[Résolu]Réglage ufw et interface réseau

zouk · 07-09-2021 20:06:20

Bonjour à tous et à toutes.

Je suis sur linux pour aller un peu plus loin en informatique (culture personnelle).
En ce moment bricole avec UFW et GUFW et grâce au wiki j'arrive à la configurer, donc merci aux contributeurs .

Ma question concerne mon interface réseau de mon ordinateur portable, si par exemple je rejette tout sauf SSH HTTPS et HTTP je dois aussi faire une règle pour mon interface réseau (wlo1 dans le cas présent) mais si je donne une autorisation pour cette interface je donne une grand accès à mon PC ? Y a t il un réglage plus fin ?

merci

Dernière modification par zouk (13-10-2021 16:58:36)

spawn63 · 11-09-2021 07:18:32

Salut,
Je ne comprend pas trop je garde juste un esprit logique et en même temps je vais rester simple dans mon conseil.

Sur quelle distribution tu mène cette opération?

Si tu bricole c'est que tu n'a rien de précis en terme d'infrastructure, tu fais ça juste sur ton ordi portable?

Maintenant pour affiner tes réglages il faudrait d'abord savoir ce que tu veux faire avec ton ordinateur portable (son utilité), ensuite pour affiné en ce qui me concerne je me dirige plus vers Netfilter / Iptables.

Perso je pense qu'aller plus loin en informatique est de savoir ce qui ce passe en amont, donc dans l'exemple d'iptables qui permet t’éditer des chaînes et d'affiner la configuration de ton pare-feu là nous sommes dans le aller plus loin puisque la seul interface à laquelle tu auras affaire est celle du terminal.

En ce qui concerne ta carte réseau, tout sort et rentre par ta carte réseau donc...

Dernière modification par spawn63 (11-09-2021 08:08:04)

raleur · 11-09-2021 10:14:10

spawn63 a écrit :

Je ne comprend pas trop

Alors tu es plus avancé que moi car je ne comprends strictement rien au message de zook.

spawn63 a écrit :

Perso je pense qu'aller plus loin en informatique est de savoir ce qui ce passe en amont, donc dans l'exemple d'iptables qui permet t’éditer des chaînes et d'affiner la configuration de ton pare-feu

A mon avis, utiliser iptables ou n'importe pare-feu sans de bonnes bases en réseau, c'est mettre la charrue avant les boeufs.

zouk · 11-09-2021 17:08:02

Désolé je crois en me relisant que je n'étais pas très clair dans mes explications.

Je voudrais aller plus loin dans mon apprentissage de linux et la je regarde un peu la sécurité. Avant d'aller plus loin j’essaie en premier avec UFW.

Je suis sous DEBIAN Sid pour plusieurs ordinateurs et archlinux pour un PC . Sur les PC portable j'ai GUFW. en ce qui concerne les règles de bases, pas de problème, le wiki est bien fait. Par contre ce que je veux savoir, c'est si je dois bien mettre une règle spécifique pour l'interface réseau (wl01 dans mon cas )

spawn63 · 11-09-2021 17:26:59

raleur a écrit :

A mon avis, utiliser iptables ou n'importe pare-feu sans de bonnes bases en réseau, c'est mettre la charrue avant les boeufs.

Oui en effet vu comme ça, tu n'est certainement pas dans l'erreur

Dernière modification par spawn63 (11-09-2021 17:28:26)

raleur · 11-09-2021 19:29:31

zouk a écrit :

je crois en me relisant que je n'étais pas très clair dans mes explications

C'est bien de le reconnaître. Mais de mon point de vue ce nouveau message n'est guère plus éclairant, il ne fait que paraphraser le premier sans apporter grand-chose de neuf.

zouk a écrit :

ce que je veux savoir, c'est si je dois bien mettre une règle spécifique pour l'interface réseau

Une règle pour quoi faire ? Et quelles sont les politiques et règles déjà en place ? Une règle isolée de son contexte ne vaut rien par elle-même.

Tu peux faire comme si je ne connaissais rien à ufw. D'ailleurs je ne connais rien à ufw excepté que c'est un frontal d'iptables que je connais très bien en revanche.

zouk · 12-09-2021 09:40:02

Merci @Raleur et @spawn63 du temps que vous passez pour moi. Je suis en train de voir la configuration d'un pare-feu , je passe par UFW , mais je regarde aussi IPTABLES, donc si pour m'expliquer vous voulez donner un exemple de votre configuration en IPTABLES ça me dérange pas , d'ailleur pour expliquer je prendrais le pendant en IPTABLES

Sur mes debian Sid.

Je configure UFW en commençant par bloquer les connexions entrantes et sortantes

ufw default deny incoming 

ufw default deny outgoing

Pour IPTABLES ça donne ça

# Interdire toute connexion entrante et sortante 

iptables -P INPUT DROP 

iptables -P FORWARD DROP 

iptables -P OUTPUT DROP

Après j'ouvre chaque port que je souhaite laisser passer par exemple le port SSH dans les deux sens (si je change pas la config du port)

ufw allow out 22/tcp

ufw allow in 22/tcp

Pour IPTABLES

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

Pour le moment pas de problème

Moi ce que je voudrais savoir c'est pourquoi rajouter une règle pour une interface réseau comme je l'ai vu sur certains sites (https://www.digitalocean.com/community/ … u-20-04-fr) qui proposent de rajouter une entrée spécifique pour l'interface

ufw allow in on eth0 to any port 80

car pour le coup je ne comprends pas l’intérêt de cette commande.

Vous pouvez me répondre en donnant exemple IPTABLES. je comprends le fonctionnement, c'est juste que je suis plus à l'aise pour lune gestion quotidienne (pour le moment!!)

Merci

Dernière modification par zouk (12-09-2021 09:41:25)

raleur · 12-09-2021 10:09:01

Les commandes ufw et iptables que tu cites ne sont pas équivalentes. Si tu exécutes seulement ces commandes iptables, tu verras que rien ne passe, même pas SSH. La raison est que les règles iptables traitent des paquets individuels, et non des connexions. Tes règles autorisent seulement les paquets dans la direction aller, pas dans la direction retour. Or une connexion met en jeu des paquets dans les deux directions. ufw ajoute des règles implicites pour autoriser des connexions. Tu peux voir le jeu de règles iptables résultant avec

iptables-save

Avec iptables, on doit ajouter des règles explicites basées sur l'état de suivi de connexion (conntrack).

iptables -t filter -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

zouk a écrit :

pourquoi rajouter une règle pour une interface réseau

Si la machine a plusieurs interfaces réseau, on peut vouloir filtrer différemment sur chacune. Par exemple un serveur situé entre internet et un réseau local, on peut vouloir autoriser l'accès à certains services depuis ou vers le réseau local mais pas depuis ou vers internet. Les pirates en herbe peuvent vouloir autoriser le trafic P2P sur leur VPN et l'interdire sur leur interface ethernet/wifi par peur de se faire flasher par la patrouille.
D'ailleurs une machine a toujours plusieurs interfaces réseau, car il y a toujours l'interface de loopback "lo" qui sert aux communications entre processus locaux (sur "localhost", par exemple pour l'impression via CUPS). Là encore ufw ajoute sûrement des règles implicites pour gérer le trafic sur cette interface, avec iptables il faut le faire explicitement.
Attention à la façon dont les règles se combinent. Avec iptables, c'est la première qui correspond qui gagne.

Dernière modification par raleur (12-09-2021 10:13:22)

zouk · 22-09-2021 19:27:57

Super merci à vous deux j'ai bien compris merci , on peut mettre en résolu:D

Tawal · 22-09-2021 19:33:32

Hello,

Si tu veux mettre en [Résolu], édite ton 1er message et modifie le titre du sujet

Debian-facile

#1 07-09-2021 20:06:20

[Résolu]Réglage ufw et interface réseau

#2 11-09-2021 07:18:32

Re : [Résolu]Réglage ufw et interface réseau

#3 11-09-2021 10:14:10

Re : [Résolu]Réglage ufw et interface réseau

#4 11-09-2021 17:08:02

Re : [Résolu]Réglage ufw et interface réseau

#5 11-09-2021 17:26:59

Re : [Résolu]Réglage ufw et interface réseau

#6 11-09-2021 19:29:31

Re : [Résolu]Réglage ufw et interface réseau

#7 12-09-2021 09:40:02

Re : [Résolu]Réglage ufw et interface réseau

#8 12-09-2021 10:09:01

Re : [Résolu]Réglage ufw et interface réseau

#9 22-09-2021 19:27:57

Re : [Résolu]Réglage ufw et interface réseau

#10 22-09-2021 19:33:32

Re : [Résolu]Réglage ufw et interface réseau

Pied de page des forums