Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Iptable bien configuré ?

Loupus11

Brunod a écritMoi je suis le daemon

Elle bonne celle là !!!

Oh mon Dieu sauvez nos âmes et protégez-nous du Dragon !!! 😉

PerfMonk

tiramiseb a écrit
...
Ton script n'apporte pas grand chose (voire rien) sur une configuration classique...

Tu peux ajouter ce script à /etc/init.d/rc.local
rc.local !? C'est vraiment la plus crado des manières pour mettre quelque chose au démarrage...

Et toi tu aurais quelque chose de positif à dire ?

Le script que j'ai proposé ferme l'accès à la machine de l'extérieur sauf pour ssh ... Je pense que c'est déjà une amélioration à rien du tout.

Et /etc/rc.loca : tu as un meilleur endroit pour faire exécuter du code au démarrage M. Positif ?

pires57

non ce n'est PAS une amélioration.
ton script est totalement INUTILE sur un système Linux où par défaut il n'y a rien qui écoutes sur le réseau!
Ensuite moi je l'aurais plutôt mis dans

/etc/init.d/

et tu lui indique qu'il doit être exécuté à chaque démarage :

update-rc.d iptables.sh defaults

PerfMonk

pires57 a écritnon ce n'est PAS une amélioration.
ton script est totalement INUTILE sur un système Linux où par défaut il n'y a rien qui écoutes sur le réseau!
Ensuite moi je l'aurais plutôt mis dans

/etc/init.d/

et tu lui indique qu'il doit être exécuté à chaque démarage :

update-rc.d iptables.sh defaults

Je ne suis pas d'accord. Ce n'est pas inutile si tu as des services locaux qui eux écoutent genre : apache ou d'autres applications web locale (administration de cups sur localhost:931, X, SSH, ...) et bien d'autres choses qui utilisent des ports de communication locaux. Je crois qu'il est facile d'oublier un programme qui va écouter sur un port en pensant qu'on est bien en sécurité...alors qu'il peut y avoir une faille quelque part.
Personnellement je préfère prévenir plutôt qu'être à risque.

Et /etc/rc.local est exécuté à chaque démarrage car il est exécuté par /etc/init.d/rc.local. C'est un script qui est exactement prévu pour exécuter des scripts locaux comme celui dont on parle.

Bien à vous,
Bernard :cool:

bruno

Pas tout à fait. /etc/rc.local est exécuté après tous les autres scripts d’initialisation en mode multiutilisateur. Ce n'est donc pas une bonne solution pour établir les règles du pare-feu. Idéalement le pare-feu doit être activé par un script d'init (comme suggéré par pires57, à ceci près que je l'activerai aussi au niveau 1) ou comme je l'ai déjà vu dans un script d’initialisation du réseau.

Sinon je crois aussi que c'est inutile sur une machine isolée (à moins de vouloir restreindre certains services à certaines IP). Tu parles de « service locaux », comme CUPS. Ces services n'étant en écoute que sur l'interface de bouclage (127.0.0.1) il ne sont pas accessibles de l'extérieur par définition. Cela ne justifie donc absolument pas l'utilisation de règles de filtrage…

tiramiseb

Et toi tu aurais quelque chose de positif à dire ?
[...]
Et /etc/rc.loca : tu as un meilleur endroit pour faire exécuter du code au démarrage M. Positif ?

Oui : si tu veux mettre quelque chose au démarrage, fais un vrai script de démarrage, ou mieux : une configuration pour upstart.

Le script que j'ai proposé ferme l'accès à la machine de l'extérieur sauf pour ssh ... Je pense que c'est déjà une amélioration à rien du tout.

Comme t'a déjà répondu pires57, non ce n'est pas une amélioration, vu que par défaut il n'y a rien en écoute (comme l'a d'ailleurs prouvé le "nmap" dans le message #1).

Je t'invite à lire la discussion suivante si tu veux en savoir plus sur mon avis : je n'ai pas envie d'écrire 50000 fois la même chose.
http://forum.ubuntu-fr.org/viewtopic.php?pid=12827211#p12827211

PerfMonk a écritCe n'est pas inutile si tu as des services locaux qui eux écoutent genre : apache ou d'autres applications web locale

Depuis le début on parle d'un PC classique, d'un utilisateur normal !
Donc déjà là tu es en train de parler d'un cas qui n'est pas du tout celui qui est traité ici.

Tu évoques Apache : eh bien si tu veux qu'il n'écoute pas sur le réseau, tu le configures pour qu'il n'écoute pas sur le réseau, pour qu'il n'écoute que sur l'interface locale.

(administration de cups sur localhost:931, X, SSH, ...)

