question sur UFW

VViKToR69 · 8 sept. 2015

Bonjour,

J'ai lu ce document portant sur UFW. Au paragraphe 2.3 Gestion des règles par défaut, on peut lire: "Lorsque UFW est activé, par défaut le trafic entrant est refusé et le trafic sortant est autorisé"

Donc, je m'interroge sur cette commande:

sudo ufw default deny

qui signifie, toujours d'après le paragraphe 2.3, "Refuser le trafic entrant suivant les règles par défaut" ... donc, on refuse ce qui est déjà refusé ??

S'il y a une subtilité quelconque, j'aimerai la comprendre ?

Merci

αjet · 8 sept. 2015

Peut être que je me trompe mais il me semble que tu ne peux utiliser.

sudo ufw default deny

Tu dois préciser si tu veux bloquer les connections entrantes ou sortantes avec respectivement

sudo ufw default deny incoming

sudo ufw default deny outgoing

Si tu rentres la première commande, c'est en effet redondant avec la configuration par défaut, en revanche la deuxième sera beaucoup plus restrictive car il te faudra ouvrir les connections sortantes au cas par cas...

[supprimé] · 9 sept. 2015

ViKToR69 a écritBonjour,

J'ai lu ce document portant sur UFW. Au paragraphe 2.3 Gestion des règles par défaut, on peut lire: "Lorsque UFW est activé, par défaut le trafic entrant est refusé et le trafic sortant est autorisé"

Donc, je m'interroge sur cette commande:
sudo ufw default deny
qui signifie, toujours d'après le paragraphe 2.3, "Refuser le trafic entrant suivant les règles par défaut" ... donc, on refuse ce qui est déjà refusé ??

S'il y a une subtilité quelconque, j'aimerai la comprendre ?

Merci

Bonjour,

A l'installation, ou à chaque fois que tu souhaites connaître le status d'UFW, la commande suivante te renseignera :

$ sudo ufw status verbose

Si tu préfères une utilisation graphique,tu as gufw qui est bien pratique

Dès son installation (ou la commande ci-dessus), on voit que tout l'entrant est bloqué par défaut, le sortant étant autorisé).

VViKToR69 · 9 sept. 2015

Apparemment cette commande

sudo ufw default deny

fonctionne car j'ai eu un retour précisant que la config avait changé pour deny !

Mais la demande verbeuse ne précise pas ce changement:

vince@work:~$ sudo ufw status verbose
[sudo] password for vince: 
État : actif
Journalisation : on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
Nouveaux profils : skip

Je n'ai pas trouvé de commande permettant de connaitre l'état par défaut ?

Rrobindesbois · 10 sept. 2015

Salut, Gufw (ufw) agissent sur le parefeu Netfilter, via la table de Commandes Iptables.

Tu peux donc demander directement à lister les chaînes d'Iptables, (ça équivaut si tu veux...).

Lister toutes les chaînes (dans un temrinal root) :

# iptables -t filter -L

Lister toutes les chaînes mais sans la résolutions des noms de domaines (c'est plus rapide à afficher dans un terminal ROOT) :

# iptables -t filter -L -vn

Tu peux aussi taper ces deux lignes de commandes du dessus sans mettre ceci ---> -t filter (car Iptables utilise la table (-t) "filter" par défaut quand aucune table n'est précisée...), ce qui donnerait :

# iptables -L

Ou pour la deuxième :

# iptables -L -vn

Si tes règles ufw ou Iptables deviennent compliquées un jour, tu peux demander à Iptables d'afficher un numéro de ligne devant chaque règle (et pour les deux commandes du dessus (sans résolution de nom de domaine), ça donnerait :

# iptables -L --line-numbers -vn

Ou la seconde, donc... :

# iptables -L --line-numbers -vn

Voili, voilou... (tu auras remarqué que dans les deux dernières lignes de commande du dessus je n'ai pas précisé la table filter par -t filter, vu qu'elle est prise par défaut par Iptables quand aucune n'est demandée....petit rappel lol !) Tu regardes ce qu'il y a entre parenthèses sur chaque ligne Iptables (de tes résultats obtenus) qui contiennent le mot POLICY, et tu regardes si c'est écrit (ACCEPT ou DROP ou FORWARD, REJECT et autres...) et tu sauras qu'elles sont les POLICY (ou dit autrement : "Politiques", "Réactions par défaut", "Paramétrages" par défaut donc de chaque chaîne (les chaînes par défaut de la table -t filter, quand tu n'en as pas créé d'autres s'appellent : INPUT, FORWARD, OUTPUT) de ta table -t filter d'Iptables....

C'est compliqué comme truc, si tu veux des éclaircissements demande, aucun soucis, si je sais répondre je le ferai, mais c'est vaste Iptables hein... Et ça peut vite devenir un enfer, d'ailleurs t'y es peut-être déjà lol

edit : dans les lignes de commandes du dessus, le -v donne le nombre de paquets et de bytes qui ont transités (dans des colonnes en début de chaque ligne de chaque chaîne lol) , et le -n donc permet de ne pas résoudre les noms de domaines, et on peut donc les écrire ensemble, on gagne du "temps", ça donne comme au dessus -vn directement, on peut en mettre d'autres en plus...

