logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 27-11-2012 09:38:13

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

smile
Je reformule autrement :
Est-ce que certaines opérations doivent être faites exclusivement sous "root"  et non pas sous "utilisateur avec droits" ?

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#27 27-11-2012 09:46:49

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [Résolu] Comprendre : parefeu iptables ufw

Comme :

Je ne vois pas pour ma part de restriction dans l'administration sous sudo.


Tu fais bien comme tu veux.
Toutefois, pour des opérations d'envergure en nombre et en temps, de passer par su avec l'option trait (-) est bien plus confortable.
Tout dépend aussi de qui de confiance ou non à un accès physique au bignou.

Tchap ! big_smile

Dernière modification par smolski (27-11-2012 09:47:46)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#28 27-11-2012 10:07:44

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Ok ! smile
Dernière question sur sudo (je me bernacle moi-même) :
Dans gnome, quelle différence entre Terrminal et Terminal administrateur ?
Et donc, pour finir,
quel est l'environement le plus "sécurisé" pour travailler en root ?

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#29 27-11-2012 10:10:09

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Pour sudo, Il me semble que ça ne change pas grand chose, le man de sudo dit :

sudo allows a permitted user to execute a command as the superuser or
       another user, as specified by the security policy.


Donc la commande est éxécutée comme si tu étais root
Le terminal administrateur reviens à lancer la commande gksu gnome-terminal, donc ce n'est absolument pas plus sécurisé que de taper su dans un terminal pour passer root ou que d'utiliser sudo, c'est juste pratique.
Bref dès que tu passes root, tu es potentiellement en danger, toujours garder ça en mémoire smile
L'avantage de sudo, et je pense que c'est une des raisons pour laquelle il a été choisis pour ubuntu, c'est que tu perd les droits root au bout d'un certain temps. Ce qui peut éviter des accidents pour les têtes en l'air comme moi lol
Bon apres la difference entre sudo et su -c c'est trop subtil pour moi

Pour les script de démarrage, basiquement il s'agit des scripts d'initialisation des daemons (services) se trouvant dans /etc/init.d et qu'on peut démarrer depuis quelques temps en utilisant la commande service. Ainsi, on peut créer un script dans /etc/init.d pour lancer un logiciel en tant que daemon au démarrage du système.
Pour en savoir plus il faut s'intéresser au mode de démarrage de linux (init)  et au niveaux de demarrage ( run level)
Quelques liens pour approfondir car je ne suis pas spécialiste
http://www.karlesnine.com/2005/06/15/de … date-rc-d/
http://www.gcolpart.com/howto/runlevel.php4
http://www.generation-linux.fr/index.ph … -runlevels
http://fr.wikipedia.org/wiki/Run_level
http://www.debian.org/doc/manuals/debia … 03.fr.html

Dernière modification par vince06fr (27-11-2012 17:42:53)

Hors ligne

#30 27-11-2012 10:27:58

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Salut Y316, tu m'en fais big_smile
En l'absence de scripts spécifiques, voici ce que je ferais sur ta machine. Je précise bien que toutes les commandes précédées d'un # sont en root (sudo ou su), bien que, comme Jojo te l'a dit, su est plus confortable!
Let's go avec le détails des commandes en 6 étapes, si tu les suis, on devrait résoudre ton problème. Laisse iptables et adopte ufw bien plus souple pour une machine de bureau wink

1: on stoppe ufw au cas ou

# ufw disable


2: ensuite on réinitialise iptables comme cela

# iptables -P INPOUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -F
# iptables -X


3: ensuite on édite ton ufw.conf

nano /etc/ufw/ufw.conf


et on met ENABLED=yes
appuie (dans cet ordre)sur ctrl+o (lettre o) , puis touche entrée ,puis ctrl+X
puis

# reboot


4: loggue toi sous ta session graphique et vérifie que ufw soit lancé de lui même par cette commande

# ufw status verbose


Et là tu obtiens normalement ça : -> Status: active
5: si réponse positive, continue les autres commandes en root

# ufw default deny incoming
# ufw default deny outgoing
# ufw allow out 80/tcp
 # ufw allow out 53/udp
 # ufw allow out 443/tcp
#reboot


6: tu as finis, parfait. Par contre si l'étape 4 (la vérif du lancement échoue c-a-d status inactive) alors que tu as bien modifié et enregistré les fichiers en tant que root, je ne comprends plus d'autant plus que tu es sur stable big_smile

Que le ciel te tienne en joie.

