Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configurer son pare-feu - GUFW et IPTABLES svp ?

[supprimé]

Bonjour,

j'utilise le pare-feu suivant sous Ubuntu 12.04 LTS :

http://doc.ubuntu-fr.org/ufw

Et je le gère avec l'interface graphique suivante :

http://doc.ubuntu-fr.org/gufw

J'ai paramétré mon pare-feu comme sur cette image :

J'ai lu sur plusieurs articles que ce n'était pas super comme configuration de base et pouvait créer des problèmes de sécurité. J'ai vu que certaines personnes peuvent paramétrer IPTables, mais je ne sais pas si c'est la seule solution logiciel connue, car cela a l'air compliqué à paramétrer, et je ne sais pas s'il existe maintenant quelque chose de plus simple à faire niveau logiciel, et de plus sécurisé ? Merci beaucoup.

KRS

UFW vas utiliser iptables, mais effectivement iptables permet de faire des choses que UFW ne saura pas faire.
Après c'est une question de compétences, utiliser un firewall sans en savoir un peu plus sur son fonctionnement ne te protégera pas forcément dans tout les cas. Et une question de besoin aussi, si tu ne te sert pas de ton pc comme serveur pour différents services, tu n'aura sans doute pas besoin d'iptables directement.

Ta configuration actuelle est une bonne base. N'oublie pas que si tu installe des programme qui auront besoin de répondre à une connexion entrante il faudra l'autoriser. (c'est aussi surement la même configuration que le firewall qui est dans ta box d'accès internet aussi)

Si tu veux plus d'informations sur les firewall, je te conseille cet article en anglais : https://help.ubuntu.com/community/DoINeedAFirewall

[supprimé]

Bonjour et merci KRS. Je ne comprends pas l'anglais, c'est dommage. Merci pour les explications au dessus. Je n'ai pas de serveurs. J'ai Ubuntu en mode Système d'Eploitation simple, aucun services de serveurs activés (enfin, pas à ma connaissance). Donc GUFW est suffisant comme tu l'indiques, je vais laisser comme cela, merci... :lol:

[supprimé]

Ça parait assez simple, merci c_biloute. Je vais tenter cela.

[supprimé]

bon ben j'ai fait tout ce que tu as dit mais déjà je ne pouvais plus accéder à plein de sites habituels sous firefox... Tant pis, j'aurai au moins essayé.

[supprimé]

Les url qui bloquaient, entre autres, étaient les résultats de Google par exemple. J'ai tappé dans Google "tarte aux fraises", et j'ai eu plusieurs résultats de la part du moteur de recherches, je cliquai sur le premier lien et hop, je me retrouvai sur le message de Firefox me disant qu'il n'arrivait pas à se connecter au site, qu'il fallait que je vérifie ma connexion etc... ça faisait ça avec tous les résultats de google

Ok pour l'erreur sur le 123.

Est-ce que tu as fait d'autres erreurs au dessus stp ?

[supprimé]

D'accord merci :-)

[supprimé]

Hello c_biloute,

juste pour dire que j'ai trouvé mon erreur d'hier, je n'avais pas autorisé la ligne du port "53 udp" en "allow out". Sinon aujourd'hui j'ai vu qu'il fallait que je crée une règle pour un logiciel (via le port spécifique du logiciel). Est-ce que l'interface de GUFW, lorsqu'on la paramètre comme on le fait, je veux dire en mode "Deny" et pour le "sortant" et pour le "rentrant" est vraiment efficace, je veux dire, le fait-il vraiment ou bien il y a certains autres ports à surveiller quand même stp ? Je ne connais pas bien GUFW, merci à toi...

[supprimé]

Merci c-biloute,

les tests ne montrent rien de spécial, tout est en vert sur Gibson. Pour la règle et le logiciel c'est un truc de calcul partagé, on m'a donné les deux ports qu'utilisait ce logiciel et j'ai appliqué les règles "Allow Out" seulement sur les deux port qu'utilise ce logiciel. Donc je n'ai mis nulle part de "Allow In". Merci de m'enlever mes craintes, quand tu connais pas un logiciel il vaut mieux demander plus que pas assez. Et après tests en enlevant les règles comme tu dis, impossible de surfer etc.. donc rien ne passe.

