Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 08-05-2015 15:28:46

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

je voulais faire un résumé , disons rapidement regles incomplettes pour un pc de bureau , une erreur de commande .
en autre services important , dhcp client , imprimante sur le reseau local , ntp ,peut etre partage de fichier sur le reseau.
regles a verifier ou a créer
cas du dhcp a eclaircir , important.
vérifier les regles , pas forcement la meilleure methode
sinon ce tuto client serait le meilleur pour moi a ma connaissance et il fonctionne wink
ce qui n est pas le cas pour le tuto "pare-feu pour une passerelle" (je precise pour quelqu un qui le met en place sans trop comprendre ce qu il fait )

ps: l ajout d une regle pour steam aussi (port 27000 il me semble )

Dernière modification par robert2a (08-05-2015 16:09:53)

Hors ligne

#27 13-05-2015 14:27:35

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

Bonjour

un lien pour ceux qui se lance dans ce tuto  https://debian-facile.org/viewtopic.php … 60#p119960

ce matin j ai teste la messagerie exim4 c est ok
quelques petites modifs suite au conseil du membre raleur
j'espere qu il fera d autres observations wink
j'ai énuméré et testé toutes mes applications (meme steam )
voila pour le client smile ,pour le pare-feu de la passerelle c est un echec hmm
il y a un petit paragraphe pour la désactivation d ipv6 .
ps: pour exim4 je sais pas si il y a un tuto , le cas ou je peut donner un coup de main
@++

Hors ligne

#28 25-10-2015 14:27:52

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : [wiki]iptables:un pare-feu pour un client

J'ai remplacé un lien cassé par la sortie de la page DHCP du chantier.
Vu les nombreuses remarques ci-dessus tongue la page est à mettre en conformité ?

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#29 01-11-2015 18:51:43

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : [wiki]iptables:un pare-feu pour un client

Bon j'ai quand même mis en conformité
Retours de commande et fichier passés en blocs config
J'ai séparé deux lignes de commande

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#30 22-10-2016 00:27:56

plop6
Membre
Inscription : 10-03-2016

Re : [wiki]iptables:un pare-feu pour un client

J'ai suivi le Tuto pour un poste desktop avec quelques modifications pour l'ipv6 qui n'y est pas traité ( ui je n'utilise pas ipv6 du coup j'ai tout fermé ).
J'utilise le paquet "iptables-persistent" pour ma part plutôt qu'un script init oubien systemd.
Voiçi le script que j'ai utilisé:

#!/bin/bash
####################
## CLEAN IPTABLES
####################
## flush iptables
/sbin/iptables -F
/sbin/ip6tables -F
## dell all users chain
/sbin/iptables -X
/sbin/ip6tables -X
#################
## DEFAULT POLICY
#################
## input drop
/sbin/iptables -P INPUT DROP
/sbin/ip6tables -P INPUT DROP
## output drop
/sbin/iptables -P OUTPUT DROP
/sbin/ip6tables -P OUTPUT DROP
## forward drop
/sbin/iptables -P FORWARD DROP
/sbin/ip6tables -P FORWARD DROP
################
# LO SETTING
################
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
##############################
# Allow DNS server TRAFIC
##############################
/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#############################
# Allow ping internal network
#############################
/sbin/iptables -A OUTPUT -o eth0 -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
#########
# Get web
#########
/sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 


on lance le script avec sudo, ce qui va ré-initialisé les règles (suivant le tuto) puis appliquer les règles que j'ai choisi depuis le script.
Ensuite il faut juste utiliser:

sudo netfilter-persistent save
 


run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables save
run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables save



Bon ne sachant pas si le fait de laisser la POLICY de ipv6 en ACCEPT ou DROP de manière générale, j'ai drop.
N'hésitez pas a rectifié mes choix !!

En tout cas très beau tuto dans l'ensemble
Testé et validé.

Hors ligne

#31 23-10-2016 01:24:25

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [wiki]iptables:un pare-feu pour un client

Sur linux tu peut désactiver aussi l IPV6 sur la machine par grub ou par le noyau , j'ai plus la commande en tete mais ça fonctionne
oui le tuto pour un client fonctionne , c'est pour la passerelle ou j ai eu des soucis mais bon suis pas très bon la dessus  tongue

Hors ligne

Pied de page des forums