Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-09-2021 21:06:20

zouk
Membre
Lieu : Nord de la France
Distrib. : Debian Sid & Archlinux
(G)UI : Gnome
Inscription : 07-09-2021

[Résolu]Réglage ufw et interface réseau

Bonjour à tous et à toutes.

Je suis sur linux pour aller un peu plus loin en informatique (culture personnelle).
En ce moment bricole avec UFW et GUFW et grâce au wiki j'arrive à la configurer, donc merci aux contributeurs .


Ma question concerne mon interface réseau de mon ordinateur portable, si par exemple je rejette tout sauf SSH HTTPS et HTTP je dois aussi faire une règle pour mon interface réseau (wlo1 dans le cas présent) mais si je donne une autorisation pour cette interface je donne une grand accès à mon PC ? Y a t il un réglage plus fin ?

merci

Dernière modification par zouk (13-10-2021 17:58:36)


utilisateur de Debian Sid et Archlinux ( et je trifouille sur Gentoo et Fedora)

Hors ligne

#2 11-09-2021 08:18:32

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : [Résolu]Réglage ufw et interface réseau

Salut,
Je ne comprend pas trop je garde juste un esprit logique  et en même temps je vais rester simple dans mon conseil.

Sur quelle distribution tu mène cette opération?

Si tu bricole c'est que tu n'a rien de précis en terme d'infrastructure, tu fais ça juste sur ton ordi portable?

Maintenant pour affiner tes réglages il faudrait d'abord savoir ce que tu veux faire avec ton ordinateur portable (son utilité), ensuite pour affiné en ce qui me concerne je me dirige plus vers  Netfilter / Iptables.

Perso je pense qu'aller plus loin en informatique est de savoir ce qui ce passe en amont, donc dans l'exemple d'iptables qui permet t’éditer des chaînes et d'affiner la configuration de ton pare-feu là nous sommes dans le aller plus loin puisque la seul interface à laquelle tu auras affaire est celle du terminal.

En ce qui concerne ta carte réseau, tout sort et rentre par ta carte réseau donc...

Dernière modification par spawn63 (11-09-2021 09:08:04)


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#3 11-09-2021 11:14:10

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu]Réglage ufw et interface réseau

spawn63 a écrit :

Je ne comprend pas trop


Alors tu es plus avancé que moi car je ne comprends strictement rien au message de zook.

spawn63 a écrit :

Perso je pense qu'aller plus loin en informatique est de savoir ce qui ce passe en amont, donc dans l'exemple d'iptables qui permet t’éditer des chaînes et d'affiner la configuration de ton pare-feu


A mon avis, utiliser iptables ou n'importe pare-feu sans de bonnes bases en réseau, c'est mettre la charrue avant les boeufs.


Il vaut mieux montrer que raconter.

Hors ligne

#4 11-09-2021 18:08:02

zouk
Membre
Lieu : Nord de la France
Distrib. : Debian Sid & Archlinux
(G)UI : Gnome
Inscription : 07-09-2021

Re : [Résolu]Réglage ufw et interface réseau

Désolé je crois en me relisant que je n'étais pas très clair dans mes explications.

Je voudrais aller plus loin dans mon apprentissage de linux et la je regarde un peu la sécurité. Avant d'aller plus loin j’essaie en premier avec UFW.

Je suis sous DEBIAN Sid pour plusieurs ordinateurs et archlinux pour un PC . Sur les PC portable j'ai GUFW. en ce qui concerne les règles de bases, pas de problème, le wiki est bien fait. Par contre ce que je veux savoir, c'est si je dois bien mettre une règle spécifique pour l'interface réseau (wl01 dans mon cas )

utilisateur de Debian Sid et Archlinux ( et je trifouille sur Gentoo et Fedora)

Hors ligne

#5 11-09-2021 18:26:59

spawn63
Membre
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.10.0-8-amd64
(G)UI : KDE
Inscription : 28-05-2020

Re : [Résolu]Réglage ufw et interface réseau

raleur a écrit :

A mon avis, utiliser iptables ou n'importe pare-feu sans de bonnes bases en réseau, c'est mettre la charrue avant les boeufs.



Oui en effet vu comme ça, tu n'est certainement pas dans l'erreur

Dernière modification par spawn63 (11-09-2021 18:28:26)


« L'informatique semble encore chercher la recette miracle qui permettra aux gens d'écrire des programmes corrects sans avoir à réfléchir. Au lieu de cela, nous devons apprendre aux gens comment réfléchir. »
Anonyme

Hors ligne

#6 11-09-2021 20:29:31

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu]Réglage ufw et interface réseau

zouk a écrit :

je crois en me relisant que je n'étais pas très clair dans mes explications


C'est bien de le reconnaître. Mais de mon point de vue ce nouveau message n'est guère plus éclairant, il ne fait que paraphraser le premier sans apporter grand-chose de neuf.

zouk a écrit :

ce que je veux savoir, c'est si je dois bien mettre une règle spécifique pour l'interface réseau


Une règle pour quoi faire ? Et quelles sont les politiques et règles déjà en place ? Une règle isolée de son contexte ne vaut rien par elle-même.

