logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-12-2015 18:27:32

Shingen
Membre
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : gnome
Inscription : 22-12-2015

(resolu) ufw es-il configuré...

bonsoir,

décidément, je ne vais pas réussir à me passer de vous...

après mon souci avec iptable, ou ufw... voila que je ne sais pas si ma configuration est passé! bref...

A la comande ci-dessous :

ufw status verbose



j'ai comme réponse :

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW OUT   Anywhere
80/tcp                     ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
110/tcp                    ALLOW OUT   Anywhere
143/tcp                    ALLOW OUT   Anywhere
220/tcp                    ALLOW OUT   Anywhere
6880:6999/tcp              ALLOW OUT   Anywhere
6880:6999/udp              ALLOW OUT   Anywhere
194/tcp                    ALLOW OUT   Anywhere
22/tcp                     ALLOW OUT   Anywhere (v6)
80/tcp                     ALLOW OUT   Anywhere (v6)
53/udp                     ALLOW OUT   Anywhere (v6)
443/tcp                    ALLOW OUT   Anywhere (v6)
25/tcp                     ALLOW OUT   Anywhere (v6)
110/tcp                    ALLOW OUT   Anywhere (v6)
143/tcp                    ALLOW OUT   Anywhere (v6)
220/tcp                    ALLOW OUT   Anywhere (v6)
6880:6999/tcp              ALLOW OUT   Anywhere (v6)
6880:6999/udp              ALLOW OUT   Anywhere (v6)
194/tcp                    ALLOW OUT   Anywhere (v6)
 




Pour vous pour une configuration de base (email, torrent, navigation...) ufw est-il correctement configuré?

Dernière modification par Shingen (29-12-2015 14:42:44)

Hors ligne

#2 25-12-2015 18:43:08

Shingen
Membre
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : gnome
Inscription : 22-12-2015

Re : (resolu) ufw es-il configuré...

non  parce que, pour moi, les port que j'ai ouvert, sont ouvert à tout le monde!

Hors ligne

#3 26-12-2015 11:26:39

raleur
Membre
Inscription : 03-10-2014

Re : (resolu) ufw es-il configuré...

Je ne connais pas ufw, mais mon interprétation de ce résultat est que seules les connexions sortantes sont autorisées. Je ne pourrai le confirmer qu'avec les jeux de règles iptables (IPv4) ip6tables (IPv6) affichés par

iptables-save


ip6tables-save



Edit à toto :
Séparation des deux commandes dans deux balises

Dernière modification par raleur (26-12-2015 11:28:38)


Il vaut mieux montrer que raconter.

Hors ligne

#4 26-12-2015 11:28:34

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : (resolu) ufw es-il configuré...

Je dirais pareil.
Les règles qui ont été ajoutés sont des règles pour autoriser le trafic sortant, qui l'est déjà par défaut. Par contre, le trafic entrant, interdit par défaut, l'est toujours.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#5 26-12-2015 19:55:51

Shingen
Membre
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : gnome
Inscription : 22-12-2015

Re : (resolu) ufw es-il configuré...

Voici les réponses au deux commandes :

 iptables-save


# Generated by iptables-save v1.4.21 on Sat Dec 26 19:49:46 2015
*filter
:INPUT DROP [8:2635]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9:820]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-output -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 110 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 143 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 220 -j ACCEPT
-A ufw-user-output -p tcp -m multiport --dports 6880:6999 -j ACCEPT
-A ufw-user-output -p udp -m multiport --dports 6880:6999 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 194 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 6667 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 995 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 143 -j ACCEPT
-A ufw-user-output -p udp -m udp --dport 143 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 2628 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 465 -j ACCEPT
-A ufw-user-output -p udp -m udp --dport 993 -j ACCEPT
COMMIT
# Completed on Sat Dec 26 19:49:46 2015
 

Hors ligne

#6 26-12-2015 19:56:46

Shingen
Membre
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : gnome
Inscription : 22-12-2015

Re : (resolu) ufw es-il configuré...

