Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Problème de configuration pare-feu

bruno

Merci de rester dans le sujet.

Pour le WIFI WPA2 est réputé sûr jusqu'à présent. Donc un bon mot de passe que l'on ne communique pas à n'importe qui et on est tranquille.

L'inutilité du pare-feu, des anti-virus sur une distribution GNU/Linux et autres a déjà été largement débattue et démontrée sur ce forum et ailleurs.
Le lien donné par nam1962 en #7 explique cela très bien.

La sécurité sous Ubuntu cela se résume à
- faire régulièrement les mises à jour ;
- n’installer que des logiciels issus des dépôts officiels ;
- avoir des mots de passe solides ;
- utiliser les protocoles sécurisés partout où c'est possible : HTTPS pour le WEB, SSL/TLS pour le courrier (voir dans la configuration des comptes de Thunderbird)

[supprimé]

Au niveau Wifi, les box modernes permettent de créer un réseau invité isolé du réseau local principal. Quand on se prétend expert du wifi, on connait ces fonctionnalités c'est un minimum.

Skyroots

bruno a écritMerci de rester dans le sujet.

Pour le WIFI WPA2 est réputé sûr jusqu'à présent. Donc un bon mot de passe que l'on ne communique pas à n'importe qui et on est tranquille.

L'inutilité du pare-feu, des anti-virus sur une distribution GNU/Linux et autres a déjà été largement débattue et démontrée sur ce forum et ailleurs.
Le lien donné par nam1962 en #7 explique cela très bien.

La sécurité sous Ubuntu cela se résume à
- faire régulièrement les mises à jour ;
- n’installer que des logiciels issus des dépôts officiels ;
- avoir des mots de passe solides ;
- utiliser les protocoles sécurisés partout où c'est possible : HTTPS pour le WEB, SSL/TLS pour le courrier (voir dans la configuration des comptes de Thunderbird)

Merci bruno pour cette réponse. Pour thunderbird, je suis allé modifier dans les paramètres la connexion via "STARTTLS" par "SSL/TLS", en espérant que c'est la bonne manipe à faire.
Pour le web, comment configurer une connexion en https par défaut mis à part vérifier que l'adresse du site commence bien par https ?

@nam1962: le problème est qu'il y a des réponses contradictoires ou pas claires ou en marge. Ma question initiale n'était pas de l'utilité ou inutilité du pare-feu (c'est un autre sujet qui est intéressant), mais de comment bien configurer le pare-feu. Si vraiment le pare-feu ne sert à rien pour un usage perso, pourquoi vous ne modifiez par la page d'information destinée au grand public ? https://doc.ubuntu-fr.org/pare-feu J'ai juste repris la discussion, je ne l'ai pas ouverte donc je crois que je ne peux pas modifier le titre en résolu? et ce n'est pas vraiment résolu si ce n'est de supprimer le pare-feu ;-)

@patked: merci pour ta réponse. Apparemment il y a débat, mais de toute manière, ça ne coûte rien d'avoir un pare-feu, au pire c'est inutile (pas grave), au mieux ça protège (tant mieux). Du coup je veux bien que tu me passes ta config ou alors si quelqu'un peut me dire quelle modification je dois faire sur mon script pour avoir un bon pare-feu, bien qu'inutile.

Merci à tous.

nam1962

La doc est collaborative et pas forcément toujours parfaite.
Collaboratif veut dire que tout le monde peut participer ou financer si il n'a pas les compétences pour participer, donc le "vous" qui impliquerait que tu sois face à une "help desk" n'a pas de raisons d'être : tu fais partie de la communauté, dès lors que tu utilises l'OS.

patked a raconté n'importe quoi et ne sera pas bien capable de répondre aux remarques de rogn...

Les firewall sont utiles pour les serveurs (vocation première d'Ubuntu) et totalement inutiles pour les ordis de particuliers.

Tu peux mettre [résolu] puisque tu es le premier sur ce fil, qui est plus que largement résolu, le continuer serait juste une trollade.

