Vous n'êtes pas identifié(e).
un client
si je fais un ping -c4 debian1 (en local )ce cochon me répond (encore heureux si il connaît pas son nom ........ )
un ping -c4 kabylake1 => service inconnu (du serveur)
le DNS (et le service de nom ) fonctionne pour tous les clients
va savoir ce que j'ai fait ...........
le tout c'est que je sache lors des tests du pare feu que cette commande ne fonctionne pas sans pare feu en local sur le serveur , après c'est pas trop grave
par contre c'est de ne pas l' expliquer (le pourquoi)
as sans pare feu en local sur le serveur , après c'est pas trop grave
par contre c'est de ne pas l' expliquer (le pourquoi)
Je ne peux pas t'aider sur ce sujet.
Hors ligne
Hors ligne
e reste est nickel au niveau dns et dhcp
pour le moment une pose sur nftables , sinon je vais être dégoûté et abandonner
Tu peux poser des questions sur ce que tu ne comprends pas sur nftables.
J'essaierai d'y répondre, je ne connais pas l'outil à 100%.
Hors ligne
Par rapport à celui de ton post #102, la seule chose que
j'ai modifié c'est la chain output de la table ip6 filter.
J'ai mis la policy à drop, et autorisé tout le traffic sur lo.
J'ai aussi insérer la règle qui permet au switch de se mettre à
l'heure en utilisant le serveur ntp de la passerelle.
Je voudrais revenir sur cette règle, on peut faire bien mieux en
utilisant le suivi de connexion. Donc à la place de
Je propose
Ça permet d'autoriser spécifiquement une nouvelle connexion, le reste
sera fait par « ct state related,established accept » qui est avant.
Tant qu'à utiliser le suivi de connexions, autant l'utiliser vraiment
pour toutes les connexions, pas d'exception. De toute façon une fois en
marche le suivi de connexions enregistre tout le traffic tcp/ip,
ça serait dommage de ne pas se servir de cette information.
D'ailleurs on pourrait faire la même chose sur l'interface enp6s0f1, c'est
à dire du côté du réseau local, en acceptant des nouvelles connexions
(au sens du suivi de connexions) que sur les ports utilisés :
en tcp 22,25,53,80,631,8080 et en udp 53,67,123, 631.
Je ne ne sais pas trop comment c'est possible de faire du suivi de connexion
sur de l'udp, mais bon…
Je proposerais bien un truc
du genre :
Note : les espaces derrière les virgules dans « {ssh, smtp, domain}
ne sont pas là pour faire beau. Il sont nécessaires, sinon c'est une erreur
de syntaxe pour nft.
Tu peux adapter en fonction de tes besoins les ports à autoriser.
J'ai aussi autoriser les pings. Je pense que juste mettre echo-request
suffirait car il me semble que les echo-reply font partie des paquets related
dans le suivi de connexions.
Bon, j'espère n'avoir pas fait d'erreurs…
Dernière modification par enicar (10-08-2019 19:47:43)
Hors ligne
ssh (le serveur) est interdit sur la passerelle, si il est installé c'est a l'intérieur du sous-réseau (sur une machine qui fait office de serveur ) et uniquement en local.
remplacé ssh par https
domaine c'est le port 53 ?
bootps et ipp c'est quoi ? (quel port )
bind9 utilise un autre port que le 53 sur la boucle locale , donc normalement doit pas poser problème
le dhcp client et serveur je sais pas
tu dors jamais ? quoique moi aussi ........
pour l'ipv6 bloqué le forward uniquement (passerelle et client ) , faut que je réfléchisse a ce que je vais faire
il me reste a passer en "drop" et appliquer les règles
si j'ai pas fait d'erreurs et cette histoire de bootps et ipp
l'ordre des régles a une importance ? (ça correspond pas trop a ton exemple )
Dernière modification par anonyme (11-08-2019 11:32:38)
le switch se met a l'heure (192.168.1.2 )
je surveille les logs
pour "ipp" trouvé => https://fr.wikipedia.org/wiki/Internet_ … g_Protocol
pour bootps pas utile => https://fr.wikipedia.org/wiki/Bootstrap_Protocol
j'en ai fait en 2015 , mais sur la passerelle je peu le retirer.
j'ai démarré une machine le DHCPD et le DNS fonctionne
a priori ça tourne
ps: je modifie le #132 comme la réalité
sur la passerelle pas de serveur d'impression , mais j'ai gardé ipp , supprimé bootps
je suis en train de réfléchir , tu a pas mit bootps pour les ports 67 et 68 ? (du dhcp )
je lance une autre machine pour confirmer , mais a priori pas besoin.
c'est correct
par contre j'ai bien un souci avec apparmor , pourtant j'aurais bien aimé l'utiliser .