Pour CUPS, comme bruno l'a indiqué, il n'écoute par défaut que sur 127.0.0.1.
X, quant à lui, il n'écoute pas sur le réseau du tout.
Et SSH, il n'est pas installé par défaut ; si tu l'installes, c'est bien pour l'utiliser non ?

Je crois qu'il est facile d'oublier un programme qui va écouter sur un port en pensant qu'on est bien en sécurité...

Quand on n'installe pas de tel programme, on n'a pas ce problème.
Encore une fois, on parle ici du cas d'un PC classique, utilisé par une personne lambda, qui n'installe que ce dont elle a besoin...

Le pare-feu n'est qu'un palliatif pour quand on ne peut pas ou on ne sait pas configurer ces logiciels.

C'est un script qui est exactement prévu pour exécuter des scripts locaux comme celui dont on parle.

C'est un palliatif pour quand on ne sait pas faire un script de démarrage ou quand on ne sait pas configurer upstart (pourtant sa documentation est assez claire je trouve).
Donc ce n'est pas quelque chose à conseiller à un autre : j'estime que lorsque l'on conseille quelque chose à un autre, on ne lui conseille pas un palliatif.

compotes

8140david a écritVoici ma config Iptable:
iptables -F
iptables -X
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Et voici le resultat de la commande 'sudo nmap localhost --system-dns':
Starting Nmap 5.21 ( http://nmap.org ) at 2014-07-10 16:24 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000090s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
53/tcp open domain
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

Est-ce que tout est bon, ou y a-t-il un probleme de securite ?

Salut,

c'est difficile de trouver les bonnes commandes pour IPtables. (Oui il y a le mot tables, et non on est pas chez Ikéa, on fait pas tous des réponses, en Kit, aux problèmes d'ameublement)

La page de doc d'ubuntu (que tu as du déjà parcourir) :

http://doc.ubuntu-fr.org/iptables

Quelques liens divers et variés (in french, ça pourra peut-être t'aider) :

http://www.netfilter.org/documentation/HOWTO/fr/networking-concepts-HOWTO.html
http://www.netfilter.org/documentation/HOWTO/fr/packet-filtering-HOWTO.html
http://www.netfilter.org/documentation/HOWTO/fr/netfilter-extensions-HOWTO.html

Le petit dernier (mal placé dans l'ordre où je le donne sûrement car peut-être le premier à lire), celui-ci :

https://www.frozentux.net/iptables-tutorial/fr/book1.html

Ensuite si tu es sur une machine "de bureau" et donc pas un serveur, bref que tu es sur ton pc chez toi, ou sur un portable destiné à être plus connecté derrière des accès Wifi par exemple, la mise en place du pare-feu pourrait ressembler à celle-ci pour toi (sans te casser la tête les premiers temps (car tu as de la lecture en perspective) tu pourrai sûrement faire 99% de ton surf avec celles qui suivent....).

Je t'en fait la liste (numérotée, comme ça tu sauras que la première règle à entrer chez toi dans ton terminal sera la règle numéro un, et la dernière sera le numéro de fin de liste). Ensuite les explications de ce qu'elles vont faire. (il te faudra, comme nommé au dessus, installer le paquet "iptables-persistent" que tu trouves dans Synaptic, si tu ne sais pas ce que c'est que ce Synaptic, n'hésite pas à demander).

Je fais sauter la règle numéro 1°, (pour simplifier), dans un terminal tu tapes ce qui suit tout simplement. Pour savoir ce qu'elles vont faire à ton IPtables, reportes-toi en bas de ce message.

2°

sudo iptables -t filter -F

3°

sudo iptables -t filter -X

4°

sudo iptables -t filter -P INPUT DROP

5°

sudo iptables -t filter -P FORWARD ACCEPT

6°

sudo iptables -t filter -P OUTPUT ACCEPT

7°

sudo iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

8°

sudo iptables -t filter -A INPUT -i lo -j ACCEPT

9°

 sudo service iptables-persistent save

10°

 sudo service iptables-persistent reload

11°

 sudo service iptables-persistent restart

-----------------------------------------------------------------

Voilà, Iptables sera paramétré. Il est important que tu analyses les règles que je te donne AVANT de les appliquer bien entendu, lorsque l'on parle de sécurité informatique et que bien sûr tu ne me connais pas du tout, que tu débutes sur ce logiciel, que tu fasses tes vérifications avant, les liens que je te donne en début de message vont évidemment t'aider. Si tu ressens le besoin de poser des questions n'hésites pas, aussi bête qu'elle soit, surtout si elle est très bête, que l'on puisse avoir un bon schéma mental de ce que l'on vient de te transmettre, sinon, il nous sera impossible de t'aider, ou de déceler ce que tu n'as pas compris, ou bien de déceler aussi ce que nous n'avons pas compris dans ta demande. Je suis là pour apprendre de toi, autant que tu pourras je l'espère en apprendre de moi, de nous, de la communauté Ubuntu francophone en quelques sortes... :-)