Pour les gens qui connaissent les autres règles de IPTABLES, ils peuvent encore affiner le truc stp ? genre Allow out" peut être séparé entre différentes valeurs pour le suffixe "Out" stp ?

[supprimé]

-pascal34- a écrit
Pour les gens qui connaissent les autres règles de IPTABLES, ils peuvent encore affiner le truc stp ? genre Allow out" peut être séparé entre différentes valeurs pour le suffixe "Out" stp ?

Je voulais demander si dans la fonction "Allow out" on pouvait avec IPTABLES séparer ce "Allow out" en plusieurs parties et n'autoriser que certaines choses à "sortir" du pare-feu et bloquer d'autres choses svp ? Comme si on coupait en quartiers une orange et que l'on donne à manger à quelqu'un 4 quartiers sur 11 seulement (notre "Allow out" serez affiné, et ne laisserait passer par le pare-feu que 4 règles de "Out" sur 11), je comprends que là, les 11 règles définies par notre "Allow out" passent toutes (alors que l'on pourrait peut-être n'en laisser passer que 4 avec IPTABLES ?)

Désolé si je complique les choses pour rien ou si je ne suis pas clair, merci de votre aide.

[supprimé]

Merci c_biloute.

Ce que je pensais c'était que par exemple sur un "80/tcp Allow out" cette commande contenait plusieurs protocoles par exemple. Et que un "Allow out" autorisait plein de chose "à sortir", que l'on pouvait affiner avec IPTABLES en autorisant le port 80 en sortie mais pas sur tous les protocoles.

Mais en fait un "Allow out" via l'interface GUFW correspondrait à cette même commande sous IPTABLES, ou bien IPTABLES permet de mieux encadrer un simple "ALLOW Ou sur un port stp ?

Haleth

Tu te prends la tête pour rien.

Tout le traffic que tu souhaiterais supprimer va passer dans cette règle :
"Allow out"

Et si tu cherches à limiter à ce niveau, alors tu vas te couper les pattes. Les ports des clients sont choisit aléatoirement, tu ne peux donc pas dire "cette plage est bonne, cette plage n'est pas bonne".

Sans compter que cela n'a aucun sens ..

Pour info, la bonne config est, en reprenant ton langage:

Allow in
Allow out

[supprimé]

Salut les gens, et merci pour vos dernières réponses, cela correspond à mes questions nickel... Bon dimanche...

ljere

si ça peut t’intéresser j'ai fait un petit article sur iptables http://ljeremie.legtux.org/?p=94

[supprimé]

Bonjour et merci pour le ien Ljere. Mais je voulais affiner iptables aujourd'hui pour interdire le "ping". J'ai compris comment faire grâce à cette page :

http://doc.ubuntu-fr.org/iptables

Au lien au dessus, ce n'est pas exactement expliqué comment faire pour interdire le ping, par contre en comprenant certaines explications, on peut tout recouper, et apprendre à changer des règles dans tout Iptables. Et c'est comme ça que par déduction de plein d'infos fournies sur le lien au dessus, j'ai pu apprendre à faire sauter la règle du "ping".

Maintenant mon ordinateur de renvoie plus le ping. (mais ça n'a pas été facile à faire, ni à comprendre comment faire) Encore merci du lien, il pourra me servir plus tard pour d'autres choses.

[supprimé]

Oui le réglage précis du parefeu GUFW et IPTABLES demande un peu d'études, visiter les pages d'aide du site ici concernant iptables et gufw :

http://doc.ubuntu-fr.org/iptables

http://doc.ubuntu-fr.org/gufw

Certains mettent sur GUFW :

Entrant : DENY

Sortant : DENY

Et font des règles à part pour les ports qu'ils désirent laisser sortir, mais à la base tout est donc en "Sortant : DENY" et "Entrant : DENY" sur leur config, avec donc des règles à part pour le sports qu'ils veulent ouvrir en "sortie". On peut interdire le ping aussi et créer encore d'autres règles. On trouve d'autres pages sur internet.

