Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-11-2012 15:32:47

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

[Résolu] Comprendre : parefeu iptables ufw

Je voudrais vérifier l'état du parefeu et la protection de ma machine.
Comme d'hab, je comprends rien !
Autant que je me souvienne, au départ, j'ai configuré iptables convenablement (je veux dire en suivant bêtement des tutos auxquels je ne comprennais rien).

$ aptitude search iptable
p   arno-iptables-firewall                                                                          - single- and multi-homed firewall script with DSL/ADSL support                                            
i   iptables                                                                                        - administration tools for packet filtering and NAT                                                        
p   iptables-dev                                                                                    - iptables development files                                                                                
p   iptables-persistent                                                                             - Simple package to set up iptables on boot                                                                
p   libiptables-chainmgr-perl                                                                       - Perl extension for manipulating iptables policies                                                        
p   libiptables-parse-perl    


J'ai aussi installé ufw mais je viens de m'apercevoir qu' il ne s'installe pas au démarage, je dois l'activer :

$ sudo ufw status verbose
Status: inactive
$ sudo ufw enable
Firewall is active and enabled on system startup


Mais à quoi sert ufw ? Est-ce le parefeu ? ou une interface qui permet de définir les régles ?
Si j'ai bien tout compris, le vrai parefeu c'est netfilter configuré par iptables.

Il y a déjà un fil ufw mais pour wheezy  et il ne m'apprends rien (aucun exemple qui coresponde à ce que je vois sur ma machine).
http://debian-facile.org/viewtopic.php?id=6101

--help --help ! je perds l'équi-libre !

Dernière modification par Y316 (06-12-2012 15:31:17)


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#2 24-11-2012 21:35:18

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Le parefeu, c'est netfilter, il est inclu au noyau linux.
Iptables est un frontend sur netfilter
UFW est un frontend sur iptables, la syntaxe de ce dernier est assez complexe pour un débutant, c'est pour ça qu'UFW a été développé wink

Pour connaitre les regles  iptables que tu as configuré, via UFW ou/et manuellement, utilises la commande suivante

# iptables -L -n -v



Tu remarquera que le retour est particulierement indigeste pour un non initié

Pour voir les regles configuré avec ufw, tu utilises la commande

# ufw status

Dernière modification par vince06fr (24-11-2012 21:51:29)

Hors ligne

#3 24-11-2012 22:57:42

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Merci de confirmer ma logique.
Protéger le noyau c'est bien l'essentiel  et à faire avant tout, n'est-ce pas ?

#ufw status me renvoie "active"  et #ufw status verbose  :

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip



Mais si j'arrete le système, ufw ne sera plus actif au redémarage, il faut l'activer (# ufw enable), contrairement à ce qui est écrit ici :

http://debian-facile.org/logiciel:ufw#e … on_avancee
Une fois que le pare feu est en route, il l'est toujours. Vous pouvez éteindre l'ordinateur au prochain démarrage le pare feu sera actif


J'ai bien trouvé cette réponse : http://debian-facile.org/viewtopic.php?pid=45549#p45549 , mais c'était bon aussi :

# sudo nano /etc/ufw//ufw.rules

# /etc/ufw/ufw.conf
#

# Set to yes to start on boot. If setting this remotely, be sure to add a rule
# to allow your remote connection before starting ufw. Eg: 'ufw allow 22/tcp'
ENABLED=yes

# Please use the 'ufw' command to set the loglevel. Eg: 'ufw logging medium'.
# See 'man ufw' for details.
LOGLEVEL=low




J'ai également vérifié le fichier /etc/ufw/before.rules pour interdire le ping comme indiqué plus bas dans le même tuto :

Pour interdire le ping (ICMP Echo Request), il faut commenter la ligne suivante dans le fichier /etc/ufw/before.rules:
# -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

voici l'extrait du résultat :

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
#-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT


Or le ping réponds !
Qu'à cela ne tiennes me dis-je, voyons iptables :

http://debian-facile.org/manuel:parefeu-iptables
Cette page n'existe pas encore
Vous avez suivi un lien vers une page qui n'existe pas encore. Si vos droits sont suffisants, vous pouvez utiliser le bouton Créer cette page.


Ai-je besoin de ufw si iptables est correctement écrit ?