----------------------------------------------------------------

Les règles 2° et 3° sont expliquées sur la page de doc.ubuntu

La 4° (intéressante celle-ci, bien que "sur-renseignée" !), d'office, iptables indique la table filter lorsque aucune table n'est indiquée. Je précise "-t filter" pour te donner une notion plus étoffée sur les différentes lectures que tu auras par la suite par rapport aux différentes tables de Iptables (oui on reste toujours dans les talbes !). Donc elle va "filtrer" ce que tu lui autorises, ou ce que tu lui défends. Jusque là rien de compliqué, d'ailleurs je vais essayer de faire simple jusqu'au bout pffff ! Donc la 4° règle à aussi ceci "-P" (P qui veut dire Policy, ça veut dire en gros, quelle est la "politique générale absolu" pour la politique de INPUT ! Et INPUT c'est tout ce qui ....rentre.... Donc là, hop, on la met en DROP, c'est à dire que tout ce qu'elle ne "connaît pas" et qui vient de l'extérieur, ben ça restera à .... l'extérieur.....). Voilà donc la première chose à faire pour filtrer ce qui vient de l'extérieur.

La 5° c'est le FORWARD, c'est en gros ce qui ne va pas passer par INPUT mais qui peut répondre un jour à une de tes règles IPtables, et qui demandera à ce que FORWARD soit en mode ACCEPT, bon, tu peux mettre cette règle en DROP si tu ne sais pas ce que c'est, que tu n'as pas bien compris, que tu te méfies bref, tu fais comme tu veux, tu pourras la changer plus tard, ton pare-feu fonctionnera très bien quand même....

La 6° Toujours pareil, comme pour INPUT et FORWARD on reste sur la table "filter", on règle ici aussi (comme pour FORWARD et INPUT), la "politique générale" mais on est sur OUTPUT. Et on met sur ACCEPT, si tu mets cette règle sur DROP, plus rien ne sort, du coup, pas d'accès à Internet bien sûr, ni à rien lol. Pour comprendre pourquoi tu vas mettre cette règle à ACCEPT, c'est aussi parce que c'est toi qui maîtrises ton système d'exploitation Ubuntu, et donc personne ne met de logiciels dessus à part toi, ou les gens en qui tu as pleine confiance bien sûr, et on a des gens comme ça autour de nous heureusement ! Mais on peut très bien faire le "sectaire" aussi dire NON y'a que moi qui met des logiciels là dessus c'est tout ! (lol, on vit dans le pays des droits de l'homme, alors éclates-toi pfff !).

-------------------------------------------------------------

Voilà, là on a mit les règles de bases, mais ça ne marchera quand même pas comme cela, il faut dire à IPtables, qu'est-ce que TOI tu veux qu'elle laisse rentrer !!!!! Et là ce sont les deux règles magiques 7° et 8°

Avec la 7° on reste sur la table filter toujours bien sûr, et on indique non pas un "-P" en majuscule mais un "-p" en minuscule, ce qui veut dire que juste après on doit indiquer le ou les protocoles que tu veux laisser rentrer sur ta machine, bien sûr un système d'exploitation à besoin de plusieurs protocoles pour fonctionner, donc on se casse pas la tête, on met : "all" (tous quoi...) Et après on a un réglage tout à fait intéressant aussi, le "state" et "--state" réglé sur ESTABLISHED et RELATED (mais là tu verras et tu liras sur différent mode d'emploi que l'on peut mettre aussi la Notion NEW en plus de ESTABLISHED et RELATED). Mais si on met NEW ici, alors notre règle numéro 4° sur la politique globale de INPUT ne servira à rien, cela aura pour effet de laisser entrer ce qui vient de l'extérieur, autant mettre la règle INPUT en ACCEPT !!! Ça n'aurait aucun sens !