Maintenant, si tu veux perdre du temps machine, tu peux toujours activer UFW :

sudo apt install gufw
sudo ufw enable
sudo systemctl enable ufw

Totalement inutile, mais si ça peut rassurer l'hypocondrie rappelée par jean-luc5629 :rolleyes:

bruno

La doc est assez claire sur ce sujet même si elle conseille d'en installer un. Les pare-feu sont utiles dans le contexte de protection d'un réseau où il y a une nécessite de filtrage des paquets dans un sens ou dans l'autre. La plupart du temps c'est inutile sur une machine isolée (serveur ou pas d'ailleurs 😉)

Personnellement je ne la modifierai pas car la soit disant nécessité d'avoir un pare-feu (qui vient essentiellement du monde Windows et d'une compréhension très vague des réseaux, des services et des ports) est tellement ancrée dans les esprits qu'elle sera très certainement changée assez rapidement.

Pour les sites web, la plupart sont à l'heure actuelle en HTTPS et les navigateurs t'avertissent dès que tu essaie de remplir un formulaire en ligne sur une page qui n'est pas en HTTPS.

ça ne coûte rien d'avoir un pare-feu, au pire c'est inutile (pas grave), au mieux ça protège (tant mieux).

Ça coûte très peu de ressources système, mais un peu de temps en maintenance et configuration. Au pire c'est inutile et ça te bloque parce que c'est mal configuré, au mieux cela donne un faux sentiment de sécurité.

Skyroots

Ok ça marche je vous remercie à tous pour vos efforts de réponse. La méthode de sécurisation via un pare-feu est donc vraiment obsolète. Mais je persiste à dire que, si vraiment c'est inutile, et que cet avis est partagé non pas par tous les experts mais reflète l'avis d'une grande majorité des experts sécurité, alors faut quand même que ça apparaisse clairement dans cette page https://doc.ubuntu-fr.org/pare-feu
Personnellement je n'ai aucune légitimité pour la modifier mais par contre cette page est très trompeuse pour les personnes qui ne s'y connaissent pas.

PS - dans la configuration Thunderbird, avec "STARTTLS", les envois d'emails fonctionnent, avec "SSL/TLS", ça ne fonctionne pas...
account settings -> outgoing server (SMTP) -> smtp-mail.outlook.com -> edit SMTP server -> connection security -> STARTTLS = fonctionne
account settings -> outgoing server (SMTP) -> smtp-mail.outlook.com -> edit SMTP server -> connection security -> SSL/TLS = ne fonctionne pas

nam1962

C'est un autre moyen de sécuriser (éviter le "man in the middle") --> https://www.alsacreations.com/tuto/lire/1770-Activez-starttls-pour-securiser-votre-serveur-e-mail.html

Skyroots

Ok merci, donc j'en conclu que c'est aussi bien ;-)

patked

Bonjour

Content que nam et rogn se soient bien défoulés, j'espère que ça vous a fait du bien 😃
C'est moins cool pour la convivialité du forum, mais il n'y a pas de pare feu pour ça.
Donc les milliers d'articles qu'on trouve sur le net pour l'utilité des pare feu (hors ce forum) sont obsolètes, et aucun linux n'est hacké dans le monde (un post page 1).
il faut donc écrire ça en intro de la doc ubuntu pare feu et prévenir les fournisseurs de box, firewall, mais je vous laisse le soin les gars

nam1962

rogn... a écrit
patked a écritDe la même manière si qq crack ma clé wifi (facile), il ne va pas pouvoir aussi facilement qu'il pourrait le croire, rentrer sur les pc, accéder aux partages.
Tu fais comment pour crack la clé wifi si c'est si facile ? Je suis impatient de le savoir...

(...)

Mais non, mais non patked... On est tout à fait ouverts à apprendre des choses.

Commence à nous informer en nous expliquant comment tu craques une clef wifi WPA2-AES avec un mot de passe à 19 caractères (ce que j'ai chez moi).

Nous sommes à ton écoute avec impatience et curiosité !