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#4 25-11-2012 00:34:01

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

UFW applique un ensemble de règles de base dans IPTABLES qui sont utilisées pour appliquer les règles simplifiées.
Ces règles sont consultables en tapant la commande :

# ufw show raw


Tu noteras que des détails concernant la configuration par défaut de UFW peuvent être modifiés dans /etc/default/ufw et dans /etc/ufw/ufw.conf (particulièrement le fait qu’il soit actif au boot ou non).

Reprends le tuto en interdisant tout par defaut, puis petit à petit, tu ouvres juste les ports dont tu as besoin smile
Interdire les connexions entrantes :

# ufw default deny incoming


interdire les connexionx sortantes

# ufw default deny outgoing


#ufw disable pour en retrouver big_smile
Dans ce cas, je n'ai plus de connexion, ce qui prouve que le pare feu bosse:

root@lorus:/home/lorus# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip
 



Par exemple tu ouvres le port 80 (http)

# ufw allow 80/tcp



Si tu ping ton pc toi même, ferme bien toute les connections entrantes et ouvres les connexions sortantes (le ping part et se hurte à ton firewall big_smile)

Amitiés.

Lorus.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#5 25-11-2012 11:45:13

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Ce que je ne comprends pas :
si ufw sert à écrire dans iptables, pourquoi doit-il être actif en permanence ?

Qu'est-ce qu'un "frontend" exactement ?
#un outil pour écrire des règles momentanément.
#une interface qui doit être en fonctionnement permanent.

Sauf erreur, avant d'installer ufw (présent dans main mais pas installé par défaut), j'ai configuré iptables à l'aide de différents tutos et débats et en travaillant son script de démarrage. Donc je me demande : à quoi sert ufw dans la circonstance ?

Maintenant, prenons la démarche d'un installation neuve.
J'en étais à : installer grub2; installer un noyau/système minimum;  ...et donc;
configurer iptables avant la toute première connexion.

Que pensez vous de ces démarches ?

[Edit ajouter] :  Le tuto qui m'a servi pour iptables :  http://doc.ubuntu-fr.org/iptables

Dernière modification par Y316 (25-11-2012 12:13:30)


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#6 25-11-2012 12:40:05

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Les règles configurées dans iptables sont perdu aux redémarrage, pour les rendre persistantes, il faut creer un script bash qui applique les regles à chaque demarrage de la machine
http://doc.ubuntu-fr.org/iptables#appli … _demarrage

UFW garde en memoire les regles que tu les lui as indiqué et donc s'il est actif au démarrage, il remplace le script de démarrage que tu es obligé de faire avec iptables

Front end
Frontal
Point d'entrée du système d'information. Par exemple, l'interface graphique d'un poste de travail constitue un point d'entrée pour les données. Mais l'expression anglaise "front end" peut également désigner une machine complète qui effectue des traitements préliminaires ou gère des transactions pour un ordinateur plus puissant. Elle est alors l'abréviation de "front end processeur" ou ordinateur frontal.


Dans le cas d'UFW, on pourrait  peut être remplacer front-end par interface utilisateur (UI).

Sauf erreur, avant d'installer ufw (présent dans main mais pas installé par défaut), j'ai configuré iptables à l'aide de différents tutos et débats et en travaillant son script de démarrage. Donc je me demande : à quoi sert ufw dans la circonstance ?


Je dirais A rajouter des règles en précisant que ça t'oblige à ne pas faire confiance à ufw status, mais comme te l'as déjà signaler lorus tu peux lister l'ensemble des règles iptables à l'aide de la commande  ufw show raw
les rêgles UFW apparaissent dans iptables sous forme de chain

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

 


Mais les regles que tu as configuré avec iptables n'apparaissent pas dans UFW..


Maintenant, prenons la démarche d'un installation neuve.
J'en étais à : installer grub2; installer un noyau/système minimum;  ...et donc;
configurer iptables avant la toute première connexion.


Ou bien installer UFW et le configurer si tu ne veux pas t’embêter avec la syntaxe d'iptables
Attention UFW est largement suffisant pour une configuration classique de netfilter mais iptables est bien plus puissant et permet plus de choses, par exemple il n'est pour l'instant pas possible de natter les ports avec UFW. Pour certaines actions avancées, l'usage d'iptables est donc incontournable.