J'ai fait mes propres réglages via les deux pages du dessus déjà et une ou deux pages que j'avais trouvé au moment de mes réglages iptables, mais je ne sais plus lesquelles sont-elles désolé.

Bonne soirée...

Pierre Lhabitant

Gufw est bien le meilleur moyen de surveiller son réseau actuellement sur Ubuntu, sans trop se casser la tête, et sans faire d'erreurs, la ligne de commande merci, et les subtilités sémantiques ufw, iptables, netfilter, ipchains n'ont que peu d'intérêt.

La meilleure configuration n'est sûrement pas allow/allow, c'est sortant allow et entrant deny, faut il filtrer en sortie ? Pour quoi faire ? Vous avez un virus ? Par contre protéger son PC contre une intrusion est utile, surtout si vous avez un routeur comme celui ci,

http://korben.info/le-port-32764-ouvert-sur-les-routeurs-linksys-et-netgear-est-une-backdoor.html

Il n'est pas impossible aussi qu'un méchant PC windowsien soit infecté dans votre réseau local.

Je vois souvent des questions sur le ping, du temps où j'étais chez Free ( plus difficile avec les livebox), j'ai testé Gufw chez GRC shields up, après avoir créé une DMZ et désactivé le pare feu de la box, sinon c'est le routeur qui est scanné, tous les ports sont furtifs, et le PC ne répond pas au ping, de toutes façons, si vous êtes ciblés... ce n'est pas ça qui va vous protéger d'un scan UDP ou TCP.

Donc Gufw est hermétique et c'est le principal, moi je conseillerais de régler en sortant allow et entrant reject, histoire d'avoir un journal des connexions (édition > préférences), ne dépassez pas le niveau médium, sinon ça pompe trop en CPU.

Vous trouverez votre journal ufw.log dans système de fichiers/var/log, comment l'interpréter ?

D'après mes observations, si vous avez ceci,

[UFW ALLOW] IN= OUT=eth0 SRC=192.168.1.12 DST=37.59.67.149 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10109 DF PROTO=TCP

A côté de IN= il n'y a rien, donc c'est du flux sortant, l'adresse de destination (DST) 37.59.67.149 si on va ici,

http://www.localiser-ip.com/

On voit que c'est Bitdefender.

192.168.1.** c'est votre PC.

Et le protocole (PROTO) est TCP, donc il y a de fortes chances que ce soit une connexion que vous avez demandée, si ce n'est pas le cas, inquiétez vous, mais ne faites pas trop attention aux google.

Si vous avez cela,

[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:**:**:88:13:a3:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00

A côté de IN= il y a eth0, c'est votre internet, c'est donc une connexion entrante (sans votre initiative par définition), UFW a bloqué ce qui venait de SRC (source), soit 192.168.1.1, c'est à dire la livebox (freebox c'est 192.168.0.254), dans ce cas précis c'est du flux de découverte réseau IGMP d'Orange, mais si vous avez ce type de connexion venant d'internet sans raison, inquiétez vous vraiment.

[supprimé]

Gfuw c'est bien pratique, mais iptables est quand même beaucoup plus précis. Mais on peut utiliser les deux également, cela ne gène pas 😉

[supprimé]

Pierre Lhabitant a écrit
Vous trouverez votre journal ufw.log dans système de fichiers/var/log, comment l'interpréter ?

D'après mes observations, si vous avez ceci,

[UFW ALLOW] IN= OUT=eth0 SRC=192.168.1.12 DST=37.59.67.149 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10109 DF PROTO=TCP

A côté de IN= il n'y a rien, donc c'est du flux sortant, l'adresse de destination (DST) 37.59.67.149 si on va ici,

http://www.localiser-ip.com/

On voit que c'est Bitdefender.

192.168.1.** c'est votre PC.

Et le protocole (PROTO) est TCP, donc il y a de fortes chances que ce soit une connexion que vous avez demandée, si ce n'est pas le cas, inquiétez vous, mais ne faites pas trop attention aux google.

Si vous avez cela,

[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:**:**:88:13:a3:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00

A côté de IN= il y a eth0, c'est votre internet, c'est donc une connexion entrante (sans votre initiative par définition), UFW a bloqué ce qui venait de SRC (source), soit 192.168.1.1, c'est à dire la livebox (freebox c'est 192.168.0.254), dans ce cas précis c'est du flux de découverte réseau IGMP d'Orange, mais si vous avez ce type de connexion venant d'internet sans raison, inquiétez vous vraiment.