Tu peux faire comme si je ne connaissais rien à ufw. D'ailleurs je ne connais rien à ufw excepté que c'est un frontal d'iptables que je connais très bien en revanche.


Il vaut mieux montrer que raconter.

Hors ligne

#7 12-09-2021 10:40:02

zouk
Membre
Lieu : Nord de la France
Distrib. : Debian Sid & Archlinux
(G)UI : Gnome
Inscription : 07-09-2021

Re : [Résolu]Réglage ufw et interface réseau

Merci @Raleur et @spawn63 du temps que vous passez pour moi.  Je suis en train de voir la configuration d'un pare-feu , je passe par UFW , mais je regarde aussi IPTABLES, donc si pour m'expliquer vous voulez donner un exemple de votre configuration en IPTABLES ça me dérange pas , d'ailleur pour expliquer je prendrais le pendant en IPTABLES

Sur mes debian Sid.

Je configure UFW en commençant par bloquer les connexions entrantes et sortantes

ufw default deny incoming
ufw default deny outgoing



Pour IPTABLES  ça donne ça

# Interdire toute connexion entrante et sortante
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP



Après j'ouvre chaque port que je souhaite laisser passer par exemple le port SSH dans les deux sens (si je change pas la config du port)

ufw allow out 22/tcp
ufw allow in 22/tcp
 



Pour IPTABLES

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT




Pour le moment pas de problème

Moi ce que je voudrais savoir c'est pourquoi rajouter une règle pour une interface réseau comme je l'ai vu sur certains sites (https://www.digitalocean.com/community/ … u-20-04-fr) qui proposent de rajouter une entrée spécifique pour l'interface

ufw allow in on eth0 to any port 80



car pour le coup je ne comprends pas l’intérêt de cette commande.


Vous pouvez me répondre en donnant exemple IPTABLES. je comprends le fonctionnement, c'est juste que je suis plus à l'aise pour lune gestion quotidienne (pour le moment!!)

Merci

Dernière modification par zouk (12-09-2021 10:41:25)


utilisateur de Debian Sid et Archlinux ( et je trifouille sur Gentoo et Fedora)

Hors ligne

#8 12-09-2021 11:09:01

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu]Réglage ufw et interface réseau

Les commandes ufw et iptables que tu cites ne sont pas équivalentes. Si tu exécutes seulement ces commandes iptables, tu verras que rien ne passe, même pas SSH. La raison est que les règles iptables traitent des paquets individuels, et non des connexions. Tes règles autorisent seulement les paquets dans la direction aller, pas dans la direction retour. Or une connexion met en jeu des paquets dans les deux directions. ufw ajoute des règles implicites pour autoriser des connexions. Tu peux voir le jeu de règles iptables résultant avec

iptables-save



Avec iptables, on doit ajouter des règles explicites basées sur l'état de suivi de connexion (conntrack).

iptables -t filter -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT



zouk a écrit :

pourquoi rajouter une règle pour une interface réseau


Si la machine a plusieurs interfaces réseau, on peut vouloir filtrer différemment sur chacune. Par exemple un serveur situé entre internet et un réseau local, on peut vouloir autoriser l'accès à certains services depuis ou vers le réseau local mais pas depuis ou vers internet. Les pirates en herbe peuvent vouloir autoriser le trafic P2P sur leur VPN et l'interdire sur leur interface ethernet/wifi par peur de se faire flasher par la patrouille.
D'ailleurs une machine a toujours plusieurs interfaces réseau, car il y a toujours l'interface de loopback "lo" qui sert aux communications entre processus locaux (sur "localhost", par exemple pour l'impression via CUPS). Là encore ufw ajoute sûrement des règles implicites pour gérer le trafic sur cette interface, avec iptables il faut le faire explicitement.
Attention à la façon dont les règles se combinent. Avec iptables, c'est la première qui correspond qui gagne.

Dernière modification par raleur (12-09-2021 11:13:22)


Il vaut mieux montrer que raconter.

Hors ligne

#9 22-09-2021 20:27:57

zouk
Membre
Lieu : Nord de la France
Distrib. : Debian Sid & Archlinux
(G)UI : Gnome
Inscription : 07-09-2021

Re : [Résolu]Réglage ufw et interface réseau

Super merci à vous deux j'ai bien compris merci , on peut mettre en résolu:D

utilisateur de Debian Sid et Archlinux ( et je trifouille sur Gentoo et Fedora)

Hors ligne

#10 22-09-2021 20:33:32

Tawal
Membre
Distrib. : Debian 11 Bullseye
Noyau : Linux 5.10.0-9-amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : [Résolu]Réglage ufw et interface réseau

Hello,

Si tu veux mettre en [Résolu], édite ton 1er message et modifie le titre du sujet wink

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

Hors ligne

Pied de page des forums