Tu peux adapter en fonction de tes besoins les ports à autoriser.
J'ai aussi autoriser les pings. Je pense que juste mettre echo-request
suffirait car il me semble que les echo-reply font partie des paquets related
dans le suivi de connexions.
Bon, j'espère n'avoir pas fait d'erreurs…
a priori tout est correct je laisse tourner , j'ai noté mes modifications personnelles et remarques
je vais tâter de la couette
le script du #132 c'est ce qui est appliqué actuellement
Dernière modification par anonyme (11-08-2019 02:23:04)
ssh (le serveur) est interdit sur la passerelle, si il est installé c'est a l'intérieur du sous-réseau (sur une machine qui fait office de serveur ) et uniquement en local.
remplacé ssh par https
J'avais dit dans mon message que tu pouvais adapter à tes besoins, donc tu
fais ce que tu veux.
Hors ligne
l'ordre des régles a une importance ? (ça correspond pas trop a ton exemple )
Oui l'ordre des règles a une importance. Si j'ai changé, c'est que je trouve que
c'est mieux comme ça.
Hors ligne
j'ai des questions sur cela
ct state new tcp dport {https, smtp, domain, http, ipp, 8080} accept
ct state new udp dport {domain, bootps, ntp, ipp} accept
J'ai utilisé les noms de services qui sont dans /etc/services. On a les
correspondances suivantes :
smtp : 25 le port d'écouter d'exim
domain : 53 le port d'écoute de bind
ipp : 631 le port d'écoute de cups
bootps : 67 le port d'écoute de dhcpd
ntp : 123 le port d'écoute du serveur ntp
Le reste tu connais.
Hors ligne
pour bootps pas utile => https://fr.wikipedia.org/wiki/Bootstrap_Protocol
Comme c'est le port utiliser par dhcpd (67), tu en as besoin ! À moins que
tu aies mis un autre port dans la conf de dhcpd.
Dernière modification par enicar (11-08-2019 10:50:30)
Hors ligne
Hors ligne
et relancer le service
Dernière modification par anonyme (11-08-2019 12:26:51)
Hors ligne
pour bootps je peu le laisser mais au dessus tu vois que ça fonctionne
La question c'est pourquoi ? Certainement parce que tout est en accept.
Tu ne peux pas tester des règles si tu mets tout en accept…
Le port 67 est utilisé par le serveur dhcpd, et le port 68 est celui utilisé par dhclient.
Dernière modification par enicar (11-08-2019 11:21:33)
Hors ligne
Dernière modification par anonyme (11-08-2019 11:34:35)
non je suis en drop depuis 3 heures du matin je vais efface ce #132
en #139 tu a ce qui est appliqué
Bon et sur la passerelle que donne :
Pour voir quels sont les programmes qui ont une socket udp ouverte en écoute.
Hors ligne
le PC de mon fils ?
=> https://fr.wikipedia.org/wiki/NetBIOS (mon poste windows est éteint.
et samba difficile de le purger
Dernière modification par anonyme (11-08-2019 12:13:23)
déjà sur la passerelle
Bon, on sait ce que c'est, SRC=192.168.1.1 indique que c'est la livebox
qui cherche du netbios et compagnie.
Hors ligne
Hors ligne
Dernière modification par anonyme (11-08-2019 12:06:28)
et ça la live aussi
Même chose que précédemment, le port destination est 137…
C'est pour ça que j'avais proposé de rajouter :
dans la chaîne input de la table ip filter.
Ça permet de ne plus voir ces messages, tout en gardant les logs
désignés par "INPUT_DROP".
Dernière modification par enicar (11-08-2019 12:12:46)
Hors ligne
pour me débarrasser de samba ça va pas être simple , sinon pas de bureau pas viable
j'ai juste 3 paquets pour le client samba qui ne peuvent pas être enlevé sans casser Mate
Dernière modification par anonyme (11-08-2019 12:21:18)
un sur enp6s0f0 et 192.168.1.1
un sur enp6s0f1 et 192.168.10.1
Un quoi ?
Si tu mets la règle que j'ai proposé en #148 globalement sur la chaîne input
la règle sera prise en compte globalement sur toutes les interfaces.
Par exemple, ce serait bien de mettre cette règle après « iif lo accept ».
Sur l'interface « lo » on autorise tout, c'est plus simple comme ça.
Hors ligne