Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Pare feu ou pas ?

svi_binette

Bonjour,

Ignus a écritsur une buntu, Mme et M dupond (j'ai changé na big_smile ) ont une imprimante installée (non partagée) et ont activé le partage de fichier avec Samba, bah oui ils veulent pouvoir y accéder avec leur Windows... La buntu aura donc deux serveurs : Cups et Samba en écoute respectivement sur le port 631 puis 139 et 445.

Un exemple de Mme Michu (ou Mme Dupond 😃 ) qui a viré totalement windows (mais ce ne doit pas être le cas le plus fréquent) pour Ubuntu 13.10
Par défaut : démons cupsd et avahi.
Effectivement imprimante installée non partagée. Rien de partagé.
Pourquoi avahi par défaut ??

tiramiseb

svi_binette a écritPar défaut : démons cupsd et avahi.

cupsd n'écoute-t-il pas que localement ?
(sur 127.0.0.1:631 et sur ::1:631)
C'est le cas par défaut je crois, en tout cas c'est comme ça chez moi.

svi_binette a écritPourquoi avahi par défaut ??

C'est un protocole pour les détections automatiques de trucs en réseau. Je ne m'y suis pas intéressé de près, mais en gros si tu ne l'as pas, certains trucs qui sont normalement automatiques ne se feront plus.
Mais bon, je n'ai pas approfondi pour voir ce qui en dépend réellement...

http://fr.wikipedia.org/wiki/Zeroconf
http://fr.wikipedia.org/wiki/Avahi_%28logiciel%29

svi_binette

Bonjour,

tiramiseb a écrit cupsd n'écoute-t-il pas que localement ?
(sur 127.0.0.1:631 et sur ::1:631)

Si effectivement. (Je ne savais pas si c'était pour tout le monde pareil). Bon, je ne dis pas pour cupsd .
Mais pour Avahi ? Les explications que je trouve à ce sujet sont incompréhensibles pour moi, et vu le nombre de posts à ce sujet je ne dois pas être la seule.
J'ai cru comprendre (très grosse confusion possible), que ce serait utile pour ouvrir des ports sans le faire manuellement ? Par exemple si j'utilisais skype (ou certains jeux), je n'aurais pas à déclarer quoique ce soit. Et dans l'onglet UPnP de ma box j'aurais, sans en avoir conscience, des ports ouverts automatiquement.

Dans le lien que tu donnes, il est vrai qu'il est dit : "les machines du réseau local sont prévenues de l'arrivée ou du départ d'un service". Je ne le savais pas. Reste à savoir si la façon de prévenir est compréhensible pour Mme Michu.
Il me semblerait plus sécuritaire d'avoir à ouvrir des ports plutôt que cela soit fait de manière transparente (s'il s'agit bien de ça)

tiramiseb

En fait, je crois que c'est du genre "un PC proposant un service annoncé par Zeroconf se connecte à ton réseau, et hop ton ordinateur voit le service proposé par cette machine grâce à Avahi". Si tu désactives Avahi, tu ne vois pas ce service.

[supprimé]

Bonsoir.

svi_binette a écritPourquoi avahi par défaut ??

Comme te l'explique tiramiseb, c'est un protocole pour les détections automatiques de trucs en réseau, fort pratique mais je le trouve un peu trop entreprenant pour mon système libre 😃 , donc il n'est pas installé sur mes systèmes Gnu/linux. Je dois donc configurer mon réseau à la place de Avahi, pour ce faire, je me sers du fichier :etc/network/interfaces...

Pour lister les interfaces présentes sur une machine :

ifconfig -a

Pour ne lister que les interfaces en activité :

ifconfig

Peut-être que ce genre de wiki t'aiderait. tu dois retenir que l'interface filaire commence tjrs par eth0 et le wifi comme tjrs par wlan0, bien entendu si tu as plusieurs carte réseau filaire ou wifi, tu auras par exemple eth0, eth1 etc... Même le bluetooth peut être configuré manuellement. Avec cela, mon pare-feu est configuré pour rejeter toute les connexions entrantes et sortantes, j'ouvre seulement les ports entrants et sortants pour mes besoins.

A+

Haleth

avahi n'est pas network-manager, même si c'est le même topo (voir pire)

[supprimé]

Oui tu as raison de le préciser, mais je n'ai pas non plus network manager 🙂
Seulement mon fichier interfaces configuré.