Lorus.

smile


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#31 27-11-2012 23:52:50

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Merci à vous deux. smile
Il me faut du temps pour voir cela en détail, ...
j'y reviendrais plus tard plutot que faire n'importe quoi en vitesse.

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#32 28-11-2012 09:19:41

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

En y réfléchissant, ça semble naturel que ufw et le script de démarrage d'iptables soient en conflit

Ce que j'imagine qu'il se passe :
Démarrage du systeme -> Lecture du script ufw pour configurer iptables -> lecture du script de démarrage iptables qui écrase la configuration ufw hmm

Comme les manips faites avec la commande iptables ne sont pas conservé au reboot, la manip expliquée par Lorus pour réinitialiser iptables ne suffit pas. Il faut supprimer le script de démarrage d'iptables que tu as configuré en suivant le tuto ubuntu. Mais pour faire ça proprement, il faut supprimer les liens dans /etc/rc?.d

1) suppression du script de demarrage dans init.d (bien sur, il faut remplacer monIptables par le nom de script que tu as utilisé)

# rm /etc/init.d/monIptables


2) suppression des liens dans /etc/rc?.d

# update-rc.d  monIptables remove



explication :

man update-rc.d. a écrit :

Quand on appelle update-rc.d avec l’option remove les  liens  dans  les
        répertoires    /etc/rcrunlevel.d    qui   pointent   vers   le   script
        /etc/init.d/name.  sont supprimés.  Ce script doit déjà avoir été  sup?
        primé  --  update-rc.d vérifie cela.

Dernière modification par vince06fr (28-11-2012 09:33:51)

Hors ligne

#33 30-11-2012 23:18:06

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Y316 a écrit :

Merci à vous deux. smile
Il me faut du temps pour voir cela en détail, ...
j'y reviendrais plus tard plutot que faire n'importe quoi en vitesse.



Ç a vaut le coup d'y revenir, je te donne ma config de base:

root@anonyme:/home/Lorus# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere
 



Et les résultats en image, ma machine est en DMZ (le pare feu matériel de ma box ne la protège pas), et je la soumets aux tests:

1354314421.png

smile

Lorus.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#34 05-12-2012 15:11:04

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Bonjour à tous,
excusez l'absence un peu longue mais, big_smile  bonne nouvelle, j'ai travaillé et suivi vos conseils avec succès. A savoir :

Les commandes de lorus : http://debian-facile.org/viewtopic.php?pid=55483#p55483   qui ont bien donné les résultats escomptés sauf la prise en compte de ufw au démarrage. (Il fallait activer ufw dans un terminal).

J'ai donc suivi à la lettre les conseils de Vince06fr : http://debian-facile.org/viewtopic.php?pid=55538#p55538 et après redémarrage, j'ai bien :

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere


Restait le test :
J'ai suivi le lien et le lien a voulu m'enmener chez ses potes facebookés ...  roll j'ai tiqué;   Comment faire ?
Plus sérieusement :
quel crédit accorder à un site quand votre système est ouvert à tous vents et que vous lui demandez de le vérifier ?


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#35 05-12-2012 22:08:55

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

lol  lol  lol
Ok,
avant de poster des questions à la con, j'essaie*  tout seul comme un grand et je reviens !

* :
.... de recevoir les mails correctement avec les bons services ouverts  (25/tcp et 995/tcp) (réf : fichier /etc/services).

cool

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#36 05-12-2012 23:51:17

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

J'ai ouvert les ports concernés :

ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere


mais le nouveau problème persiste :
en relevant mes boites mails, Evolution bloque "en attente" et il ne me présente plus le dialogue d'identification pour chaque compte.

Je ne sais plus que faire.
Une piste ?
Quels services sont nécessaires exactement, au minimum  ?


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#37 06-12-2012 03:45:55

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Le probleme c'est que tu utilises peut être d'autres ports pour tes comptes mail, par exemple certains FAI bloque le port 25 pour le SMTP et il faut utiliser le port 587 ou 465 en ssl. Le port utilisé pour te connecter au serveur imap de ton FAI n'est peut être pas  le 995, etc..
Donc, il faut que tu regarde quels sont les ports utilisés par evolution et les autorier dans UFW

Sinon, à mon avis, interdire le trafic sortant ne présente pas beaucoup d’intérêt à part celui de te compliquer la vie

Dernière modification par vince06fr (06-12-2012 08:52:18)

Hors ligne

#38 06-12-2012 10:39:11

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Merci.
je ne maitrise pas la syntaxe des règles;
a-t-on une page qui explique bien (... à mon sens et en français si possible) l'utilité de chaque port.

evolution :
Oui j'ai bien des serveurs "pop" dans l'onglet "reception du courriel" et des serveurs "smtp" dans l'onglet "envoi du courriel".
Où trouver le numéro de port utilisé par un FAI ?