Dernière modification par vince06fr (26-11-2012 09:12:43)

Hors ligne

#7 25-11-2012 14:38:41

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Questions pratiques intermédiaires :

quand on a suivi le tuto cidessous, quelle autre commande en console pour vérifier la prise en compte du script de démarage iptables ?
interoger le log de boot, j'imagine ! mais avec quel filtre, quelles options ? ... pour aller droit au but ?
Pour une fois, je veux bien une commande à copier/coller.

http://doc.ubuntu-fr.org/iptables#appliquer_les_regles_au_demarrage
Le reste du fichier doit contenir les commandes iptables que vous avez générées.
Déplacez le script iptables dans /etc/init.d
sudo mv /emplacement/du/script/iptables /etc/init.d
Rendez ce script exécutable :
sudo chmod +x /etc/init.d/monIptables
Pour indiquer à votre ordinateur de l'utiliser au démarrage:
sudo update-rc.d monIptables defaults
Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :
sudo iptables -L

les rêgles UFW apparaissent dans iptables sous forme de chaine
Mais les regles que tu as configuré avec iptables n'apparaissent pas dans UFW..


Que voulez vous dire ?
Faut-il comprendre une généralité : "Mais les regles configurées avec iptables n'apparaissent pas dans UFW.."
ou comprendre que c'est bien ma configuration qui est mauvaise  : "Mais les regles que tu as configuré avec iptables n'apparaissent pas dans ton UFW.."


Pour certaines actions avancées, l'usage d'iptables est donc incontournable.


Et donc, je me dis qu'utiliser iptables, c'est laisser libres toutes possibilités à venir pour l'usage de la machine, même si je n'en ai pas l'utilité pour l'instant.
Et iptables se trouve dans le noyau, pas ufw; (Non/oui) :
Quitte à devoir se torturer le neurone sur une syntaxe, autant aller directement au "causer iptables"; (Non/oui) :
DROP IN DROP OUT, çà au moins ça parle au Michu; (Non/oui) :



Ps :
Tuto iptables très clair trouvé en lien sur la page ubuntu : http://formation-debian.via.ecp.fr/firewall.html

Ps ajout :

vince06fr a écrit :

http://debian-facile.org/viewtopic.php?pid=55349#p55349
Si tu désactives UFW, tu désactive les rêgles iptables que tu as configuré à l'aide d'UFW.
Effectivement si tu n'a pas creer d'autres regles iptables que les regles UFW cela reviens à ouvrir tous les ports

Dernière modification par Y316 (25-11-2012 15:04:00)


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#8 25-11-2012 15:42:05

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

J'ai pas du être très clair. Des fois quand je me relis je ne me comprend pas moi-même lol

Pour faire simple

c'est netfilter le pare-feu dans le noyau , ni ufw ni iptables ne sont compilé dans le noyau

Iptables sert à configurer netfilter
UFW sert à configurer iptables à l'aide d'une syntaxe simplifié

Faut-il comprendre une généralité : "Mais les regles configurées avec iptables n'apparaissent pas dans UFW..


Non on peut les voir avec la commande

ufw show raw


elle ne sont juste pas listé par

ufw status



Quitte à devoir se torturer le neurone sur une syntaxe, autant aller directement au "causer iptables"; (Non/oui) :
DROP IN DROP OUT, çà au moins ça parle au Michu; (Non/oui) :


Aucune importance, le jour ou tu en as besoin, il sera toujours temps, de plus ufw est un projet jeune, il n'est pas impossible que le jour ou tu auras besoin d'une fonction avançée, celle-ci soit implémenté dans ufw

Dernière modification par vince06fr (25-11-2012 15:54:03)

Hors ligne

#9 25-11-2012 16:33:34

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu] Comprendre : parefeu iptables ufw

Y316 a écrit :

Mais si j'arrete le système, ufw ne sera plus actif au redémarage, il faut l'activer (# ufw enable), contrairement à ce qui est écrit ici :

http://debian-facile.org/logiciel:ufw#e … on_avancee
Une fois que le pare feu est en route, il l'est toujours. Vous pouvez éteindre l'ordinateur au prochain démarrage le pare feu sera actif


Bizarre, pour moi, il est actif au redémarrage (juste après installation).


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#10 25-11-2012 18:12:01

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

@vince06fr :
Merci pour votre aide qui m'est précieuse.
Rassurez vous, c'est moi qui suis singulier en matière de logique. Mais comme c'est le cas de chacun, disons : un peu plus singulier que singulier.
Par exemple,  cool
je trouve singulier que ce soit un ardent défenseur de la logithèque qui soit le premier à m'expliquer la ligne de commande. lol

@paskal :
Bizare oui et c'est le pourquoi de cette file.
ufw ne se lance pas au démarrage malgrès que j'ai suivi les conseils donnés.
heureusement, il y a iptables qui doit être configuré correctement puisque je l'avais fait avant.