Rrobindesbois · 12 sept. 2015

J'ai édité mon message au dessus pour éclaircir un peu, à plus, j'espère que ça t'a servi un peu ??

VViKToR69 · 12 sept. 2015

Salut,

Merci pour ces explications ! Pour l'instant, je ne configure pas Netfilter avec Iptables ... je pense qu'il faut vraiment s'y connaitre pour utiliser Iptables ! Je pense dans un premier temps utiliser GUFW, histoire de me faire la main ! Mais bon, finalement, je ne sais pas si c'est bien utile de me casser la tête vu que je n'ai seulement qu'un PC connecté au net !

Rrobindesbois · 12 sept. 2015

De rien ! Bah , pour Gufw c'est largement suffisant, ici j'ai voulu pousser les connaissances avec iptables parce que je suis un têtu et que j'avais le temps, et que les gens ici et sur le forum Debian ont bien voulu m'aider (dont le membre Wholes, ici) qui m'a donné les règles que je cherchais à faire à la fin, et depuis je n'ai plus mis les mains dedans parce qu'une fois que tu as tes règles de faîtes c'est bon, plus besoin de s'occuper de quoique ce soit. Mais si je n'avais pas complexifié mes habitudes réseaux, je n'aurai jamais bougé de Gufw et de ma règle principale, à savoir :

J'ouvre Gufw, je mets "Entrant" sur "Deny" ,je referme, et je touche plus à rien, j'ai laissé ça comme ça des années lol, et ça se passe toujours, très bien comme ça en fait (sauf pour ce que je fais maintenant tu l'auras compris), à plus

VViKToR69 · 12 sept. 2015

robindesbois a écritJ'ouvre Gufw, je mets "Entrant" sur "Deny" ,je referme, et je touche plus à rien

ok, donc tu as utilisé la commande :

sudo ufw default deny

J'ai utilisé tes commandes Iptables du dessus mais j'ai pas trouvé le résultat de ufw default deny ...

Rrobindesbois · 12 sept. 2015

Non je n'ai pas utilisé la commande que tu donnes, j'ai utilisé le paquet appelé "gufw" tout simplement, (Gufw c'est l'interface graphique justement, du pare-feu "ufw"), regarde ici : l'image à droite en haut http://doc.ubuntu-fr.org/gufw

Comme tu vois sur l'image de la page de doc, sur "Entrant" c'est paramétré sur "Deny" et sur "Sortant" c'est sur "Allow" (mais dans la fenêtre de Gufw sur cette page, eux en plus, ont des règles en rouge en dessous, ici je n'en avais pas pendant longtemps, ça suffit pour faire les choses habituelles avec le net (surf etc...).

Tu mets donc "Entrant" sur "Deny" si tu le souhaites, tu laisses "Sortant" sur "Allow" si c'est ce que tu veux, et tu n'as juste qu'à refermer la fenêtre, éventuellement tu fais dans un terminal ROOT un :.

sudo ufw reload

Et c'est bon. Mais normalement y'a pas besoin si tu utilises la fenêtre en photo du paquet Gufw, en tout cas j'en ai jamais eu besoin sur aucun PC, c'était effectif de suite, le côté pratique de Gufw...

Quand tu dis que tu n'as pas trouvé la ligne, il faudrait que tu nous retournes ce que te donnes le terminal (en tant que ROOT) avec la commande suivante, là on pourra te confirmer que la ligne n'y est pas (ou je pourrai si personne passe, mais j'ai le temps en ce moment...) :

iptables -L

VViKToR69 · 13 sept. 2015

Voici le résultat :

vince@work:~$ sudo iptables -L
[sudo] password for vince: 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw-before-logging-input  all  --  anywhere             anywhere            
ufw-before-input  all  --  anywhere             anywhere            
ufw-after-input  all  --  anywhere             anywhere            
ufw-after-logging-input  all  --  anywhere             anywhere            
ufw-reject-input  all  --  anywhere             anywhere            
ufw-track-input  all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw-before-logging-forward  all  --  anywhere             anywhere            
ufw-before-forward  all  --  anywhere             anywhere            
ufw-after-forward  all  --  anywhere             anywhere            
ufw-after-logging-forward  all  --  anywhere             anywhere            
ufw-reject-forward  all  --  anywhere             anywhere            
ufw-track-forward  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-output  all  --  anywhere             anywhere            
ufw-before-output  all  --  anywhere             anywhere            
ufw-after-output  all  --  anywhere             anywhere            
ufw-after-logging-output  all  --  anywhere             anywhere            
ufw-reject-output  all  --  anywhere             anywhere            
ufw-track-output  all  --  anywhere             anywhere            

Chain ufw-after-forward (1 references)
target     prot opt source               destination         

Chain ufw-after-input (1 references)
target     prot opt source               destination         
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-ns
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-dgm
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootps
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootpc
ufw-skip-to-policy-input  all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-after-output (1 references)
target     prot opt source               destination         

