Vous n'êtes pas identifié(e).
J'ai aussi installé ufw mais je viens de m'apercevoir qu' il ne s'installe pas au démarage, je dois l'activer :
Mais à quoi sert ufw ? Est-ce le parefeu ? ou une interface qui permet de définir les régles ?
Si j'ai bien tout compris, le vrai parefeu c'est netfilter configuré par iptables.
Il y a déjà un fil ufw mais pour wheezy et il ne m'apprends rien (aucun exemple qui coresponde à ce que je vois sur ma machine).
http://debian-facile.org/viewtopic.php?id=6101
--help --help ! je perds l'équi-libre !
Dernière modification par Y316 (06-12-2012 14:31:17)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Tu remarquera que le retour est particulierement indigeste pour un non initié
Pour voir les regles configuré avec ufw, tu utilises la commande
Dernière modification par vince06fr (24-11-2012 20:51:29)
Hors ligne
Mais si j'arrete le système, ufw ne sera plus actif au redémarage, il faut l'activer (# ufw enable), contrairement à ce qui est écrit ici :
http://debian-facile.org/logiciel:ufw#e … on_avancee
Une fois que le pare feu est en route, il l'est toujours. Vous pouvez éteindre l'ordinateur au prochain démarrage le pare feu sera actif
J'ai bien trouvé cette réponse : http://debian-facile.org/viewtopic.php?pid=45549#p45549 , mais c'était bon aussi :
J'ai également vérifié le fichier /etc/ufw/before.rules pour interdire le ping comme indiqué plus bas dans le même tuto :
Pour interdire le ping (ICMP Echo Request), il faut commenter la ligne suivante dans le fichier /etc/ufw/before.rules:
# -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
voici l'extrait du résultat :
# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
#-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Or le ping réponds !
Qu'à cela ne tiennes me dis-je, voyons iptables :
http://debian-facile.org/manuel:parefeu-iptables
Cette page n'existe pas encore
Vous avez suivi un lien vers une page qui n'existe pas encore. Si vos droits sont suffisants, vous pouvez utiliser le bouton Créer cette page.
Ai-je besoin de ufw si iptables est correctement écrit ?
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Tu noteras que des détails concernant la configuration par défaut de UFW peuvent être modifiés dans /etc/default/ufw et dans /etc/ufw/ufw.conf (particulièrement le fait qu’il soit actif au boot ou non).
Reprends le tuto en interdisant tout par defaut, puis petit à petit, tu ouvres juste les ports dont tu as besoin
Interdire les connexions entrantes :
interdire les connexionx sortantes
#ufw disable pour en retrouver
Dans ce cas, je n'ai plus de connexion, ce qui prouve que le pare feu bosse:
Par exemple tu ouvres le port 80 (http)
Si tu ping ton pc toi même, ferme bien toute les connections entrantes et ouvres les connexions sortantes (le ping part et se hurte à ton firewall )
Amitiés.
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Dernière modification par Y316 (25-11-2012 11:13:30)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Front end
Frontal
Point d'entrée du système d'information. Par exemple, l'interface graphique d'un poste de travail constitue un point d'entrée pour les données. Mais l'expression anglaise "front end" peut également désigner une machine complète qui effectue des traitements préliminaires ou gère des transactions pour un ordinateur plus puissant. Elle est alors l'abréviation de "front end processeur" ou ordinateur frontal.
Dans le cas d'UFW, on pourrait peut être remplacer front-end par interface utilisateur (UI).
Sauf erreur, avant d'installer ufw (présent dans main mais pas installé par défaut), j'ai configuré iptables à l'aide de différents tutos et débats et en travaillant son script de démarrage. Donc je me demande : à quoi sert ufw dans la circonstance ?
Je dirais A rajouter des règles en précisant que ça t'oblige à ne pas faire confiance à ufw status, mais comme te l'as déjà signaler lorus tu peux lister l'ensemble des règles iptables à l'aide de la commande ufw show raw
les rêgles UFW apparaissent dans iptables sous forme de chain
Mais les regles que tu as configuré avec iptables n'apparaissent pas dans UFW..
Maintenant, prenons la démarche d'un installation neuve.