Je vais vérifier tout cela en détail.
En attendant, tout commentaire est le bienvenu.

smile Bonsoir à tous.

Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#11 25-11-2012 20:22:29

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Je ne suis pas un ardent défenseur de la logithèque, je ne l’ai utilisé que pour la tester, je suis un ardent défenseur des logiciels libres, et la logithèque est un logiciel libre..

Pour ton probleme d'ufw qui ne demarre pas, c'est peut être le lien vers le script de demarrage du daemon ufw qui n'est pas à jour
essaye :

# update-rc.d ufw defaults

Dernière modification par vince06fr (25-11-2012 20:26:24)

Hors ligne

#12 25-11-2012 22:26:28

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Yep Y316 ! smile

Je te joins mon fichier de configuration de ufw sous wheezy

# /etc/ufw/ufw.conf
#

# Set to yes to start on boot. If setting this remotely, be sure to add a rule
# to allow your remote connection before starting ufw. Eg: 'ufw allow 22/tcp'
ENABLED=yes

# Please use the 'ufw' command to set the loglevel. Eg: 'ufw logging medium'.
# See 'man ufw' for details.
LOGLEVEL=low



Un petit

# ufw status verbose


root@lorus:/home/lorus# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
80/tcp                     ALLOW OUT   Anywhere (v6)
53/udp                     ALLOW OUT   Anywhere (v6)
443/tcp                    ALLOW OUT   Anywhere (v6)
 



Bizarre que chez toi ça ne fonctionne pas, pour ma part ufw est lancé en auto...

Sinon, tu as gufw, une interface graphique pour ufw, question d'habitude big_smile

Bonne soirée.

Lorus.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#13 25-11-2012 23:42:12

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Au fait, tu édites ton fichier /etc/ufw/ufw.com avec nano? Penses bien à faire ctrl + o et appuyer sur entrée pour sauvegarder...
Parce que là c'est assez zarb cette histoire.
smile

ÉDIT:
J'ai fais la même manip que toi pour refuser le ping, tout en sachant que ma politique est d'interdire toute connexions entrantes et sortantes par défaut... J'ouvre seulement les ports pour du http sortant et je teste via mon réseau avec un autre pc, résultat:

lorus@lorus:~$ ping 192.168.1.27
PING 192.168.1.27 (192.168.1.27) 56(84) bytes of data.
^C
--- 192.168.1.27 ping statistics ---
37 packets transmitted, 0 received, 100% packet loss, time 36287ms
 



37 packets envoyés, 0 reçu, donc 100% de perte, clairement ma machine ne répond pas au ping smile

Dernière modification par lorus (26-11-2012 00:56:52)


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#14 26-11-2012 08:12:22

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [Résolu] Comprendre : parefeu iptables ufw

Pas mieux hmm
Peut-être tout raz ?

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#15 26-11-2012 08:28:39

Thuban
Modérateur
Distrib. : OpenBSD
Noyau : current
(G)UI : xfce ou dwm
Inscription : 09-01-2009
Site Web

Re : [Résolu] Comprendre : parefeu iptables ufw

Je ne suis pas un expert en parefeu, mais un document qui m'a permis (du temps ou j'avais configuré mon parefeu) de comprendre le minimum, c'était ça : http://olivieraj.free.fr/fr/linux/information/firewall/

Desfois que ça serve...

YA3HGA-H

En ligne

#16 26-11-2012 21:28:42

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Bonsoir  smile  Merci à tous.

les conseils : oui j'ai fait tout cela.
gufw ? oui mais c'est moins drole.
tout raz ? ça me rappelle des hard$trip$ !
La doc ? Géniale ! (et téléchargeable en page unique, c'est un bonheur pour la recherche).

Mais je n'ai rien trouvé de plus.
Sauf qu'aujourd'hui, j'ai donc activé ufw en premier et que très vite j'ai eu des problèmes de connexion. Donc j'ai désactivé puisque de toutes façons avant il était désactivé à mon insu. 
big_smile Il faut croire que mon iptables est béton !

Une question pour peut-être une piste :
Est-il possible que le fichier /etc/default/ufw soit "maitre" du fonctionnement de ufw ?

je m'explique :
dans le répértoire /etc/ j'ai dossier ufw qui contient ufw.conf sur lequel nous travaillons et sur lequel se basent tous les tutos.
Comme dit lorus :

Tu noteras que des détails concernant la configuration par défaut de UFW peuvent être modifiés dans /etc/default/ufw et dans /etc/ufw/ufw.conf (particulièrement le fait qu’il soit actif au boot ou non).