Comme il n'y a donc pas le paramètre : NEW dans la règle numéro 7°, cela veut dire que lorsque tu lanceras Firefox, cela passera donc par OUTPUT (que tu as mis en ACCEPT bien sûr, sinon cela ne passerait pas), et alors INPUT qui est pourtant en DROP accepte cette connexion car elle est INITIÉE bien sûr depuis TA machine et pas depuis l'extérieur !!!! Et du coup INPUT accepte que Firefox reçoive des connexions de l'extérieur.... Bref, que tu puisses surfer pépère.... Et le paramètre RELATED est relatif à Firefox, si tu l'enlèves ça marchera tout de suite moins bien, en fait je parle de Firefox, mais ce que je dis est applicable à n'importe quel programme, là tu auras Transmission et Thunderbird et autres qui passeront sans soucis.... Mais tout cela ne marcherai pas sans la règle numéro 8°... Pourquoi ? Voyons cela ci dessous :

La 8°

Tu connais sûrement la commande : "ifconfig" que l'on tape tel quel dans le terminal, elle donne des indications de tes cartes réseaux, et tu trouveras une carte qui s'appelle "lo" (la lettre L et la lettre O en minuscules), c'est l'interface du PC, si tu ne mets pas cette règle dans IPtables, rien ne passera par ton interface PC, donc pareil, pas de surf rien...

Les règles 9° 10° et 11° rechargent le module "iptables-persistent" et les inscrivent (en dur), comme ça au démarrage de ta bécane, les règles que tu viens de voir, seront devenues celles d'IPtables. Plus besoin de refaire tout cela.

Pour toutes questions on reste là, on a même des gens qui disent merci !

Plus sérieusement, tu as du boulot pour vérifier tout ça, à bientôt.

pires57

Encore une fois .. c'est lassant de devoir se répéter continuellement mais sur ubuntu RIEN N'EST EN ECOUTE SUR LE RESEAU DONC IPTABLES OU TOUT AUTRE FIREWALL EST TOTALEMENT INUTILE !
Donc maintenant explique moi l’Intérêt d'iptables sur un pc ou aucun port n'est ouvert. J'aimerais bien une réponse détaillé a cette question plutôt qu'une explication de règles iptables.

compotes

pires57 a écritEncore une fois .. c'est lassant de devoir se répéter continuellement mais sur ubuntu RIEN N'EST EN ECOUTE SUR LE RESEAU DONC IPTABLES OU TOUT AUTRE FIREWALL EST TOTALEMENT INUTILE !
Donc maintenant explique moi l’Intérêt d'iptables sur un pc ou aucun port n'est ouvert. J'aimerais bien une réponse détaillé a cette question plutôt qu'une explication de règles iptables.

Aucun soucis là dessus, j'ai juste compris que le créateur de ce topic avait dans l'idée de paramétrer IPtables, et comme le mentionne son message qui lui a servi à la création de cette discussion ici, il cherche à savoir si IPtables est bien configuré ?

De toutes évidences, il lui manquait quelques astuces, d'où mon message précédent. Je ne dis à aucun moment que tu es dans l'erreur vu que tu n'y es pas.

Seulement, pour les gens que cela intéresse, et qui ne savent pas comment fonctionne IPtables, et dont je le répète, c'est pile-poil leur demande, ben je leur réponds, voilà, chacun fait comme il peut, comme il veut aussi ,je comprends ta démarche et je la respecte.

J'espère que je ne vais pas lire et relire : "Mais ça ne sert à rien IPtables rien est en écoute...."

Parce que ça, je le sais déjà, à toi de l'intégrer maintenant, ça évitera de polluer le forum tout de suite...

Relis moi bien stp : ----> Moi je le sais qu'il n'y a rien en écoute, je lui explique comment fonctionne IPtables et en plus j'en ai le droit, et lui a le droit de le demander aussi, comme toi tu as le droit d'indiquer que ça ne sert à rien, on est tous sur le même forum 😉

Voilou, c'est tout 🙂

PerfMonk

Merci pour ton commentaire pertinent "compote" :cool:

8140david

Merci beaucoup pour ta reponse tres detaillee et utile, compotes 🙂

tiramiseb

Je me permets de détailler quelques point qui me gênent (enfin, qui ne me semble pas clairs sur tout) dans l'explication de compotes.

Au point 5°, la chaîne "FORWARD" c'est celle qui correspond aux paquets qui traversent la machine mais dont celle-ci n'est ni expéditeur ni destinataire. C'est le cas des pare-feux de réseau. Sur une machine en bout de réseau (avec une seule interface réseau), cette chaîne ne sera jamais utilisée.

Pour le point 6°, tout à fait d'accord, autant tout laisser ouvert en sortie car on maîtrise le système et on n'installe/utilise pas n'importe quoi. Tout cela en restant bien sur les dépôts officiels d'Ubuntu pour l'installation de logiciels bien sûr : si on installe des logiciels louches téléchargés n'importe où, on ne saura pas trop ce qu'ils font...

Autre ajout, pour le point 7°, l'argument "-p" n'est pas nécessaire vu que c'est le paramètre par défaut.

