Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'iptables

Nathaly01

Bonjour,

J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ??

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

Merci de votre aide !!

Haleth

Tu es parfaitement protégé par défaut.

Nathaly01

En laissant par défaut,si je fais la commande

sudo iptables-save > /home/xxx/Bureau/maconfig.iptables

le fichier est totalement vide alors je m'intérroge pour savoir si on est vraiment protégé par défaut ....

tiramiseb

Salut,

De quoi veux-tu te protéger, avec un pare-feu ? Par défaut, aucun port n'est ouvert sauf ce qui est nécessaire... Donc il n'y a rien à bloquer.

Haleth

Bawi, c'est bluffant, tu es protégé par défaut 🙂

tiramiseb

Nathaly01: pour la sécurité de ton ordinateur, il y a d'autres choses bien plus utiles qu'un pare-feu...

Bigorno33

Nathaly01 a écritBonjour,

J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ??

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

Merci de votre aide !!

Hello ! C'est pas mal pour un début, mais tu peux les améliorer très simplement, et du coup rendre Iptables beaucoup plus efficace, si ça t'intéresse la communauté est là, et moi aussi ;-)

tiramiseb

Bigorno33: quel intérêt, à ton avis, de faire ce genre de filtrage sur une installation de base d'Ubuntu ?

pires57

A quoi sa sert de rajouter une muraille autour d'une porte hermetiquement close a part gaspiller des ressources inutilement ?

Nathaly01

Bigorno33 a écrit

Nathaly01 a écritBonjour,

J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ??

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

Merci de votre aide !!

Hello ! C'est pas mal pour un début, mais tu peux les améliorer très simplement, et du coup rendre Iptables beaucoup plus efficace, si ça t'intéresse la communauté est là, et moi aussi ;-)

lol, j'ai l'impression que la communauté se limite à toi pour mon sujet !!!
Mais comme je suis intéressée par apprendre, je serai pas contre quelques conseils pour l'améliorer ...

tiramiseb

lol, j'ai l'impression que la communauté se limite à toi pour mon sujet !!!

D'un côté il y a trois professionnels, bénévoles très actifs du forum avec plusieurs milliers de messages chacun, qui te disent qu'un pare-feu n'est pas nécessaire par défaut sur Ubuntu. Dont l'un (moi) qui te dit qu'il y a bien d'autres choses à faire pour sécuriser ta machine.

D'un autre côté, il y a un gars inscrit il y a 1 mois, ayant posté 12 messages, qui te dit que "c'est bien".

Et toi ta réaction, plutôt que de demander « pourquoi un pare-feu est inutile ? que faire pour vraiment sécuriser ma machine ? », tu t'adresses à ce quatrième gars en lui demandant des conseils...

Étrange...

Bigorno33

Nathaly01 a écrit
lol, j'ai l'impression que la communauté se limite à toi pour mon sujet !!!
Mais comme je suis intéressée par apprendre, je serai pas contre quelques conseils pour l'améliorer ...

Hello,

[modéré : merci de ne pas polluer les sujets techniques avec des attaques ad hominem contre les autres contributeurs]

Donc oui, pour déjà améliorer tes règles actuelles, sans les changer, juste les améliorer, tu peux te référer au changement que je te propose via ce qui suit :

_Ici j'ai commencé par changer les options "-m state --state" par "-m conntrack --ctstate". En faisant donc ainsi, (j'ai)tu améliores grandement le suivi de connexions via ton pare-feu Iptables (donc tout ce qui transite par Internet, comme ton surf quotidien, tes logiciels utilisant Internet, etc...), car tu ne fais donc plus appel au module (à la correspondance) "state" mais tu fais appel au nouveau module "conntrack", qui est un module grandement amélioré et donc conçu pour les traçages de connexions, (qui transitent par ton interface "eth1" donc tout ton surf et les logiciels qui utilisent Internet comme dit au dessus), transformant ainsi ton pare-feu Iptables en véritable pare-feu à états (ou pare-feu SPI (Statefull Packet Inspection)), et donc en faisant évoluer très simplement tes règles actuelles, tu te retrouves avec un excelelnt parefeu SPI pour...

... pas un rond...

Tes règles à améliorer donneraient donc ceci :

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

On peut ensuite, si tu es toujours intéressée, augmenter encore le flicage avec Iptables, pour affiner ta sécurité, pour mieux filtrer les packets tout simplement. Mais tu peux très bien t'arrêter là si tu veux, personne ne force personne, tu n'es même pas "obligée" d'appliquer ce que je te transmets, un pare-feu c'est personnel, donc...

Pour voir la différence entre les modules "state" et "conntrack", tu peux déjà te rendre sur ce lien, en scrollant la page tu vas d'abord tomber sur le module "conntrack", puis ensuite plus bas sur la page, sur le module "state", voilou, ce que je te transmets est donc vérifiable par tes soins bien sûr... tcho

tiramiseb

Je répète ma question...
Bigorno33: quel intérêt, à ton avis, de faire ce genre de filtrage sur une installation de base d'Ubuntu ?

[modéré]
Il s'agit de partager ses connaissances et expliquer en quoi un pare-feu n'est pas nécessaire dans la plupart des cas.

Évitons de donner un semblant d'impression de sécurité aux néophytes, apprenons-leur à réellement sécuriser leurs machines !

pires57

[modéré]
Pas du tout mais explique nous donc l'intérêt d'un pare feu sur une machine dont rien n est ouverts?

Bigorno33

[modéré : merci de ne pas pourrir les sujets de support avec des considérations qui n’ont rien à voir]

pires57

[modéré : merci de ne pas surenchérir, en cas de problème il est possible de signaler à la modération]

tiramiseb

Nathaly01, attention, un pare-feu seul est loin d'apporter une sécurité suffisante, il est d'ailleurs inutile sur un système de base et on peut t'expliquer pourquoi sans aucun problème.
Quoi qu'en dise Bigorno33, avec son attitude particulièrement regrettable, notre but n'est pas de te faire culpabiliser, bien au contraire.
Après, tu fais ce que tu veux, hein, c'est ton ordinateur. Mais je trouve cela dommage que ce soit toi qui pâtisses de l'attitude d'un autre.
Si tu as besoin d'informations pour sécuriser ta machine, n'hésite pas à demander, on peut te guider.

Bigorno33: tu refuses de répondre à nos questions, c'est dommage. De notre côté on peut tout à fait expliquer en quoi un tel pare-feu n'est pas utile sur une configuration standard d'Ubuntu.

Haleth

[modéré : idem]

Bigorno33

[modéré. À tous : les règlements de compte entre membres n’ont rien à faire dans un topic de support. Il est tout à fait possible de défendre deux positions différentes en restant sur des argumentations techniques.]

Shanx

Salut,
je suis moi aussi intéressé par la question. J’ai souvent (très souvent même) lu qu’un pare-feu était inutile sous Linux pour une station personnelle. Je viens de vérifier sur ma machine, les deux seuls ports ouverts concernent des activités tout à fait licites (IRC et DHCP), et je ne vois pas pourquoi il en serait autrement. Quelles sont les (bonnes) raisons qui peuvent pousser à utiliser iptable (à part un excès de zèle inutile et contreproductif) ?

Surtout que son fonctionnement est tout sauf évident. Si c’était vraiment nécessaire, pourquoi les équipes d’Ubuntu n’auraient pas intégré par défaut un pare-feu plus user-friendly ?

Page suivante »