Mais dans /etc/ j'ai aussi un dossier "default" qui contient un fichier ufw  (NB : et également un fichier alsa).
J'ai donc :  /etc/default/ufw  et  /etc/ufw/ufw.conf  (NB : mais seulement un fichier /etc/default/alsa).
Lequel primez sur l'autre ?

Pourquoi je parle d'alsa ?
Parceque j'ai un bug alsa sur le log de connexion (amixer, je crois) et que le fichier /etc/default/alsa est entierement commenté.
Donc, je me propose de "tripoter" cela d'abord pour valider l'hypothèse que le fichier /etc/default/ufw prime sur /etc/ufw/ufw.conf.

cool  Economie de chocolat : http://debian-facile.org/viewtopic.php?id=6212 (Sujet Alsa : amixer absent)

Dernière modification par Y316 (26-11-2012 21:30:51)


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#17 26-11-2012 22:03:22

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

/etc/default/ufw => applique les paramètres à iptable, gère l'ipv6 + d'autre chose... C'est simplement les valeurs par défaut de UFW! Le .conf dans /etc/tonaplli/ton appli.conf prime tjrs sur le reste.

Y316 a écrit :

Il faut croire que mon iptables est béton !



Laisse béton iptable pour le moment, on va esayer de résoudre tes déboires, ufw est beaucoup plus simple que iptables big_smile

Sauf qu'aujourd'hui, j'ai donc activé ufw en premier et que très vite j'ai eu des problèmes de connexion. Donc j'ai désactivé puisque de toutes façons avant il était désactivé à mon insu.



Quand il activé, peux-tu me donner ce que renvoi la commande:

# ufw status verbose



Merci.

Édit:

En même temps peux-tu me donner ce que renvoi

# iptables -L

Cela sortira la liste de tes règles iptables actuelles

Re merci big_smile

Dernière modification par lorus (26-11-2012 22:12:05)


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#18 26-11-2012 22:26:44

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Ici aussi tu peux trouver des infos: http://debian-facile.org/logiciel:ufw

Hors ligne

#19 26-11-2012 22:48:51

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Le .conf dans /etc/tonaplli/ton appli.conf prime tjrs sur le reste.

C'est noté ! smile

Pour le moment, mon déboire principal c'est l'activation de ufw au démarrage.

$ sudo ufw status verbose
Status: inactive


$ sudo ufw enable
Firewall is active and enabled on system startup


$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip



# iptables -L   ((avec ufw désactivé)

Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere

Dernière modification par Y316 (26-11-2012 23:04:01)


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#20 26-11-2012 23:05:19

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Ok c'est bien vide... Vois le miens que ufw à configuré pour moi

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ufw-before-logging-input  all  --  anywhere             anywhere            
ufw-before-input  all  --  anywhere             anywhere            
ufw-after-input  all  --  anywhere             anywhere            
ufw-after-logging-input  all  --  anywhere             anywhere            
ufw-reject-input  all  --  anywhere             anywhere            
ufw-track-input  all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination        
ufw-before-logging-forward  all  --  anywhere             anywhere            
ufw-before-forward  all  --  anywhere             anywhere            
ufw-after-forward  all  --  anywhere             anywhere            
ufw-after-logging-forward  all  --  anywhere             anywhere            
ufw-reject-forward  all  --  anywhere             anywhere            

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ufw-before-logging-output  all  --  anywhere             anywhere            
ufw-before-output  all  --  anywhere             anywhere            
ufw-after-output  all  --  anywhere             anywhere            
ufw-after-logging-output  all  --  anywhere             anywhere            
ufw-reject-output  all  --  anywhere             anywhere            
ufw-track-output  all  --  anywhere             anywhere            

Chain ufw-after-forward (1 references)
target     prot opt source               destination        

Chain ufw-after-input (1 references)
target     prot opt source               destination        
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-ns
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-dgm
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootps
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootpc
ufw-skip-to-policy-input  all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-output (1 references)
target     prot opt source               destination        

Chain ufw-before-forward (1 references)
target     prot opt source               destination        
ufw-user-forward  all  --  anywhere             anywhere            