Par ailleurs, l'explication du point 8° me semble alambiquée. "lo" ça signifie "loopback", c'est l'interface virtuelle de communication locale du PC (quand on se connecte à soi-même, avec l'adresse 127.0.0.1 etc). La bloquer complètement n'empêche pas d'aller sur Internet dans l'absolu, c'est juste qu'elle est utilisée pour la résolution DNS (Le logiciel "dnsmasq" écoute sur l'interface locale et le système est configuré pour l'utiliser en 127.0.0.1, histoire de simplifier la configuration des DNS par l'utilisateur).

Mais tout ça, c'est si on aime se faire chier. Car Ubuntu est fourni avec UFW (Uncomplicated FireWall), un logiciel qui automatise tout ça. Pour faire exactement la même chose que toutes ces manipulations (et même mieux : configuration de logs, etc), il suffit de faire :

sudo ufw enable

Ensuite on utilise ufw pour créer les règles que l'on veut, par exemple :

sudo ufw allow ssh

Et enfin, j'ajoute encore une fois (enfonçons le clou) qu'une telle configuration est inutile sur un poste de travail Ubuntu "normal"...

fruitsecrases

PerfMonk a écritMerci pour ton commentaire pertinent "compote" :cool:

De rien, il n'est pas encore fini 😉

8140david a écritMerci beaucoup pour ta reponse tres detaillee et utile, compotes 🙂

Je t'en prie, dans la suite arrivent encore quelques infos.

-----------------------------------------------------------------------
Pour répondre à Tiramiseb plus en détail lire ce qui suit :
-----------------------------------------------------------------------

slt,

pour ce que je dis en dessous (et pour sa compréhension), il est important de savoir ce que l'on sait des dossiers Snowden. Pour comprendre notre situation actuelle donc, vous pourrez interagir avec ce lien quand vous voulez :

http://www.01net.com/editorial/611062/comment-la-nsa-peut-bidouiller-votre-iphone-votre-wifi-votre-pc-votre-ecran/

Au lien du dessus, il est important de visiter les miniatures d'images données en fin de l'article et donc données aux gens du monde entier sur les dossiers Snowden, et ainsi mieux étoffer notre savoir sur ce que la NSA sait déjà faire (je vous conseille vivement sa lecture évidemment, c'est passionnant tout autant qu'effrayant !!!! ).

Tiramiseb, c'est important de dire que cela ne servira à rien "entre guillemets" d’activer le pare-feu sur Ubuntu. Car il n'y a rien en écoute. Tu peux donc enfoncer le clou comme tu dis, et le rappeler dans tes messages au début ou au au milieu ou en fin de message et perséverer ainsi dans tes prochains messages. Mais si tu as peur que nous n'ayons pas très bien compris ton point de vue à ce sujet, ce sera toujours le bienvenu. Et d'ailleurs c'est gentil à toi de le dire tous les deux messages depuis que tu es sur le forum, et de le répéter sans cesse, ça te rassure et sûrement nous aussi car l'on comprend que l'on est peut-être pas si en "danger" que cela si on active pas le parefeu Ubuntu, et ce grâce à des gens comme toi pour nous le rappeler, on peut dès en faire des certitudes.

Comme il est aussi important de rappeler l'existence tout aussi logique d'autres points de personnes un peu partout sur la toile et qui commencent à dire le contraire. Notamment avec les histoires accumulées et les preuves accumulées dans les dossiers des clés usb de Snowden A ce sujet on en apprend donc un peu plus chaque mois, et ça peut peut-être pousser des particuliers, à mettre en place des solutions de pare-feu réseau, à des endroits où on sait très bien qu'elles ne servent à rien, ils font cela justement par précaution, et je pense que ces gestes pourraient être compris assez logiquement.

Toujours selon les documents de Snowden, on a vu que la NSA avait réussi à mettre des backdoor matérielles ou logicielles (ou les deux), sur tout un tas d'équipement réseau, en allant de la Box internet pour particuliers, jusqu'aux matériels qui sont à la pointe de la technologie des entreprises et des états !!! Les dossiers nous parlent de type de parefeu matériel et logiel de grandes marques comme Cisco et bien d'autres encore qui seraient déjà incriminés et depuis longtemps !!! (lire le lien au dessus).

A tout cela, continuer à dire sur un forum public que nous sommes toujours dans l'ère du temps où Ubuntu peut tourner sans problème sans un pare-feu actif, est peut-être pas une si bonne idée que cela. Si rien n'a encore été prouvé jusqu'ici (et heureusement), tout laisse à penser que la première règle de la sécurité (quelle soit d'ordre informatique, ou d'orde de la sécurité routière (par exemple)), est peut-être ressemblante à ce qui suit :

_Ne jamais occulter un système de sécurité permettant de renfoncer la sécurité d'un procédé, surtout quand ce système est connu, et qu'il est éprouvé (comme le parefeu iptables). Si on fait sauter cette règle, on peut peut-être se mettre en danger par rapport aux nouvelles technologies non dévoilées dans les dossiers Snowden. Le fait de faire sauter des règles est pour moi un problème. Par exemple rouler trop vite sur certaines portions de routes (n'importe laquelle autoroute, rue en ville etc..) va influer directement sur la distance de freinage, si on roule trop vite, ce sera directement notre distance de freinage qui en sera impacté en cas de danger, quelqu'il soit.... On mettra trop de temps pour s'arrêter, soit on mettra de ce fait des gens en danger (piétons etc...), soit on se mettra soi-même en danger...

Bref, pour l'informatique, avec l'arrivée des révélations de Snowden, cela a bouleversé le monde entier, mais vraiment, les experts étaient loin de penser tout ce que les dossiers de Snowden ont prouvé, mais alors là complètement à cent mille lieues de certaines précisions concernant le code source des logiciels d'espionnages à grande échelle par exemple... Donc le particulier, doit être prudent à partir de maintenant, et mettre en route un pare-feu sur Ubuntu ne devrait plus faire partie des choses "inutiles" en 2014.....

Petit clou donc à enfoncer aussi.

Ensuite je vais reprendre les points que tu cites au dessus.

Au point 5° tu nous dit que Forward ne sera jamais utilisé sur une machine ( enfin, selon le cas que tu nous expliques). On sait déjà que si tu veux créer une machine Virtuelle (avec VirtualBox par exemple) alors si tu as mis (par précaution par exemple) la chaîne FORWARD sur DROP (en réglan ton IPTABLES quelques semaines avant), et que tu veuilles surfer avec le système d'exploitation "Windows Seven" que tu auras installé dans ta VirtualBox à l'intérieur de ton Ubuntu), la VirtualBox ne recevra jamais de paquet internet depuis Internet justement car si FORWARD est sur DROP, les paquets déstinés à ton Windows Seven ne passeront jamais. Je préfère éclaircir ce point tout de suite avec toi et les lecteurs, car les gens qui installent des Machines Virtuelles sont de plus en plus nombreux, ils pourraient être génés avant de comprendre qu'en réglant la politique de leur chaîne IPTABLES appelée FORWARD sur DROP pourrait les ennuyer terriblement. Je dis cela car je prends parti toujours d'expliquer comment IPTABLES fonctionne car c'est la question de base de l'auteur de cette discussion ici. Donc pour une Machine Virtuelle par exemple, il faudra mettre la politique de la chaîne FORWARD sur ACCEPT évidemment.

Pour le point 6°, (qui défini dans ce que je disais au dessus quelle est la "bonne" politique à indiquer à IPTABLES pour la chaîne OUTPUT" (et qui est ACCEPT dans les réglages que je donne ma règle numéro 6°), alors là rien à dire, tu as tout dit. Je le reprends en vitesse :

_comme c'est notre ordinateur, et que l'on sait ce que l'on installe comme logiciels dessus (en respectant la règle de ne pas sortir des dépôts officiels pour récupérer paquets et logiciels bien sûr), alors on peut tout laisser sortir, on sait très bien que notre machine n'est pas corrompue, cela facilite aussi certains logiciels "complètement normaux" à utiliser Internet depuis ta machine car c'est toi qui les lances et que tu n'auras pas mis la règle OUTPUT sur DROP. Oui j'entends par là que mettre la politique de la chaîne "OUTPUT" sur "DROP" (mais aussi d'être du coup obligé d'appliquer des règles de "sortie" des logiciels que l'on laisse accéder à Internet sur cette chaîne OUTPUT mise en DROP) est une source d'ennuis pour l'utilisateur, c'est clairement contre-productif sur une machine qui ne serait qu'un PC de bureau qui ne fait pas serveur. Maintenant cela servira sur un serveur oui, que ce soit un serveur d’entreprise ou non. Là il faudra l'utiliser probablement. Mais comme nous partons tous du principe que votre machine n'est pas corrompue car alimentée exclusivement de dépôts officiels, et que c'est votre machine, que en ce moment elle n'est pas dans le cadre de vous avoir été restituée à la suite d'un vol etc.. bref, que la filière "confiance en Cannonical" est intacte, alors vous pouvez sans problème laisser OUTPUT sur ACCEPT, et heureusement !!!