[ÉDIT]
Heu, une question me taraude, si Avahi n'est pas installé, network-manager peut-il configurer automatiquement le(s) interface(s) et un réseau domestique?

Merci pour vos réponses.

svi_binette

Merci beaucoup à tous pour votre aide sur avahi.

Haleth

Oui tu as raison de le préciser, mais je n'ai pas non plus network manager
Seulement mon fichier interfaces configuré.

[ÉDIT]
Heu, une question me taraude, si Avahi n'est pas installé, network-manager peut-il configurer automatiquement le(s) interface(s) et un réseau domestique?

Merci pour vos réponses.

En fait, tu confonds
network-manager configure les interfaces réseaux à l'occasion
avahi est un bousin ignoble

wikipedia a écrit Avahi s'occupe d'attribuer automatiquement une adresse IP même sans présence d'un serveur DHCP, de faire office de DNS (chaque machine est accessible par le nom nomMachine.local), de publier des services et d'y accéder facilement (les machines du réseau local sont prévenues de l'arrivée ou du départ d'un service). Il permet donc à des logiciels de publier et de découvrir des services et des hôtes en cours d'exécution sur un réseau local TCP/IP sans configuration particulière. Par exemple, un utilisateur peut brancher son ordinateur sur un réseau et trouver instantanément des imprimantes pour imprimer, des fichiers à lire et des personnes à qui parler. Avahi est publié sous la licence publique générale limitée GNU (LGPL).

tiramiseb

Ignus a écrit[ÉDIT]
Heu, une question me taraude, si Avahi n'est pas installé, network-manager peut-il configurer automatiquement le(s) interface(s) et un réseau domestique?

L'aspect "configuration IP" de Avahi n'est pas installé sur Ubuntu.

Il n'y a pas de lien entre Network-Manager et Avahi.

Network-Manager gère la connexion aux réseaux : requêtes DHCP, adresses fixes, VPN, etc.

Avahi (enfin, sa partie "autoconfiguration IP") permet de communiquer même s'il n'y a pas d'infrastructure réseau (pas de plan d'adressage, pas de serveur DHCP, etc) : des adresses sont alors automatiquement attribuées aux différentes machines présentes par l'intermédiaire du protocole Zeroconf.

N'avez-vous jamais vu un Windows prendre une adresse IP en 169.254.X.X quand il n'arrivait pas à joindre un serveur DHCP ? C'est ça, le protocole Zeroconf (enfin, sa composante IPv4LL) : les ordinateurs présents sur le réseau se mettent d'accord sur "qui a quelle adresse".

tiramiseb

Haleth a écritnetwork-manager configure les interfaces réseaux à l'occasion
avahi est un bousin ignoble

On aura bien compris que tu n'aimes pas les outils et les protocoles qui servent à simplifier la vie des utilisateurs...

(en fait, ça transpire dans la moitié de tes messages sur ce forum...)

Haleth

🙂

en fait, j'aime bien network-manager, ca rentre très bien dans l'aspect utilisateur
le problème, c'est que aillant une config réseau asser verbeuse, il me les brise, donc j'le vire
ca reste un bon outil (notamment pour le wifi qui est toujours foutoir, intrinsequement)

(en fait, ça transpire dans la moitié de tes messages sur ce forum...)

La schizophrénie et la sociopathie sont mes deux grands mots .. j'me fait soigner, m'enfin.

svi_binette

Bonsoir,

tiramiseb a écrit les outils et les protocoles qui servent à simplifier la vie des utilisateurs

C'est vrai que ça doit beaucoup simplifier quand on en a besoin. Je comprends l'utilité maintenant.
En ce qui me concerne, pfou... Pas simple. Ca fait des jours que je me demande si c'est risqué que avahi ouvre 2 ports udp, et si je peux l'enlever sans abîmer le système.

