : Mate 1.20
Inscription : 11-03-2016

Re : Pare feu iptable et c’est tout

@hyrr0 : je ne pense pas que tu sois seul à penser que développer des outils simples est une bonne chose smile
En fait tout dépend de l’usage. Et l’utilisation d’un administrateur système professionnel n’est pas la même que celle de quelqu’un comme moi avec un PC clé en main.
Ce qui est bien, c’est que Debian peut aller comme un gant à chacun.

Hors ligne

#46 02-07-2018 18:26:23

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Pare feu iptable et c’est tout

hyrr0 a écrit :

C'est que Microsoft a sur créer un OS simple et facile d'accès.


Là, c'est de la propagande, je vois pas un utilisateur lambda installer/réparer/réinstaller tout seul un windows ou un mac HS.
J'ai un ami qui en vit et son atelier de réparation regorge de ce genre de pc... wink

À noter qu'il me confie les installations du libre quand elles sont demandées et on les revoit rarement revenir en réparation... big_smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#47 02-07-2018 19:48:36

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

hyrr0 a écrit :

Tu peux savoir faire un trou dans un mur, mais je peux te filer une perceuse à main à l'ancienne ou une perceuse à percussion moderne. Dans les deux cas, ça fait des trous, mais tu vas prendre quoi de préférence? Perso, je file sur le perfo...

Ben oui, mais dans un mur en briquette, ça risque de ne pas faire exactement ce que tu prévoyais que ça fasse (Tiens, bonjour voisin tongue ) C'est pas l'outil qui fait l'artisan wink

Par ailleurs, si tu relis le reste de la discussion du dessus, le firewall pour se protéger (de quoi ?) sur le PC de Mamie, en particulier sous Linux, ben ça ne semble pas servir à grand chose hmm


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#48 02-07-2018 21:11:40

Jean-Pierre Pinson
Membre
Lieu : Orléans
Distrib. : Trisquel 8 64bits Ordi.: Thinkpad T400
Noyau : 4.4.0-64-generic x86_64
(G)UI : xfce
Inscription : 04-03-2017

Re : Pare feu iptable et c’est tout

smolski a écrit :

hyrr0 a écrit :

C'est que Microsoft a sur créer un OS simple et facile d'accès.


Là, c'est de la propagande, je vois pas un utilisateur lambda installer/réparer/réinstaller tout seul un windows ou un mac HS.
J'ai un ami qui en vit et son atelier de réparation regorge de ce genre de pc... wink



Tout dépend ce que tu appelles un utilisateur lambda, personnellement je suis capable de réinstaller les trois systèmes: Linux, Mac, Windows, sans problèmes majeur, suis-je un utilisateur lambda ? Je pense que la difficulté, est plus quand on veut vraiment approfondir, ses connaissances, en informatique, car installer un système, je pense que c'est à la portée de tous, à condition d'avoir un peu de temps, et l'envie de s'y consacrer. En revanche il est vrai, que beaucoup de personnes une fois leur journée de travail terminée, non pas forcément envie de se plonger dans autre chose que les loisirs. Tu me diras ça peut être un loisir l'informatique, Mais hélas pour beaucoup, c'est une prise de tête.


Trisquel 8 64bits  Ordi.: Thinkpad T400
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#49 02-07-2018 21:47:58

Jean-Pierre Pinson
Membre
Lieu : Orléans
Distrib. : Trisquel 8 64bits Ordi.: Thinkpad T400
Noyau : 4.4.0-64-generic x86_64
(G)UI : xfce
Inscription : 04-03-2017

Re : Pare feu iptable et c’est tout

bendia a écrit :

Par ailleurs, si tu relis le reste de la discussion du dessus, le firewall pour se protéger (de quoi ?) sur le PC de Mamie, en particulier sous Linux, ben ça ne semble pas servir à grand chose hmm



oui sur le PC de Mamie, en particulier sous Linux, ça ne semble pas servir à grand chose, quoi que.....Enfin bref. En revanche Pour celui qui utilisent un serveur ssh (C'est mon cas) Il est sûrement utile, de connaître le fonctionnement du réseau et de iptable etc....Et j'avoue que c'est particulièrement difficile à comprendre pour moi. Je ne sais pas si c'est facile à expliquer de manière simple, et compréhensible, à quelqu'un qui n'a pas forcément beaucoup de connaissances en informatiques, mais en tout cas, je trouve que ça vaudrait le coup d'essayer.


Trisquel 8 64bits  Ordi.: Thinkpad T400
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#50 02-07-2018 22:18:07

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Pare feu iptable et c’est tout

Jean-Pierre Pinson a écrit :

n revanche Pour celui qui utilisent un serveur ssh (C'est mon cas) Il est sûrement utile, de connaître le fonctionnement du réseau et de iptable etc...

Je suis aussi dans le même cas wink

En fait, il me semble que la question est, comment te connectes-tu via ssh, et comment quelqu'un qui voudrait prendre le contrôle de ton serveur essayerais de le faire ?


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

Pied de page des forums