Pour le point 7°. J'ai laissé visible le "-p" sans savoir que c'était le réglage d'office, merci de ton info. Cependant je le laisserai toujours visible dans les prochains messages que je donnerai sur les forums pour deux choses :

_Avant sur IPTABLES il fallait préciser "-t filter" pour les règles à instaurer sur la table "filter", ensuite cela a changé, les concepteurs du logiciel IPTABLES se sont rendus compte qu'ils pouvaient faire en sorte que si "rien n'est précisé", alors ce sera la table "-t filter" qui sera utilisée par défaut ! Et comme les administrateurs d'IPTABLES agissaient quasiment toujours sur la table "-t filter", cela leur à fait des choses en moins à taper dans leurs terminaux, pour faire évoluer IPTABLES à "chaud" (dès qu'ils en avaient besoin...).
Donc je laisserai toujours mes indications "-p" et "-t filter" en place sur les lignes de commandes IPTABLES que je donne aux autres ici et ailleurs aussi pour le point suivant :

_cela montre où doivent être inséré ces spécifications dans une commande IPTABLES, car si on veut mettre une règle sur une autre table qui serait par exemple "-t raw" (pour atteindre la table "raw" dasn ce cas précis), cela montre à quel endroit précisément dans la commande IPTABLES on doit mettre la précision "-t raw" pour atteindre la table "raw" !!! Voilou.

Pour le point 8° tu as raison,il est mis en place ici si on a dans l'idée d'utiliser le paquet "Bind9" (que l'on trouve dans les dépôts Ubuntu), et donc en faisant cela, on précise à IPTABLES de laisser le chemin ouvert pour utiliser Bind9.

Bind9 comme on le sait, permet de résoudre les requêtes DNS directement sur notre machine, comme cela, si on est derrière un VPN (Virtual Privat Network) et que celui-ci laisse fuiter nos requêtes DNS, elles ne seront visibles par personne, car nous les faisont en "interne", sur notre interface "lo" dont l'adresse est 127.0.0.1. Donc voilà à quoi sert cette ligne via IPTABLES. Pour prévoir le passage à Bind9 aux utilisateurs qui auraient compris leurs intérêts à faire leur propre requêtes DNS en interne lorsqu'ils surfent avec leur VPN 😉 cela sera près d'avance pour eux.

----------------------------------------------------------------------

Oups, je m'excuse auprès du Forum_Ubuntu-France, je suis le membre "compotes", j'ai perdu mon mot de passe, pour répondre aujourd'hui j'ai créé un nouveau compte, mais là, j'ai bien noté mon mot de passe, encore mes excuses.

fruitsecrases

Mon message au dessus était incompréhensible, je m'en excuse, je l'ai complètement remanié pour le rendre intéligible, merci de votre compréhension, et de votre relecture si vous le décidez ainsi. Salut.

lynn

fruitsecrases a écrit_Ne jamais occulter un système de sécurité permettant de renfoncer la sécurité d'un procédé, surtout quand ce système est connu, et qu'il est éprouvé (comme le parefeu iptables).

J'aurais tendance à être d'accord avec ce raisonnement mais dans ce cas précis, pour l'utilisateur lambda d'Ubuntu qui ne sait pas forcement ce qu'est un pare-feu et à quoi ça sert, est-ce pertinent de lui parler d'iptables ou autres logiciels de ce type et qu'il pourrait éventuellement les utiliser pour s'assurer une protection supplémentaire..?
Se servir ou essayer de se servir de tels logiciels sans connaissance ne peut-elle pas amener, au contraire de ce à quoi le logiciel est prévu et donc créer une faille potentielle dans la sécurité de son réseau?

La connaissance s'acquiert mais je doute que tous les utilisateurs soient motivés par l'utilisation et la configuration d'un pare-feu... Un système fonctionnel et sécurisé dès le départ fait le bonheur de beaucoup d'utilisateurs qui ont une utilisation classique de leur machine dont je fais partie. 🙂

fruitsecrases

lynn a écrit
fruitsecrases a écrit_Ne jamais occulter un système de sécurité permettant de renfoncer la sécurité d'un procédé, surtout quand ce système est connu, et qu'il est éprouvé (comme le parefeu iptables).
J'aurais tendance à être d'accord avec ce raisonnement mais dans ce cas précis, pour l'utilisateur lambda d'Ubuntu qui ne sait pas forcement ce qu'est un pare-feu et à quoi ça sert, est-ce pertinent de lui parler d'iptables ou autres logiciels de ce type et qu'il pourrait éventuellement les utiliser pour s'assurer une protection supplémentaire..?
Se servir ou essayer de se servir de tels logiciels sans connaissance ne peut-elle pas amener, au contraire de ce à quoi le logiciel est prévu et donc créer une faille potentielle dans la sécurité de son réseau?