et

ip6tables-save


# Generated by ip6tables-save v1.4.21 on Sat Dec 26 19:50:04 2015
*filter
:INPUT DROP [2:128]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [30:2088]
:ufw6-after-forward - [0:0]
:ufw6-after-input - [0:0]
:ufw6-after-logging-forward - [0:0]
:ufw6-after-logging-input - [0:0]
:ufw6-after-logging-output - [0:0]
:ufw6-after-output - [0:0]
:ufw6-before-forward - [0:0]
:ufw6-before-input - [0:0]
:ufw6-before-logging-forward - [0:0]
:ufw6-before-logging-input - [0:0]
:ufw6-before-logging-output - [0:0]
:ufw6-before-output - [0:0]
:ufw6-logging-allow - [0:0]
:ufw6-logging-deny - [0:0]
:ufw6-reject-forward - [0:0]
:ufw6-reject-input - [0:0]
:ufw6-reject-output - [0:0]
:ufw6-skip-to-policy-forward - [0:0]
:ufw6-skip-to-policy-input - [0:0]
:ufw6-skip-to-policy-output - [0:0]
:ufw6-track-input - [0:0]
:ufw6-track-output - [0:0]
:ufw6-user-forward - [0:0]
:ufw6-user-input - [0:0]
:ufw6-user-limit - [0:0]
:ufw6-user-limit-accept - [0:0]
:ufw6-user-logging-forward - [0:0]
:ufw6-user-logging-input - [0:0]
:ufw6-user-logging-output - [0:0]
:ufw6-user-output - [0:0]
-A INPUT -j ufw6-before-logging-input
-A INPUT -j ufw6-before-input
-A INPUT -j ufw6-after-input
-A INPUT -j ufw6-after-logging-input
-A INPUT -j ufw6-reject-input
-A INPUT -j ufw6-track-input
-A FORWARD -j ufw6-before-logging-forward
-A FORWARD -j ufw6-before-forward
-A FORWARD -j ufw6-after-forward
-A FORWARD -j ufw6-after-logging-forward
-A FORWARD -j ufw6-reject-forward
-A OUTPUT -j ufw6-before-logging-output
-A OUTPUT -j ufw6-before-output
-A OUTPUT -j ufw6-after-output
-A OUTPUT -j ufw6-after-logging-output
-A OUTPUT -j ufw6-reject-output
-A OUTPUT -j ufw6-track-output
-A ufw6-after-input -p udp -m udp --dport 137 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 138 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 139 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p tcp -m tcp --dport 445 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 546 -j ufw6-skip-to-policy-input
-A ufw6-after-input -p udp -m udp --dport 547 -j ufw6-skip-to-policy-input
-A ufw6-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-before-forward -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A ufw6-before-forward -j ufw6-user-forward
-A ufw6-before-input -i lo -j ACCEPT
-A ufw6-before-input -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 133 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 134 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-input -s fe80::/10 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A ufw6-before-input -m state --state INVALID -j ufw6-logging-deny
-A ufw6-before-input -m state --state INVALID -j DROP
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A ufw6-before-input -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A ufw6-before-input -s fe80::/10 -d fe80::/10 -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A ufw6-before-input -d ff02::fb/128 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw6-before-input -d ff02::f/128 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw6-before-input -j ufw6-user-input
-A ufw6-before-output -o lo -j ACCEPT
-A ufw6-before-output -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-output -j ufw6-user-output
-A ufw6-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw6-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw6-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw6-skip-to-policy-forward -j DROP
-A ufw6-skip-to-policy-input -j DROP
-A ufw6-skip-to-policy-output -j ACCEPT
-A ufw6-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw6-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw6-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw6-user-limit -j REJECT --reject-with icmp6-port-unreachable
-A ufw6-user-limit-accept -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw6-user-output -p udp -m udp --dport 53 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 110 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 143 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 220 -j ACCEPT
-A ufw6-user-output -p tcp -m multiport --dports 6880:6999 -j ACCEPT
-A ufw6-user-output -p udp -m multiport --dports 6880:6999 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 194 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 6667 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 995 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 143 -j ACCEPT
-A ufw6-user-output -p udp -m udp --dport 143 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 2628 -j ACCEPT
-A ufw6-user-output -p tcp -m tcp --dport 465 -j ACCEPT
-A ufw6-user-output -p udp -m udp --dport 993 -j ACCEPT
COMMIT
# Completed on Sat Dec 26 19:50:04 2015
 

Hors ligne

#7 26-12-2015 20:19:27

raleur
Membre
Inscription : 03-10-2014

Re : (resolu) ufw es-il configuré...

Après lecture rapide des jeux de règles, je confirme la réponse de captnfab.

Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums