Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Réglage du parefeu

provaire

Bonjour, suite a une tuile sur Facedebook (post sur forum café) je voudrais régler au mieux mon pare feu pour éviter de mauvaises surprises.
J'ai vérifié les ports avec la commande :netstat -ltanu

Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:10026         0.0.0.0:*               LISTEN     
tcp        0      0 192.168.1.126:60000     216.58.201.238:80       ESTABLISHED
tcp        0      0 192.168.1.126:34170     31.13.75.36:443         ESTABLISHED
tcp        0      0 192.168.1.126:44516     93.184.220.29:80        ESTABLISHED
tcp        0      0 192.168.1.126:40732     86.65.39.13:443         ESTABLISHED
tcp        0      0 192.168.1.126:40722     86.65.39.13:443         ESTABLISHED
tcp        0      0 192.168.1.126:35916     178.20.55.235:443       ESTABLISHED
tcp        0      0 192.168.1.126:58330     216.58.213.131:443      ESTABLISHED
tcp        0      0 192.168.1.126:40730     86.65.39.13:443         ESTABLISHED
tcp        0      0 192.168.1.126:40728     86.65.39.13:443         ESTABLISHED
tcp        0      0 192.168.1.126:38374     31.13.75.12:443         ESTABLISHED
tcp        0      0 192.168.1.126:40726     86.65.39.13:443         ESTABLISHED
tcp        0      0 192.168.1.126:41328     172.217.19.238:443      ESTABLISHED
tcp        0      0 192.168.1.126:54098     31.13.75.8:443          ESTABLISHED
tcp        0      0 192.168.1.126:42836     74.125.206.104:443      ESTABLISHED
tcp        0      0 192.168.1.126:43082     216.58.201.234:443      ESTABLISHED
tcp        0      0 192.168.1.126:40724     86.65.39.13:443         ESTABLISHED
tcp        0      0 192.168.1.126:41226     216.58.213.163:443      ESTABLISHED
tcp        0      0 192.168.1.126:38364     31.13.75.12:443         ESTABLISHED
tcp6       0      0 ::1:631                 :::*                    LISTEN     
tcp6       0      0 :::80                   :::*                    LISTEN     
udp        0      0 0.0.0.0:53753           0.0.0.0:*                          
udp    47616      0 0.0.0.0:5353            0.0.0.0:*                          
udp    15808      0 0.0.0.0:38517           0.0.0.0:*                          
udp     6144      0 127.0.0.53:53           0.0.0.0:*                          
udp        0      0 0.0.0.0:68              0.0.0.0:*                          
udp        0      0 0.0.0.0:631             0.0.0.0:*                          
udp6   17664      0 :::5353                 :::*                               
udp6       0      0 :::47524                :::*

Puis j'ai fais la commande: sudo netstat -tlnpu

 Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name    
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      1057/systemd-resolv 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1158/cupsd          
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2465/mysqld         
tcp        0      0 127.0.0.1:10026         0.0.0.0:*               LISTEN      2289/clamsmtpd      
tcp6       0      0 ::1:631                 :::*                    LISTEN      1158/cupsd          
tcp6       0      0 :::80                   :::*                    LISTEN      2422/apache2        
udp        0      0 0.0.0.0:53753           0.0.0.0:*                           1173/avahi-daemon:  
udp    47616      0 0.0.0.0:5353            0.0.0.0:*                           1173/avahi-daemon:  
udp    20800      0 0.0.0.0:38517           0.0.0.0:*                           2345/miredo         
udp     9216      0 127.0.0.53:53           0.0.0.0:*                           1057/systemd-resolv 
udp        0      0 0.0.0.0:68              0.0.0.0:*                           2118/dhclient       
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1381/cups-browsed   
udp6   17664      0 :::5353                 :::*                                1173/avahi-daemon:  
udp6       0      0 :::47524                :::*                                1173/avahi-daemon:

Quel ports serait il préférable de fermer pour assuré une meilleure sécurité SVP (je sais que le mieux est de ne pas ce connecter mais internet s'est pas mal)

bruno

Bonjour,

Aucun, tu est derrière un routeur sur un réseau privé. Le pare-feu est inutile.

provaire

Bonjour, je suis effectivement derrière un routeur mais ce n'est pas infaillible (ver....) donc pour mon boulot je suis obligé d’empêcher une intrusion du réseau interne sur mon DD Ubuntu.
Merci pour ta réponse

bruno

Et tu en as déjà eu beaucoup d'intrusions ? 😉
Il ne faut pas non plus être parano. Une box/routeur correctement configuré, un poste sous Ubuntu régulièrement mis à jour sans dépôts exotiques et sans services inutiles, et le risque d'intrusion est nul.

provaire

sous Ubuntu aucune il me semble, sous les pc de ado (Win 10 pour les jeux et certainement plus) ils ont eu quelques soucis ainsi qu'une prise de contrôle. J'ai reset la box modifier la clé démarrage en mode sans echec et nettoyage. Je n'ai donc plus de soucis mais j'avais tout de même un doute pour mon Ubuntu. :rolleyes:

jlmas

Beaucoup de tes services écoutent sur toutes les interfaces par défaut. Ce n'est pas utile surtout si ton ordinateur n'offre pas de services aux autres ordinateur de ton sous réseau

Avant de bloquer des choses via le pare-feu, tu peux par défaut faire écouter myslq, clamsmtpd, et probablement cupsd sur localhost. C'est modifiable dans les fichiers de configuration de ces services

Par ailleurs, si ton serveur web n'est accessible que pour ta machine, tu peux filtrer via le pare-feu les ports 80 et 443 en entrée (INPUT selon iptables)

Un détail: Tous les systèmes d'exploitation modernes sont en double pile IP par défaut, c'est à dire IPv4 et IPv6. Ce qui signifie que si tu désire te protéger des machines de ton sous-réseau interne, tu dois aussi mettre des règles de filtrage sur ton pare-feu en IPV6 (les mêmes qu'en IPv4)

provaire

Merci pour vos réponses.
J'ai mis en place les de Jlmas et pour l'instant pas de bug ou blocage .