La connaissance s'acquiert mais je doute que tous les utilisateurs soient motivés par l'utilisation et la configuration d'un pare-feu... Un système fonctionnel et sécurisé dès le départ fait le bonheur de beaucoup d'utilisateurs qui ont une utilisation classique de leur machine dont je fais partie. 🙂

Hello.

Justement dans ce cas précis (où c'est un utilisateur de Ubuntu et qui utilise IPtables et qui initie lui-même un topic de discussion sur le forum Ubuntu avec dans son titre un questionnement sur IPtables justement), n'étais-je pas précisément dans ce type de cas où je peux m'exprimer auprès de lui précisément sur le logiciel IPtables, car c'est lui même qui me (nous) demande des infos sur le fonctionnement d'IPtables ?

Tu dis aussi :

_"Se servir ou essayer de se servir de tels logiciels sans connaissance ne peut-elle pas amener, au contraire de ce à quoi le logiciel est prévu et donc créer une faille potentielle dans la sécurité de son réseau?"

Mais là je n'ai fait aussi que répondre à un manque sur les connnaissances de l'auteur de ce topic par rapport au logiciel IPtables. Il semble ne pas en maîtriser les bases, et de ce fait je m'inscris là aussi dans une mouvance de transmission de savoir (le mien), vers sa propre demande (son Topic concernant IPTables ) afin de combler ses premières questions et d'en faire petit à petit un utilisateur averti sur le fonctionnement d'IPtables.

Afin justement de le propulser dans le rang des utilisateurs qui savent ce qu'ils font avec leurs logiciels (en l'occurence ici IPtables).

Je ne comprends pas très bien, quels seraient les "bons moments" selon toi, pour aborder ces sujets avec les gens sur les forums ?

Renseigne-moi vite s'il te plaît, merci beaucoup.

pires57

salut,

fruitsecrases : tu insinue qu'il pourrait y avoir une backdoor dans le noyaux linux?
Je vais également répondre à ta question par un lien pointant sur une vidéo d'une personne dont le niveau de compétence n'est plus a présenté:

http://www.youtube.com/watch?v=EkpIddQ8m2s
http://www.youtube.com/watch?v=84Sx0E13gAo#t=1492
Vous m'excuserais mais le liens est en anglais bien évidement... regardez le, écoutez le et surtout comprenez le.

fruitsecrases

Pires57, je te propose de te concentrer sur le sujet du topic, afin de respecter le déroulement de clui-ci et de seulement "participer" à celui-ci en apportant des réponses sur IPtables, afin de fournir de nouvelles infos que découvrira avec joie l'auteur demain !! (cela évitera la polution de celui-ci, si tu veux ouvrir ton topic dans le café Ubuntu pour reposer ta question et donner tes liens Youtube ce sera mieux approprié je pense, et je t'y rejoindrais avec plaisir :-) , ici non). Merci de respecter le sujet stp, ce sera plus simple pour tout le monde, plus respectueux surtout, moins poluant pour le forum, à bientôt 🙂

pires57

Hum tu evitera de me juger sur mes post merci, j'ai repondu a ton affirmation en te donnant ici deux lien qui parle de la sécurité informatique, de la nsa et autre.
Jusqu'à présent tu as 8 message sur le forum, ce n'est donc pas a toi de juger l'utilité de mes post.
Tu crois peut etre que je prends les questions de sécurité à la légère? Je sais très bien configurer un pare feu, j'ai passer des mois et des mois a apprendre à utiliser iptables pour cela, a utiliser des outils de pentesting pour valider mes acquis, ce n'est pas toi qui va mapprendre a configurer un firewall ni a savoirquand il est nécessaire ou pas d'en placer un.
Effectivement certains routeurs notement cisco ont été modifiés pour implanté une backdoor, tuveut que je te racontes la suite aussi? La chine et dautre pays ont immédiatement cesser de travailler avec des produits venant des etats unis.
Mais si tu insinu qu'il y a une backdoor dans le noyau alors je t'invite a telecharger les sources et a me le prouver.
Bonne soirée, j'ai du travail demain.

fruitsecrases

8140david a écritMerci beaucoup pour ta reponse tres detaillee et utile, compotes 🙂

Donc pour revenir au sujet je reste là si tu as la moindre question supplémentaire, et en toute sympathie et simplicité.

@ bientôt l'ami, le savoir est bien mieux quand il est partagé dans la camaraderie même exacerbée !! à +...

« Page précédente Page suivante »