Comment configurer au strict nécessaire en attendant de mieux maitriser les règles ? (et sans tout essayer, un par un)
??
80/tcp
53/udp
443/tcp
587/tcp
??

Et la question qui tue :
big_smile  C'est quoi la différence dans  ""port 587 ou 465 en ssl"".

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#39 06-12-2012 11:08:16

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Et la question qui tue :
big_smile  C'est quoi la différence dans  ""port 587 ou 465 en ssl"".



Pan ! lol

Les clients de messagerie utilisaient aussi le port 25 (smtp) pour soumettre des messages en utilisant le protocole SMTP. Mais la nécessité de mieux contrôler les envois des clients, en particulier par l'authentification, a conduit à l'attribution du port 587 (submission)1.

Les administrateurs de serveur peuvent choisir si les clients utilisent le port TCP 25 (SMTP) ou le port 587 (soumission), tel que formalisé dans la RFC 6409 (RFC 2476 précédemment), pour relayer le courrier sortant vers un serveur de messagerie. Les spécifications et de nombreux serveurs supportent les deux. Bien que certains serveurs prennent en charge le port 465 (historique) pour le SMTP sécurisé en violation des spécifications, il est préférable d'utiliser les ports standards et les commandes ESMTP standard 2 selon la RFC 3207, si une session sécurisée doit être utilisée entre le client et le serveur.
Source : http://fr.wikipedia.org/wiki/Simple_Mai … r_Protocol
C'est une généralité mais chaque "prestataire" peut choisir une configuration légèrement différente! big_smile
Sur quel hébergeur est ta boite email? Quel est ta configuration par défaut dans évolution? Donne moi un exemple sans tes identifiants bien entendu, merci.

Par exemple sur mailoo (mon cas), tu as deux manière de sécuriser le protocol : POPS | 995 (SSL/TLS), IMAPS | 993 (SSL/TLS) ou SMTPS |25 ou 225 (avec port alternatif)

smile

Édit:

Exemple de ma configuration évolution "réception du courrier"
pops.mailoo.org:995
Les deux points précise le port que doit utiliser évolution (995) dans mon cas!

Dernière modification par lorus (06-12-2012 11:32:06)


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#40 06-12-2012 11:17:42

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Sinon, à mon avis, interdire le trafic sortant ne présente pas beaucoup d’intérêt à part celui de te compliquer la vie



C'est vrai que cela peut paraître rébarbatif, cependant j'aime mieux tout bloquer par défaut et autoriser que le strict minimum sortant pour mes besoins smile
C'est un héritage d'openbsd... qui est devenu une habitude chez moi big_smile , mais ce n'est pas vital wink
Lorus.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#41 06-12-2012 11:35:42

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

j'aime mieux tout bloquer par défaut et autoriser que le strict minimum sortant pour mes besoins


C'est ce qui est recommandé la plupart du temps aux michus comme moi.
C'est compréhensible si l'on se met du coté de celui qui conseille  et qui ne veut pas "enduire en horreur"  l'écran de son interlocuteur.

@lorus :
bètement : orange et laposte.
(en attendant de savoir maitriser un serveur perso .... (mais çà j'ai l'impression que c'est pas demain la veille ... lol ) )


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#42 06-12-2012 11:46:04

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

En fait, tu n'as pas ouvert le port pour récupérer le courrier de manière standard, moi je le récupère de manière sécurisée, d'ou le port 995 ouvert dans ufw. Dans le cas standard le serveur pop utilise le port 110 smile et port 143 pour imap, ceci explique aussi qu'ils sont absent de la configuration que je t'ai donnée smile

Ajoute simplement cette règle pour du pop

# ufw allow out 110/tcp


Et celle là pour du imap

# ufw allow out 143/tcp



Les règles sont les suivantes pour récupérer le courrier de manière non sécurisée:
Serveur pop (110) ou imap(143) -> récupération du courrier
Serveur smtp(25) -> envoi du courrier

Ça devrait aller wink

Lorus.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#43 06-12-2012 12:25:19

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Ajoute simplement

Oui mais, ajouter à quoi ?
A ce que j'ai actuellement :

80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere


Ou à ce que j'ai proposé :

80/tcp
53/udp
443/tcp
587/tcp



cool   Faire simple, c'est cela qui est compliqué !