Chain ufw-before-forward (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp source-quench
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ufw-user-forward  all  --  anywhere             anywhere            

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp source-quench
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             224.0.0.251          udp dpt:mdns
ACCEPT     udp  --  anywhere             239.255.255.250      udp dpt:1900
ufw-user-input  all  --  anywhere             anywhere            

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-user-output  all  --  anywhere             anywhere            

Chain ufw-logging-allow (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type MULTICAST
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
DROP       all  --  anywhere             anywhere            

Chain ufw-reject-forward (1 references)
target     prot opt source               destination         

Chain ufw-reject-input (1 references)
target     prot opt source               destination         

Chain ufw-reject-output (1 references)
target     prot opt source               destination         

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-track-forward (1 references)
target     prot opt source               destination         

Chain ufw-track-input (1 references)
target     prot opt source               destination         

Chain ufw-track-output (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             ctstate NEW

Chain ufw-user-forward (1 references)
target     prot opt source               destination         

Chain ufw-user-input (1 references)
target     prot opt source               destination         

Chain ufw-user-limit (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination         

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination         

Chain ufw-user-logging-output (0 references)
target     prot opt source               destination         

Chain ufw-user-output (1 references)
target     prot opt source               destination

Rrobindesbois · 14 sept. 2015

Salut !

Oui c'est bon, ta ligne "Chain INPUT (policy DROP)" est bien en «policy DROP» pour moi tout est bon

VViKToR69 · 14 sept. 2015

Salut,

ok, j'ai bien repèré la ligne ! mais en fait, je m'attendais à avoir deny plutot que drop ! Je comprends un peu mieux maintenant !

Rrobindesbois · 15 sept. 2015

Salut ! Ah non mais c'est moi qui ai du mal aussi fiiiuuuuu !!! J'suis grave ! Je t'avais mis aussi DENY comme règle possible des POLICY (en plus DROP, ACCEPT, REJECT .FORWARD etc...) dans mon exemple au message n°: #5 au dessus, et ça a du te mettre dans l'erreur vu que j'y étais un peu, je m'en excuse, j'ai édité mon message #5 pour l'y enlever

Bon, ben j'espère que tout va et fonctionne bien maintenant, à plus ViKtoR (Nettoyeur hé hé

) Chalu !!

PS : j'ai dans l'idée que pour faciliter la compréhension des mots DROP et DENY, ils ont préférés mettre le mot Deny dans l'interface graphique de Gyfw, qui est peut-être plus facilement traductible, compréhensible, que DROP pour les gens du monde entier, mais ça ne reste qu'une "idée"... @ plus !!!

VViKToR69 · 15 sept. 2015

Salut robin de la forêt de Sherwood,

robindesbois a écritBon, ben j'espère que tout va et fonctionne bien maintenant,

oui c'est ok !

robindesbois a écrità plus ViKtoR (Nettoyeur hé hé )

ah non ! c'est pas ce Viktor là !! C'est celui d'Underworld ...

Rrobindesbois · 17 sept. 2015

René Château est de la famille aussi alors du coup ou pas ?

Rrobindesbois · 17 sept. 2015

marcodel a écritre
je sens que ca va finir dans l'ephemere
a+

Ah là oui les probabilités sont de 1 contre 7 293 282... Mais faut être indulgent, entre parler et penser à ufw et Gufw et ce vers quoi on a dévié, ffffff, va falloir de sacrées règles Iptables pour faire dévier ce qui a de plus ancré dans la tête des garçons depuis qu'ils ont vu leur première petite amie sans grand chose sur le "haut"

Enfin je pense pas que soit à gros coup de renfort de DROP et de REJECT ou de FORWARD que ça va régler quelque chose. Mais oui, l’éphémère devrait régler la situation, de toutes façons, on y aura toujours accès, on changera jamais d'avis sur les bienfaits comparés d'un pare-feu, et d'un pare-choc.... généreux, envoûtant, puissant et bidonnant (ce dernier ce sera à l'âge de la retraite !)

Bon,j'DROP, bonne soirée les mecs... (charmante déviation cela-dit, j'aimerai en voir plus souvent...).

Rrobindesbois · 18 sept. 2015

VikToR,

je voulais te communiquer ce lien vers un mode d'emploi "pour débutant" du logiciel Iptables (si toutefois tu souhaites en savoir plus sur la commande Iptables qui donne les ordres au pare-feu Linux), il est ici : http://irp.nain-t.net/doku.php/130netfilter:060_iptables

@ plus :-)))))))

VViKToR69 · 18 sept. 2015

Merci robindesbois, je suis toujours preneur de sites intéressants !

Je vois qu'il y a eu de la modération ! Mince ! j'ai pas pu suivre la conversation !!

Rrobindesbois · 18 sept. 2015

Ok, alors une fois le premier assimilé, tu auras le principal, mais franchement je ne te le donne pas maintenant, il est un peu plus chaud à appréhender, mais le premier compris, ça ira déjà beaucoup plus facilement, @ plus ViKtor !

PS : Le grand soir c'est,demain....