J'en étais à : installer grub2; installer un noyau/système minimum; ...et donc;
configurer iptables avant la toute première connexion.
Ou bien installer UFW et le configurer si tu ne veux pas t’embêter avec la syntaxe d'iptables
Attention UFW est largement suffisant pour une configuration classique de netfilter mais iptables est bien plus puissant et permet plus de choses, par exemple il n'est pour l'instant pas possible de natter les ports avec UFW. Pour certaines actions avancées, l'usage d'iptables est donc incontournable.
Dernière modification par vince06fr (26-11-2012 08:12:43)
Hors ligne
quand on a suivi le tuto cidessous, quelle autre commande en console pour vérifier la prise en compte du script de démarage iptables ?
interoger le log de boot, j'imagine ! mais avec quel filtre, quelles options ? ... pour aller droit au but ?
Pour une fois, je veux bien une commande à copier/coller.http://doc.ubuntu-fr.org/iptables#appliquer_les_regles_au_demarrage
Le reste du fichier doit contenir les commandes iptables que vous avez générées.
Déplacez le script iptables dans /etc/init.d
sudo mv /emplacement/du/script/iptables /etc/init.d
Rendez ce script exécutable :
sudo chmod +x /etc/init.d/monIptables
Pour indiquer à votre ordinateur de l'utiliser au démarrage:
sudo update-rc.d monIptables defaults
Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :
sudo iptables -L
les rêgles UFW apparaissent dans iptables sous forme de chaine
Mais les regles que tu as configuré avec iptables n'apparaissent pas dans UFW..
Que voulez vous dire ?
Faut-il comprendre une généralité : "Mais les regles configurées avec iptables n'apparaissent pas dans UFW.."
ou comprendre que c'est bien ma configuration qui est mauvaise : "Mais les regles que tu as configuré avec iptables n'apparaissent pas dans ton UFW.."
Pour certaines actions avancées, l'usage d'iptables est donc incontournable.
Et donc, je me dis qu'utiliser iptables, c'est laisser libres toutes possibilités à venir pour l'usage de la machine, même si je n'en ai pas l'utilité pour l'instant.
Et iptables se trouve dans le noyau, pas ufw; (Non/oui) :
Quitte à devoir se torturer le neurone sur une syntaxe, autant aller directement au "causer iptables"; (Non/oui) :
DROP IN DROP OUT, çà au moins ça parle au Michu; (Non/oui) :
Ps :
Tuto iptables très clair trouvé en lien sur la page ubuntu : http://formation-debian.via.ecp.fr/firewall.html
Ps ajout :
http://debian-facile.org/viewtopic.php?pid=55349#p55349
Si tu désactives UFW, tu désactive les rêgles iptables que tu as configuré à l'aide d'UFW.
Effectivement si tu n'a pas creer d'autres regles iptables que les regles UFW cela reviens à ouvrir tous les ports
Dernière modification par Y316 (25-11-2012 14:04:00)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Faut-il comprendre une généralité : "Mais les regles configurées avec iptables n'apparaissent pas dans UFW..
Non on peut les voir avec la commande
elle ne sont juste pas listé par
Quitte à devoir se torturer le neurone sur une syntaxe, autant aller directement au "causer iptables"; (Non/oui) :
DROP IN DROP OUT, çà au moins ça parle au Michu; (Non/oui) :
Aucune importance, le jour ou tu en as besoin, il sera toujours temps, de plus ufw est un projet jeune, il n'est pas impossible que le jour ou tu auras besoin d'une fonction avançée, celle-ci soit implémenté dans ufw
Dernière modification par vince06fr (25-11-2012 14:54:03)
Hors ligne
Mais si j'arrete le système, ufw ne sera plus actif au redémarage, il faut l'activer (# ufw enable), contrairement à ce qui est écrit ici :
http://debian-facile.org/logiciel:ufw#e … on_avancee
Une fois que le pare feu est en route, il l'est toujours. Vous pouvez éteindre l'ordinateur au prochain démarrage le pare feu sera actif
Bizarre, pour moi, il est actif au redémarrage (juste après installation).
Hors ligne
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Dernière modification par vince06fr (25-11-2012 19:26:24)
Hors ligne
Un petit
Bizarre que chez toi ça ne fonctionne pas, pour ma part ufw est lancé en auto...
Sinon, tu as gufw, une interface graphique pour ufw, question d'habitude
Bonne soirée.
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
37 packets envoyés, 0 reçu, donc 100% de perte, clairement ma machine ne répond pas au ping
Dernière modification par lorus (25-11-2012 23:56:52)
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Hors ligne
Y − 3HG − Auto-hébergé
Hors ligne
Tu noteras que des détails concernant la configuration par défaut de UFW peuvent être modifiés dans /etc/default/ufw et dans /etc/ufw/ufw.conf (particulièrement le fait qu’il soit actif au boot ou non).
Mais dans /etc/ j'ai aussi un dossier "default" qui contient un fichier ufw (NB : et également un fichier alsa).
J'ai donc : /etc/default/ufw et /etc/ufw/ufw.conf (NB : mais seulement un fichier /etc/default/alsa).
Lequel primez sur l'autre ?
Pourquoi je parle d'alsa ?
Parceque j'ai un bug alsa sur le log de connexion (amixer, je crois) et que le fichier /etc/default/alsa est entierement commenté.
Donc, je me propose de "tripoter" cela d'abord pour valider l'hypothèse que le fichier /etc/default/ufw prime sur /etc/ufw/ufw.conf.
Economie de chocolat : http://debian-facile.org/viewtopic.php?id=6212 (Sujet Alsa : amixer absent)
Dernière modification par Y316 (26-11-2012 20:30:51)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Il faut croire que mon iptables est béton !
Laisse béton iptable pour le moment, on va esayer de résoudre tes déboires, ufw est beaucoup plus simple que iptables
Sauf qu'aujourd'hui, j'ai donc activé ufw en premier et que très vite j'ai eu des problèmes de connexion. Donc j'ai désactivé puisque de toutes façons avant il était désactivé à mon insu.
Quand il activé, peux-tu me donner ce que renvoi la commande:
Merci.
Édit:
En même temps peux-tu me donner ce que renvoi
Cela sortira la liste de tes règles iptables actuelles
Re merci
Dernière modification par lorus (26-11-2012 21:12:05)
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Hors ligne
Le .conf dans /etc/tonaplli/ton appli.conf prime tjrs sur le reste.
C'est noté !
Pour le moment, mon déboire principal c'est l'activation de ufw au démarrage.
# iptables -L ((avec ufw désactivé)
Dernière modification par Y316 (26-11-2012 22:04:01)
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Ajoute ces quelques commandes(c'est ma config de test) ufw activé et en root
et remets moi le résultat obtenu
Merci.
Utilises-tu un script de démarrage pour iptables? (relatif à tes soucis de démarrage de ufw au boot). Sur quel tuto t'es tu basé pour configurer ton iptables?
Yep!
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Ajoute ces quelques commandes(c'est ma config de test) ufw activé et en root
"en root" ?? est-ce différend de "sudo > passwrd utilisateur principal" ?
J'ai lu un truc la dessus qui disait que certaines commandes devaient passer par su > root et non sudo > droits utilisateur
??
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Pour un seul utilisateur, il n'est pas nécessaire d'intégrer ce dernier dans le groupe sudo sudo
UN SEUL utilisateur AVEC mot de passwd demandé
C'est la configuration préconisée pour tous les utilisateurs de sudo débutant.
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Utilisation de SUDO
Il est ainsi possible d'accomplir :
Moultes configurations de votre système sans maintenir un terminal root permanent.
De préserver ainsi une certaine sécurité en n'opérant pas de commande accidentelle sous root…
La demande du mot de passe user vous servant de rattrappe-couillonnade.
Je ne vois pas pour ma part de restriction dans l'administration sous sudo.
Comme je n'utilise que su (souvent avec l'option -c pour rattrappe-couillonnade éventuelle..) je ne peux donc m'engager plus avant sur ce point précis dont tu n'indiques pas la provenance.
saque eud dun (patois chtimi : fonce dedans)
Hors ligne