Bonjour à vous.

J'ai pris le temps de mieux analyser les données que vous m'avez transmis hier. Je suis donc tout simplement allé voir le log de ufw dans /var/log

Comme j'ai appris par vos explications comment interpréter le fichier ufw.log , j'en ai conclu que je n'ai pas d'adresse bizarre en IN=eth0.

Par contre si cela avait été le cas, cela aurait pu vouloir dire que quelqu'un avait accès à mon ordinateur depuis internet (une personne déjà assez formée pour pouvoir le faire), mais ce genre de personne ne va-t-elle pas d'elle même "effacer les données bizarres" dans l'ufw.log avant de quitter l'ordinateur de la personne hackée ?

Si par contre vous voulez faire analyser un fichier log, quel qu’il soit, est-ce possible ? car je dirais à un logiciel capable de le faire de me dire dès que derrière "SRC=" les numéros changent ? Mais que pour la ligne "IN=eth0"

J'ai relevé que dans votre exemple d'hier il y a cela :

[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:**:**:88:13:a3:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00

Alors je dirais à mon logiciel d'analyser le log "ufw.log" et de me dire tout de suite si il commence à écrire autre chose que les numéros "192.168.1.1" après "SRC=" mais que dans la ligne du log qui commence par "[UFW BLOCK] IN=eth0 ........."

Par exemple le log commence à écrire ceci :

[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:**:**:88:13:a3:08:00 SRC=31.45.158.2 DST=224.0.0.1 LEN=32 TOS=0x00

On voit sur la ligne du dessus que l'adresse IP(31.45.158.2) qui suit la mention "SRC=" est différente de 192.168.1.1. Ce qui pourrait donc me faire une alerte sous Linux, sinon comment faire pour analyser le log ufw.log toutes les cinq minutes, c'est impossible, et si on arrive quand le mec a effacé ses traces c'est mort non ??

Ce type de logiciel existe-t-il déjà svp ?

Pierre Lhabitant

"Par contre si cela avait été le cas, cela aurait pu vouloir dire que quelqu'un avait accès à mon ordinateur depuis internet (une personne déjà assez formée pour pouvoir le faire), mais ce genre de personne ne va-t-elle pas d'elle même "effacer les données bizarres" dans l'ufw.log avant de quitter l'ordinateur de la personne hackée ?"

Oui, c'est possible, de par une attaque indirecte (infection) ou directe, mais ce n'est pas à la portée de n'importe qui, il faut faire vite et bien pour ne pas se faire repèrer, et chez Linux actuellement, pas très facile (par manque de pratique).

"J'ai relevé que dans votre exemple d'hier il y a cela :
[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:**:**:88:13:a3:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00"

C'est la box qui cherche ses petits dans le réseau local (224.0.0.1), pas grave.

"Par exemple le log commence à écrire ceci :
[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:**:**:88:13:a3:08:00 SRC=31.45.158.2 DST=224.0.0.1 LEN=32 TOS=0x00
On voit sur la ligne du dessus que l'adresse IP(31.45.158.2) qui suit la mention "SRC=" est différente de 192.168.1.1. Ce qui pourrait donc me faire une alerte sous Linux, sinon comment faire pour analyser le log ufw.log toutes les cinq minutes, c'est impossible, et si on arrive quand le mec a effacé ses traces c'est mort non ??
Ce type de logiciel existe-t-il déjà svp ?

Oui, la Croatie qui tente une connexion vers tout le réseau local c'est plus embêtant, essaye voir de changer les paramètres de journalisation de Gufw mais ça risque d'être barbant, effacer ses traces lors d'un hack, encore une fois pas très aisé, chez Windows il y a Wireshark, Nmap pour surveiller, chez Linux aucune idée, et il me semble qu'un équivalent Linux n'est pas toujours une copie fidèle.
Par contre pas très difficile de bloquer l'IP dans Gufw en entrée (voire en sortie) par mesure de sécurité.

Page suivante »