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#44 06-12-2012 12:33:48

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

A ce que j'ai actuellement :

80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere




cool   Faire simple, c'est cela qui est compliqué !


------------------------------------------------------
En l'état evolution est en mesure d'envoyer du courrier mais pas de recevoir les courriers, tu as juste le port 25 d'ouvert (smtp)
Comme dit plus haut :
Serveur pop (110) ou imap(143) -> récupération du courrier
Serveur smtp(25) -> envoi du courrier

Dans ton cas, evolution ne peut pas récupérer le courrier (via protocole pop ou imap) car ufw n'a pa ouvert les ports sortants correspondant, donc garde ce que tu as, et ajoute simplement une règle ufw dans un terminal root pour ouvrir le port pop (110):

# ufw allow out 110/tcp

et essaye de récupéré ton courrier, SI ça ne marche pas, c'est que tu utilises le protocole imap (ça m'étonnerait chez wanadoo lol)
alors ajoute cette règle ufw pour ouvrir le port imap(143):

# ufw allow out 143/tcp



Tu devrais obtenir ce résultat dans ta configuration (# ufw status verbose ):

80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere
110/tcp                    ALLOW OUT   Anywhere
143/tcp                     ALLOW OUT   Anywhere
 



Pense également à supprimer la règle ufw qui ouvre le port 995 si tu n'en n'as pas besoin... Comme ceci

ufw delete out 995/tcp



Ainsi ton port 995 ne sera plus autorisé à communiqué (en sortie) avec l'extérieur et configuration sera (# ufw status verbose ):

80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
110/tcp                    ALLOW OUT   Anywhere
143/tcp                     ALLOW OUT   Anywhere
 


Et ainsi de suite... Comprends-tu la souplesse d'utilisation de ufw  smile ?
Yep!

Edit:

allow out anywhere veut dire: permet la sortie (et uniquement la sortie) du port (correspondant) n'importe ou smile

Dernière modification par lorus (06-12-2012 13:13:11)


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#45 06-12-2012 14:27:16

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Comprends-tu la souplesse d'utilisation de ufw  smile ?

Maintenant oui !  smile
Mais le fichier /etc/services reste bien obscur pour un michu comme moi et je me vois mal mémoriser l'utilité de cette longue liste.
N'a-t-on pas une classification par usage. (Ex : laposte = tel port).

Quand même,  big_smile
je maitrise assez bien maintenant pour vous dire que la commande : #ufw delete out 995/tcp est incomplète; il faut taper ufw delete allow out 995/tcp.

J'ai donc supprimé 995/tcp et 143/tcp et j'ai bien retrouvé la boite de dialogue dans evolution sans autre formalités ni redémarrage.
Voici donc au final mon :

sudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
110/tcp                    ALLOW OUT   Anywhere



Et voilà qui est résolu,  smile  merci à tous, smile
j'espère que mon questionnement sera utile à d'autres.


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#46 06-12-2012 15:21:48

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [Résolu] Comprendre : parefeu iptables ufw

j'espère que mon questionnement sera utile à d'autres.


j'y flaire même un tuto potentiel... wink
merci à tous sur ce post !

Dernière modification par smolski (06-12-2012 15:22:25)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#47 06-12-2012 17:29:16

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

Y316 smile

#ufw delete out 995/tcp



Exact ma commande était incomplète, tu m'as corrigé puisque la règle initiale était

 allow out 995/tcp

wink
La bonne commande était effectivement :

# ufw delete allow out 995/tcp


Ce qui prouve que tu as pigé! smile

Au plaisir!

Lorus.


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#48 06-12-2012 18:12:03

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Mais le fichier /etc/services reste bien obscur pour un michu comme moi et je me vois mal mémoriser l'utilité de cette longue liste.


J'y voit une incompréhension de ta part entre service (trafic entrant) et client (trafic sortant).

La liste /etc/services liste les services que tu peux avoir installés sur ta machine. UFW permet l'ouverture des ports correspondant grace à une écriture lisible et comprehensible par l'humain des ports standard correspondant à ces services.
Ainsi, par exemple si tu installe un serveur SSH sur ta machine pour autoriser le trafic entrant sur le port 22/tcp correspondant au port standard de SSH, il te suffit de rentrer :

# ufw allow ssh


La liste des services connus par UFW est listée dans /etc/services

N'a-t-on pas une classification par usage. (Ex : laposte = tel port).