[supprimé]

patked a écritContent que nam et rogn se soient bien défoulés, j'espère que ça vous a fait du bien 😃

À ton service 😃
Puis

bibi a écritAu niveau Wifi, les box modernes permettent de créer un réseau invité isolé du réseau local principal. Quand on se prétend expert du wifi, on connait ces fonctionnalités c'est un minimum.

https://forum.ubuntu-fr.org/viewtopic.php?pid=22043878#p22043878

patked a écritDonc les milliers d'articles qu'on trouve sur le net pour l'utilité des pare feu (hors ce forum) sont obsolètes, et aucun linux n'est hacké dans le monde (un post page 1).

Un linux mal configuré pour la situation dans laquelle il est mis sera peut-être hacké, ça te va ? 10 ans de Linux, aucun pare-feu, j'attends toujours un hacker venir toquer chez moi :lol: .

bruno

Le sujet est résolu.
Si vous voulez discuter de la pertinence de l'usage du pare-feu je vous invite à ouvrir un nouveau fil de discussion en prenant soin de n'utiliser que des arguments techniques.
Les « milliers de pages qui disent que… » ou « je ne me suis jamais fait hacké » ne sont pas des arguments techniques mais des arguments fallacieux (ou sophismes). Dans le premier il s'agit d'« argumentum ad populum » dans le second d'une généralisation abusive.

Skyroots

Alors là c'est le comble... :rolleyes: Je viens de supprimer le script, vidé la corbeille, et maintenant thunderbird ne marche pas.
Avant, lorsque je laissais le script, puis que je le stoppais

sudo sh firewall stop

, thunderbird fonctionnait bien.

Voici le message que j'ai maintenant le script supprimé "Could not connect to mail server smtp-outlook.com. Connection refused."

J'ai essayé ce qui est suggéré ici https://forum.ubuntu-fr.org/viewtopic.php?id=1846351 mais proxy ou pas, ça n'a rien changé...
(Aussi j'avais modifié mon mot de passe de superutilisateur mais pas de messagerie, donc ça ne devrait avoir aucune incidence.)

Ensuite j'ai désinstallé thunderbird et ré-installé, j'ai fait les update et upgrade, mais ça ne marche toujours pas.
Je ne comprends pas

bruno

Regarde tes règles iptables, et donne nous le retour, avec :

sudo iptables -L -n

Skyroots

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:123

(j'ajouterais que depuis la suppression du script firewall, je ne peux plus imprimer de document par wifi non plus, ça n'a aucun sens)

bruno

Donc tes règles sont toujours actives 😉
Pour vider les règles iptables :

sudo iptables -F

Skyroots

Désolé j'ai galéré pour te répondre.
Alors j'ai essayé la commande

~$ sudo iptables -F
 ~$ sudo iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination

Mais après ça je n'avais plus accès à internet, firefox ne pouvait pas se connecter à internet (donc je ne pouvais pas répondre). Thunderbird ne fonctionnait toujours pas et n'arrivait pas à se connecter aux servers imap/smtp. Et toujours impossible d'imprimer par wifi. Je n'y comprends rien (j'ai redémarré et là au moins firefox fonctionne, et

sudo iptables -L -n

me renvoie la même config que mon post #35).

nam1962

...tu noteras que sans avoir été protégé de quoique ce soit, puisque les manips étaient inutiles, ces bidouilles qui m'ont fait sauter en l'air au #2 te mettent un bazar de première classe !

Redonne :

sudo iptables -nvL

Skyroots

Oui c'est vrai... :/

sudo iptables -nvL

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  149 14446 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  762  623K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
   25  4463 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 127 packets, 10702 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  149 14446 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  707 77980 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    4   240 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
   10   600 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:20:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    4   240 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    6   383 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    5   380 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123

bruno

Oui normal toutes les politiques par défaut sont sur « DROP ». Pour tout supprimer :

sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -F

Mais si tu retrouves les mêmes règles au redémarrage c'est ue tu as fait en sorte que ton script iptables s'exécute au démarrage. À toi de le supprimer.

« Page précédente Page suivante »