[supprimé]

svi_binette,

le désinstaller est risqué, Avahi est très intégré au système... Si tu veux essayer, tu peux le désactiver en éditant le fichier /etc/default/avahi-daemon et tu remplaces ta ligne

AVAHI_DAEMON_DETECT_LOCAL=1

par

AVAHI_DAEMON_DETECT_LOCAL=0

C'est le genre de désagrément que je ne connais pas puisque j'installe toujours le strict minimum. D'ou mon doute (édit du post #67)

@ tiramiseb et haleth, merci pour vos précisions.

svi_binette

Merci pour l'astuce ! Il y a bien cette valeur et un message de prévention.
Je pense que je vais prendre le risque.
Si ce n'est pas trop abuser, il y a encore quelque chose que je ne comprends pas pour avahi :
avec la commande netstat j'obtiens :

 udp        0      0 0.0.0.0:5353            0.0.0.0:*                           111        9428        929/avahi-daemon: r
udp        0      0 0.0.0.0:57103           0.0.0.0:*                           111        9430        929/avahi-daemon: r
udp6       0      0 :::5353                 :::*                                111        9429        929/avahi-daemon: r
udp6       0      0 :::37828                :::*                                111        9431        929/avahi-daemon: r

Cela voudrait bien dire que les ports 5353 et 37828 sont ouverts ?
Mais suite à ce fil de discussion, je viens d'installer nmap pour voir et la commande

 sudo nmap -sU -p5353 monadresse

Host is up (0.00057s latency).
PORT     STATE  SERVICE
5353/udp closed zeroconf

Le port ne devrait pas apparaître ouvert/filtré ? Est-ce que c'est justement parce que je ne l'utilise pas ?
Un grand merci déjà pour toutes les infos que vous avez données.

svi_binette

Excusez-moi, je comprends que si je mets mon adresse (celle de ma box) c'est normal, vu que je n'utilise pas avahi, pas de règle concernant ce port dans la box.
Je ne vous embête plus.
Mille mercis pour ce fil si riche.

tiramiseb

Les ports UDP ne peuvent pas apparaître filtré.

Pour ses vérifications en TCP, nmap tente de se connecter et attend une réponse : sans réponse (timeout) on est dans le cas d'un port filtré, avec une réponse négative on est dans le cas d'un port fermé, avec uen réponse positive on est dans le cas d'un port ouvert.

Mais en UDP, il n'y a pas de "connexion" : avec ce protocole, on envoie les données et puis c'est tout, on ne vérifie pas qu'elles sont reçues, on ne demande pas d'ouverture de connexion, pas d'acquittement. Donc on ne peut pas avoir ces trois cas distincts 🙂

svi_binette

Bonjour à tous,

Merci Tiramiseb, j'ai l'impression que je commence à comprendre mieux grâce à ta réponse.
Cependant, il doit manquer une petite précision :

tiramiseb a écritLes ports UDP ne peuvent pas apparaître filtré.

En fait il faudrait peut-être dire "rarement" plutôt que "ne peuvent pas".
En effet la commande sudo nmap -sU -p68 5.X.X.X pour dhcp me renvoie :

Host is up (0.00045s latency).
PORT   STATE         SERVICE
68/udp open|filtered dhcpc

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Un extrait de la doc nmap :

Le scan UDP envoie un en-tête UDP (sans données) à chaque port visé. Si un message ICMP « port unreachable (type 3, code 3) » est renvoyé, le port est alors fermé. Les autres messages d'erreur « unreachable ICMP (type 3, codes 1, 2, 9, 10, or 13) » rendront le port filtré. À l'occasion, il arrive qu'un service répond par un paquet UDP, prouvant que le port est dans l'état ouvert. Si aucune réponse n'est renvoyée après plusieurs essais, le port est considéré comme étant ouvert|filtré.
(...)
Une des grandes difficultés avec le scan UDP est de l'exécuter rapidement. Les ports ouverts et filtrés ne renvoient que rarement des réponses, laissant Nmap expirer son délai de retransmission au cas où les paquets se soient perdus.

Quid du rarement ? J'en déduis qu'un scan UDP par nmap n'est pas fiable du tout. Ou alors c'est une histoire de port < 1024 (cas du port 68)...

tiramiseb

Quid du rarement ? J'en déduis qu'un scan UDP par nmap n'est pas fiable du tout. Ou alors c'est une histoire de port < 1024 (cas du port 68)...

Un scan UDP n'est pas fiable, que ce soit par nmap ou non, en raison du fonctionnement du protocole UDP.

Comme indiqué dans cette doc, s'il n'y a pas de réponse à une requête UDP, on ne peut pas savoir si c'est un port ouvert et que c'est normal ou si c'est parce que c'est bloqué...

svi_binette

Merci !

« Page précédente Page suivante »