Chain ufw-before-input (1 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere             state INVALID
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp source-quench
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             224.0.0.251          udp dpt:mdns
ACCEPT     udp  --  anywhere             239.255.255.250      udp dpt:1900
ufw-user-input  all  --  anywhere             anywhere            

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination        

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination        

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination        

Chain ufw-before-output (1 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp source-quench
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ufw-user-output  all  --  anywhere             anywhere            

Chain ufw-logging-allow (0 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
target     prot opt source               destination        
RETURN     all  --  anywhere             anywhere             state INVALID limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
target     prot opt source               destination        
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type MULTICAST
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
DROP       all  --  anywhere             anywhere            

Chain ufw-reject-forward (1 references)
target     prot opt source               destination        

Chain ufw-reject-input (1 references)
target     prot opt source               destination        

Chain ufw-reject-output (1 references)
target     prot opt source               destination        

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination        
DROP       all  --  anywhere             anywhere            

Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination        
DROP       all  --  anywhere             anywhere            

Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination        
DROP       all  --  anywhere             anywhere            

Chain ufw-track-input (1 references)
target     prot opt source               destination        

Chain ufw-track-output (1 references)
target     prot opt source               destination        

Chain ufw-user-forward (1 references)
target     prot opt source               destination        

Chain ufw-user-input (1 references)
target     prot opt source               destination        

Chain ufw-user-limit (0 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination        

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination        

Chain ufw-user-logging-output (0 references)
target     prot opt source               destination        

Chain ufw-user-output (1 references)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
 



Ajoute ces quelques commandes(c'est ma config de test) ufw activé et en root


# ufw default deny outgoing
# ufw allow out 80/tcp
 # ufw allow out 53/udp
 # ufw allow out 443/tcp


et remets moi le résultat obtenu

Merci.

Utilises-tu un script de démarrage pour iptables? (relatif à tes soucis de démarrage de ufw au boot). Sur quel tuto t'es tu basé pour configurer ton iptables?

Yep!


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#21 26-11-2012 23:58:43

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Pardon, j'ai édité le message précédent pour préciser que #iptables -L était fait avec ufw désactivé.

Le temps que j'active ufw pour vous donner le #iptales -L et j'ai eu des problèmes de connexion (je viens de rebooter donc).

Mais quand ufw est activé la commande renvoie le même type de réponse que la votre avec une longue liste de règles.
Resterait à analyser ces règles ...
Mais pour le moment, pourquoi ne pas vérifier iptables ?  Il dit quoi mon iptables -L  ??  sans ufw ???

Comment j'ai configuré ? Je ne sais plus, à l'aide du plusieurs tutos ... je crois.

script de démarrage ?
big_smile  c'est où qu'on trouve çà  ?
chez les revendeurs de pièces auto ? big_smile

Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#22 27-11-2012 01:03:26

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

lorus a écrit :

Ajoute ces quelques commandes(c'est ma config de test) ufw activé et en root


"en root" ?? est-ce différend de "sudo > passwrd utilisateur principal" ?
J'ai lu un truc la dessus qui disait que certaines commandes devaient passer  par su > root et non sudo > droits utilisateur
??


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#23 27-11-2012 06:20:45

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] Comprendre : parefeu iptables ufw

Y316

Le meilleur truc pour sudo, c'est le tuto sudo du wiki df, là :
http://debian-facile.org/doc:systeme:sudo
wink

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#24 27-11-2012 10:17:56

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

smile Merci smolski
J'ai bien suivi ce tuto en son temps avec :

Pour un seul utilisateur, il n'est pas nécessaire d'intégrer ce dernier dans le groupe sudo sudo
UN SEUL utilisateur AVEC mot de passwd demandé
C'est la configuration préconisée pour tous les utilisateurs de sudo débutant.


Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#25 27-11-2012 10:33:08

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] Comprendre : parefeu iptables ufw

Il y a d'indiquer en avant dernière section :

Utilisation de SUDO

Il est ainsi possible d'accomplir :

    Moultes configurations de votre système sans maintenir un terminal root permanent.
    De préserver ainsi une certaine sécurité en n'opérant pas de commande accidentelle sous root


La demande du mot de passe user vous servant de rattrappe-couillonnade. wink

Je ne vois pas pour ma part de restriction dans l'administration sous sudo.
Comme je n'utilise que su (souvent avec l'option -c pour rattrappe-couillonnade éventuelle..) je ne peux donc m'engager plus avant sur ce point précis dont tu n'indiques pas la provenance. big_smile


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums