Debian-facile

adrien

Membre

Lieu : Drôme

Distrib. : Debian 11

Noyau : Linux 5.10.0-17-amd64

(G)UI : GNOME

Inscription : 24-08-2022

Firewall ufw inactif au démarage

Bonjour,
Depuis ce matin je cherche à rendre ufw actif des le démarrage de ma session sans y arriver.
Je m'aide des pages ici https://debian-facile.org/viewtopic.php?id=5293 et ici https://www.linuxpedia.fr/doku.php/iptables

J'ai donc créé un script appelé firewall dans /etc/init.d/ que j'ai rendu exécutable avec

chmod +x /etc/init.d/firewall

Dans ce script j'ai copier coller la suggestion de la page https://www.linuxpedia.fr/doku.php/iptables en remplaçant l'adresse IP par ma propre adresse IP

#!/bin/sh
#
# Regles netfilter
#
## Variables
ipt="/sbin/iptables"
net="eth0"
lan="eth1"

## Script
# Vidage table FILTER
iptables -F
iptables -X

# Vidage table NAT
iptables -t nat -F
iptables -t nat -X

# Vidage table MANGLE
iptables -t mangle -F
iptables -t mangle -X

## Activation du mode "routeur"
echo 1> /proc/sys/net/ipv4/ip_forward

# Interdire tout par defaut
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP

# Autoriser la boucle locale
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

# Autoriser tout traffic depuis internet mais filtre en entree
$ipt -A INPUT -i $net -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -o $net -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Autoriser tout traffic sur intranet
$ipt -A INPUT -i $lan -j ACCEPT
$ipt -A OUTPUT -o $lan -j ACCEPT
# Autorisation traffic entre internet et intranet
$ipt -A FORWARD -i $lan -o $net -j ACCEPT
$ipt -A FORWARD -i $net -o $lan -j ACCEPT
# Activation du NAT
$ipt -t nat -A POSTROUTING -o $net -j MASQUERADE

# Autoriser le multiposte Free
$ipt -t nat -A PREROUTING -i $net -p udp --dport 31336:31337 -s 212.27.38.253 -j DNAT --to 192.168.20.10
$ipt -A FORWARD -i $net -p udp --dport 31336:31337 -s 212.27.38.253 -d 192.168.20.10 -j ACCEPT

# Autoriser SSH
#$ipt -A INPUT -i $net -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# Autoriser client torrent sur port 17478
$ipt -t nat -A PREROUTING -i $net -p tcp --dport 17478 -j DNAT --to-destination 192.168.20.10
$ipt -A FORWARD -i $net -p tcp -d 192.168.20.10 --dport 17478 -j ACCEPT

Et enfin pour rendre son démarrage automatique j'ai fait cette commande :

cd /etc/init.d/ && update-rc.d firewall defaults 30

J'ai regardé dans /etc/ufw/ufw.conf voir si l'option était

#set to yes to start on boot
ENABLED=yes

Et c'est bien le cas.

Pourtant à chaque redémarrage si je fait

ufw status

il me dis qu'il est inactif et je dois l'activé manuellement avec cette commande

ufw enable

Si je ne l'active pas manuellement ce qui est bizarre c'est que je n'ai aucun accès a internet, comme si iptables (?) bloqué toutes les entrées/sorties.

Les regles de ufw une fois activé sont :

ufw status verbose

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere                  
22/tcp (v6)                ALLOW       Anywhere (v6)            

80/tcp                     ALLOW OUT   Anywhere                  
53/udp                     ALLOW OUT   Anywhere                  
443/tcp                    ALLOW OUT   Anywhere                  
20/tcp                     ALLOW OUT   Anywhere                  
21/tcp                     ALLOW OUT   Anywhere                  
25/tcp                     ALLOW OUT   Anywhere                  
110/tcp                    ALLOW OUT   Anywhere                  
995/tcp                    ALLOW OUT   Anywhere                  
143/tcp                    ALLOW OUT   Anywhere                  
220/tcp                    ALLOW OUT   Anywhere                  
4665/tcp                   ALLOW OUT   Anywhere                  
4662/tcp                   ALLOW OUT   Anywhere                  
4665/udp                   ALLOW OUT   Anywhere                  
80/tcp (v6)                ALLOW OUT   Anywhere (v6)            
53/udp (v6)                ALLOW OUT   Anywhere (v6)            
443/tcp (v6)               ALLOW OUT   Anywhere (v6)            
20/tcp (v6)                ALLOW OUT   Anywhere (v6)            
21/tcp (v6)                ALLOW OUT   Anywhere (v6)            
25/tcp (v6)                ALLOW OUT   Anywhere (v6)            
110/tcp (v6)               ALLOW OUT   Anywhere (v6)            
995/tcp (v6)               ALLOW OUT   Anywhere (v6)            
143/tcp (v6)               ALLOW OUT   Anywhere (v6)            
220/tcp (v6)               ALLOW OUT   Anywhere (v6)            
4662/tcp (v6)              ALLOW OUT   Anywhere (v6)            
4665/udp (v6)              ALLOW OUT   Anywhere (v6)    

J'ai un second programme "FirewallD" avec une zone par défaut en "public".
J'ai pensé à un doublon qui empêche le bon fonctionnement d'ufw alors j'ai purgé FirewallD mais cela n'a rien changé, au démarrage il reste inactif et je dois l'activer manuellement, pas très pratique...
Je suis derrière ma box qui possède sont propre pare-feu mais ne m'a jamais empêché d'accéder à internet via mon téléphone ou mon autre pc Windows.

Pouvez vous m'aider s'il vous plais ? Je souhaiterai rendre le pare-feu automatique lors du démarrage et que celui ci protège mon PC pour des besoins "classique" sans pour autant m'interdire l'accès à internet

Dernière modification par adrien (26-08-2022 14:07:30)

Tawal

Membre

Distrib. : Debian Stable à jour

Noyau : amd64

(G)UI : Xfce

Inscription : 25-02-2021

Re : Firewall ufw inactif au démarage

Hello,

Je ne suis pas un grand connaisseur des pare-feu.
Mais je crois bien que ton souci vient du fait que maintenant les services sous Debian sont gérés par systemd et non plus par SysVinit.
Donc ton script dans /etc/init.d ne doit pas être pris en compte.
Ce qui est quasiment sûr, vu que tu n'as pas de script de gestion.
Tu as, amha, 2 solutions :
   - soit passer par un service du type systemd
   - soit avoir un script de gestion de démarrage/arrêt de ton script "firewall" (car il existe une compatibilité entre les 2 systèmes d'init).

Personnellement, j'utiliserais systemd avec un service du type (en gardant ton script /etc/init.d/firewall) :
/etc/systemd/system/firewall.service

[Unit]
Description=Pare feu personnel
After=NetworkManager.service

[Service]
Type=simple
ExecStart=/etc/init.d/firewall

[Install]
WantedBy=default.target

Ensuite, il te suffit d'activer ce service avec :

systemctl enable firewall

Edit:
D'ailleurs je ne vois pas le rapport avec ufw.
Car ton script /etc/init.d/firewall met en place des règles iptables et ne gère aucunement ufw.
Donc même avec ma solution, ufw restera inactif mais ton pare-feu personnel sera bien en place.
Tu pourras le vérifier avec :

iptables -L

Edit2:
Je sens que raleur va encore râler

Dernière modification par Tawal (26-08-2022 21:50:29)

---

Comme la science n'est pas infuse, elle se diffuse.
Useless Use of Cat Award
Filenames and Pathnames in Shell: How to do it Correctly
À chaque problème sa solution, à chaque solution son moyen, si pas de moyen, toujours le problème !