Par contre là, le serveur ce n'est pas le tien, c'est celui de la poste, Ta machine est cliente et se connecte au serveur de la poste. Donc il te faut autoriser le trafic sortant.. Voila étant donné que le service est celui de la poste comment veux-tu qu'il soit listé dans TON fichier /etc/services

j'aime mieux tout bloquer par défaut et autoriser que le strict minimum sortant pour mes besoins

C'est ce qui est recommandé la plupart du temps aux michus comme moi.


Pour les parano venant de BSD oui lol, mais ce n'est pas la configuration recommandé de base sur GNU/Linux.
En fait autoriser tout le trafic sortant ne présente qu'un risque infime. Celui qu'un pirate se connectant à ton poste (ton poste devant  autoriser le trafic entrant sur le port utilisé par le pirate), s'en serve pour faire du téléchargement (trafic sortant autorisé sur le port nécessaire au téléchargement). Dans la plupart des cas le port que le pirate utilisera sera le port 80 que tu aura de toute façon ouvert pour pouvoir surfer sur internet...

Bref cela pour expliquer que ce qui est conseillé pour un usage classique et un bon compromis sécurité-facilité d'utilisation c'est :
bloquer tout le trafic entrant et ouvrir les ports seulement pour les services utilisés et autoriser tout le trafic sortant, ce qui est d'ailleurs la configuration par défaut d'UFW wink

Dernière modification par vince06fr (06-12-2012 18:19:41)

Hors ligne

#49 06-12-2012 19:35:41

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : [Résolu] Comprendre : parefeu iptables ufw

En fait autoriser tout le trafic sortant ne présente qu'un risque infime.


Très juste, cependant si tu installes un .deb (sans le code source) et que le programme installe un serveur qui tourne en arrière plan sur un port choisit par un hackeur, la technique du tout filtrant est mieux smile Il utilisera un port bidon pour être discret ex:1024 en tcp. Et là tu ne vois trop rien... pour M et Mme Michu

Dans la plupart des cas le port que le pirate utilisera sera le port 80 que tu aura de toute façon ouvert pour pouvoir surfer sur internet...


Grosse erreur, un hackeur scan les failles qui forcément ouvriront un port précis wink
Le port 80 est ouvert en traffic sortant seulement... s'il scanne le 80, il n'obtient aucune réponse.

J'arrête là car DF ne deviendra pas une plaque tournante du hacking big_smile

Amitié.

Lorus.

Edit:

Il est exact que l'on peut configurer un service dans ufw qui forcément ouvrira le port correspondant. Pop, Smtp, Ssh etc etc.
Je trouve que manipuler les ports est plus pédagogique, peut-être une habitude en fait car les deux sont aussi efficaces wink


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#50 06-12-2012 20:03:53

vince06fr
Membre
Distrib. : Debian Sid/experimental
Noyau : Linux 3.7-trunk-amd64
(G)UI : gnome-shell (gnome 3.6)
Inscription : 29-10-2012

Re : [Résolu] Comprendre : parefeu iptables ufw

Grosse erreur, un hackeur scan les failles qui forcément ouvriront un port précis


Oui les port ouvert  pour des services, donc pour le trafic entrant....
Et ce n'est pas les failles qui ouvrent les ports, les failles peuvent permettre d'obtenir un acces root par exemple, les ports tu les as ouvert toi même en fonction de tes besoins.
(tu remarquera que j'ai utilisé le mot pirate et non hacker car pour moi ce n'est pas la même chose..)

Le port 80 est ouvert en traffic sortant seulement... s'il scanne le 80, il n'obtient aucune réponse.


Il n'a pas besoin de le scanner, une fois qu'il a acces à la machine via un port entrant, s'il veut par exemple se servir de la machine pour un DDOS, il sait que dans 99% des cas le port 80 sortant en TCP sera ouvert... et pour un DDOS, 100% de chance qu'il utilise le port 80...

Le danger se situe principalement sur les services installés sur la machine et donc au niveau du trafic entrant :
Si le pirate ne peut pas entrer, il ne peut rien faire , s'il peut entrer, il aura tout le loisir de tester les ports sortant pour en trouver un ouvert et il commencera surement par le 80..

J'arrête là car DF ne deviendra pas une plaque tournante du hacking


Ok lol

Dernière modification par vince06fr (06-12-2012 20:05:00)

Hors ligne

Pied de page des forums