Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 26-08-2022 14:58:23

adrien
Membre
Lieu : Drôme
Distrib. : Debian 11
Noyau : Linux 5.10.0-17-amd64
(G)UI : GNOME
Inscription : 24-08-2022

Firewall ufw inactif au démarage

Bonjour,
Depuis ce matin je cherche à rendre ufw actif des le démarrage de ma session sans y arriver.
Je m'aide des pages ici https://debian-facile.org/viewtopic.php?id=5293 et ici https://www.linuxpedia.fr/doku.php/iptables

J'ai donc créé un script appelé firewall dans /etc/init.d/ que j'ai rendu exécutable avec

chmod +x /etc/init.d/firewall


Dans ce script j'ai copier coller la suggestion de la page https://www.linuxpedia.fr/doku.php/iptables en remplaçant l'adresse IP par ma propre adresse IP

#!/bin/sh
#
# Regles netfilter
#
## Variables
ipt="/sbin/iptables"
net="eth0"
lan="eth1"

## Script
# Vidage table FILTER
iptables -F
iptables -X

# Vidage table NAT
iptables -t nat -F
iptables -t nat -X

# Vidage table MANGLE
iptables -t mangle -F
iptables -t mangle -X

## Activation du mode "routeur"
echo 1> /proc/sys/net/ipv4/ip_forward

# Interdire tout par defaut
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP

# Autoriser la boucle locale
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

# Autoriser tout traffic depuis internet mais filtre en entree
$ipt -A INPUT -i $net -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -o $net -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Autoriser tout traffic sur intranet
$ipt -A INPUT -i $lan -j ACCEPT
$ipt -A OUTPUT -o $lan -j ACCEPT
# Autorisation traffic entre internet et intranet
$ipt -A FORWARD -i $lan -o $net -j ACCEPT
$ipt -A FORWARD -i $net -o $lan -j ACCEPT
# Activation du NAT
$ipt -t nat -A POSTROUTING -o $net -j MASQUERADE

# Autoriser le multiposte Free
$ipt -t nat -A PREROUTING -i $net -p udp --dport 31336:31337 -s 212.27.38.253 -j DNAT --to 192.168.20.10
$ipt -A FORWARD -i $net -p udp --dport 31336:31337 -s 212.27.38.253 -d 192.168.20.10 -j ACCEPT

# Autoriser SSH
#$ipt -A INPUT -i $net -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# Autoriser client torrent sur port 17478
$ipt -t nat -A PREROUTING -i $net -p tcp --dport 17478 -j DNAT --to-destination 192.168.20.10
$ipt -A FORWARD -i $net -p tcp -d 192.168.20.10 --dport 17478 -j ACCEPT



Et enfin pour rendre son démarrage automatique j'ai fait cette commande :

cd /etc/init.d/ && update-rc.d firewall defaults 30



J'ai regardé dans /etc/ufw/ufw.conf voir si l'option était

#set to yes to start on boot
ENABLED=yes


Et c'est bien le cas.

Pourtant à chaque redémarrage si je fait

ufw status


il me dis qu'il est inactif et je dois l'activé manuellement avec cette commande

ufw enable



Si je ne l'active pas manuellement ce qui est bizarre c'est que je n'ai aucun accès a internet, comme si iptables (?) bloqué toutes les entrées/sorties.

Les regles de ufw une fois activé sont :

ufw status verbose


Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere                  
22/tcp (v6)                ALLOW       Anywhere (v6)            

80/tcp                     ALLOW OUT   Anywhere                  
53/udp                     ALLOW OUT   Anywhere                  
443/tcp                    ALLOW OUT   Anywhere                  
20/tcp                     ALLOW OUT   Anywhere                  
21/tcp                     ALLOW OUT   Anywhere                  
25/tcp                     ALLOW OUT   Anywhere                  
110/tcp                    ALLOW OUT   Anywhere                  
995/tcp                    ALLOW OUT   Anywhere                  
143/tcp                    ALLOW OUT   Anywhere                  
220/tcp                    ALLOW OUT   Anywhere                  
4665/tcp                   ALLOW OUT   Anywhere                  
4662/tcp                   ALLOW OUT   Anywhere                  
4665/udp                   ALLOW OUT   Anywhere                  
80/tcp (v6)                ALLOW OUT   Anywhere (v6)            
53/udp (v6)                ALLOW OUT   Anywhere (v6)            
443/tcp (v6)               ALLOW OUT   Anywhere (v6)            
20/tcp (v6)                ALLOW OUT   Anywhere (v6)            
21/tcp (v6)                ALLOW OUT   Anywhere (v6)            
25/tcp (v6)                ALLOW OUT   Anywhere (v6)            
110/tcp (v6)               ALLOW OUT   Anywhere (v6)            
995/tcp (v6)               ALLOW OUT   Anywhere (v6)            
143/tcp (v6)               ALLOW OUT   Anywhere (v6)            
220/tcp (v6)               ALLOW OUT   Anywhere (v6)            
4662/tcp (v6)              ALLOW OUT   Anywhere (v6)            
4665/udp (v6)              ALLOW OUT   Anywhere (v6)    



J'ai un second programme "FirewallD" avec une zone par défaut en "public".
J'ai pensé à un doublon qui empêche le bon fonctionnement d'ufw alors j'ai purgé FirewallD mais cela n'a rien changé, au démarrage il reste inactif et je dois l'activer manuellement, pas très pratique...
Je suis derrière ma box qui possède sont propre pare-feu mais ne m'a jamais empêché d'accéder à internet via mon téléphone ou mon autre pc Windows.

Pouvez vous m'aider s'il vous plais ? Je souhaiterai rendre le pare-feu automatique lors du démarrage et que celui ci protège mon PC pour des besoins "classique" sans pour autant m'interdire l'accès à internet smile

Dernière modification par adrien (26-08-2022 15:07:30)

Hors ligne

#2 26-08-2022 22:43:38

Tawal
Membre
Distrib. : Debian Stable à jour
Noyau : amd64
(G)UI : Xfce
Inscription : 25-02-2021

Re : Firewall ufw inactif au démarage

Hello,

Je ne suis pas un grand connaisseur des pare-feu.
Mais je crois bien que ton souci vient du fait que maintenant les services sous Debian sont gérés par systemd et non plus par SysVinit.
Donc ton script dans /etc/init.d ne doit pas être pris en compte.
Ce qui est quasiment sûr, vu que tu n'as pas de script de gestion.
Tu as, amha, 2 solutions :
   - soit passer par un service du type systemd
   - soit avoir un script de gestion de démarrage/arrêt de ton script "firewall" (car il existe une compatibilité entre les 2 systèmes d'init).

Personnellement, j'utiliserais systemd avec un service du type (en gardant ton script /etc/init.d/firewall) :
/etc/systemd/system/firewall.service

[Unit]
Description=Pare feu personnel
After=NetworkManager.service

[Service]
Type=simple
ExecStart=/etc/init.d/firewall

[Install]
WantedBy=default.target


Ensuite, il te suffit d'activer ce service avec :

systemctl enable firewall



Edit:
D'ailleurs je ne vois pas le rapport avec ufw.
Car ton script /etc/init.d/firewall met en place des règles iptables et ne gère aucunement ufw.
Donc même avec ma solution, ufw restera inactif mais ton pare-feu personnel sera bien en place.
Tu pourras le vérifier avec :

iptables -L



Edit2:
Je sens que raleur va encore râler tongue

Dernière modification par Tawal (26-08-2022 22:50:29)


Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !

En ligne

Pied de page des forums