Ubuntu-fr

Nathaly01

Re : Configuration d'iptables

Euh non Nathaly01, tu t'emmêles les pinceaux, ne t'embrouille pas avec ça !

Le chemin qu'évoque Ignus, je ne le comprends pas non plus : pourquoi complexifier le truc en ajoutant une interface virtuelle !?

Nathaly01, as-tu regardé dans les logs de samba s'il n'y a pas une erreur liée à cette directive, avant de chercher dans n'importe quel sens ?

Je tiens à préciser que la syntaxe que j'ai évoquée :

interfaces = eth0 lo

... est tirée de la doc officielle de Samba : https://www.samba.org/~tpot/articles/mu … faces.html.

Si on suis ton lien, il y a ensuite un autre lien "bind interfaces only (G)"

C'est tout en anglais mais il me semble qu'il faudrait peut-être mettre "no" dans cette ligne sur le fichier de conf

Mais je comprend à peine un mot sur deux dans cette doc !!!

tiramiseb

Re : Configuration d'iptables

Lis tous mes messages jusqu'au bout avant de répondre

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Nathaly01

Re : Configuration d'iptables

Donc on peut rien faire pour nmbd !!

robindesbois

Re : Configuration d'iptables

Bonsoir la room,

ce serait tellement mieux si l'on faisait de cette discussion de Nathaly01 une sorte de discussion ÉTALON sur le sujet tellement controversé qu'est l'utilisation ou pas d'un Parefeu (ici Iptables, ou Shorewall etc...).

J'entends par là qu'il faut absolument qu'il rentre dans certaines consciences qu'il faut impérativement demander, sonder, TOUT demandeur d'aide (et sur un parefeu quelconque), quelle utilisation il va en faire, quelle utilisation il en fait déjà, quelle utilisation enfin il pourrait en faire pour améliorer ses règles !

Car il y a autant de façons différentes de paramétrer son IPTABLES que de personnes qui exploitent IPTABLES !

Ici nous avons une fois de plus commencé de travers. Pour parler de toi, au début Tiramiseb tu nous disais cela :

Salut,

De quoi veux-tu te protéger, avec un pare-feu ? Par défaut, aucun port n'est ouvert sauf ce qui est nécessaire... Donc il n'y a rien à bloquer.

Et maintenant tu termines par cela :

===> on ne peut pas empêcher nmbd d'écouter sur l'interface publique, le blocage par pare-feu se justifie alors pleinement.

Donc pare-feu obligatoire pour bien sécuriser nmbd dans ton cas.

Je ne te racontes même pas les gens que tu aurais pu aider en opérant d'une façon différente, ta façon de les aborder, car au final tu as de grandes connaissances, et c'est de cela que nous avons besoin sur le forum Ubuntu.fr

Salut.

Dernière modification par robindesbois (Le 26/12/2014, à 00:22)

tiramiseb

Re : Configuration d'iptables

[et hop, encore un hors sujet, je vais y répondre mais je n'irai pas plus loin dans cette digression]

ce serait tellement mieux si l'on faisait de cette discussion de Nathaly01 une sorte de discussion ÉTALON

Je doute que ce soit utile, vu que les "habitués" (qui seraient concernés par cet "étalon") sont d'accord sur ce sujet et que les contradicteurs sont des gens inscrits depuis peu (qui n'auront alors pas lu cette discussion).

Pour parler de toi, au début Tiramiseb tu nous disais cela [...] Et maintenant tu termines par cela

Oui et je maintiens. Je disais bel et bien que, par défaut, aucun port n'est ouvert sauf ce qui est nécessaire. Et c'est toujours vrai, par défaut.
Et je demandais, surtout, « de quoi veux-tu te protéger ? ». Je n'ai jamais écrit « non Nathaly01, n'utilise pas de pare-feu, tu n'en as pas besoin ». Sans connaître le système en question, je ne me permettrais pas de faire ce genre d'affirmation. C'est pourquoi j'ai demandé des détails.

Par ailleurs, dans son premier message Nathaly01 montrait des règles de base, sans aucune règle de forwarding et sans masquerading, avec une seule interface réseau concernée par le peu de règles qu'elle montrait. Je peux t'assurer que, s'il y avait eu une règle de masquerading ou la moindre chose dans la table "forward", ma réponse aurait été tout autre, car il aurait été évident que c'est une passerelle : j'aurais écrit quelque chose comme « par défaut il n'y a pas besoin de pare-feu, mais sur une passerelle il y a des choses auxquelles il faut faire attention ». J'ai peut-être voulu aller un peu trop vite en besogne, c'est humain non ? Je crois qu'on est une grande majorité de bénévoles ici à parfois tirer des conclusions un peu trop vite.

Et le second message que tu cites contient bien le terme « dans ton cas » : on a eu des détails sur la situation, on peut faire des affirmations.

-----

Cela étant dit, je peux certainement améliorer l'approche et rendre plus évidente ma question « de quoi veux-tu te protéger ». Pour moi c'était ça le plus important dans mon message, l'évocation de la situation par défaut ayant comme objectif de commencer à poser ce qu'est cette situation par défaut et pourquoi il ne faut pas utiliser le pare-feu à outrance. Les lecteurs (Nathaly01, Bigorno33, toi ou n'importe qui d'autre) n'ont pas vu ma question et n'ont vu que la seconde phrase, alors dans le futur je ferai en sorte que mon message (qui sera toujours équivalent) soit mieux compris : la question demandant la situation est impérative avant de pouvoir dire « ok, dans ton cas, tu es (ou pas) dans la situation par défaut alors, dans ton cas, un pare-feu n'est pas (ou est) nécessaire ».

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Compte supprimé

Re : Configuration d'iptables

Oui et je maintiens. Je disais bel et bien que, par défaut, aucun port n'est ouvert sauf ce qui est nécessaire. Et c'est toujours vrai, par défaut.

Oui complètement

Par ailleurs, dans son premier message Nathaly01 montrait des règles de base, sans aucune règle de forwarding et sans masquerading, avec une seule interface réseau concernée par le peu de règles qu'elle montrait. Je peux t'assurer que, s'il y avait eu une règle de masquerading ou la moindre chose dans la table "forward", ma réponse aurait été tout autre, car il aurait été évident que c'est une passerelle : j'aurais écrit quelque chose comme « par défaut il n'y a pas besoin de pare-feu, mais sur une passerelle il y a des choses auxquelles il faut faire attention ».

C'est clair et je profite de ton message pour donner mon point de vu. Entre la demande initiale et les «compléments» demandés ensuite, on note une configuration complètement différente. Si effectivement, il semble délicat de faire écouter NMBD qu'en local, un pare-feu n'est toujours pas utile pour lui. Je préfèrerais autoriser ou non les accès à ma machine par les fichiers /etc/hosts.allow et /etc/hosts.deny.
Il règne une ambiance étrange sur ce topic, un peu comme si le phénix renaissait de ses cendres
Et bien bonne journée et bon Iptables à toutes et tous

tiramiseb

Re : Configuration d'iptables

Entre la demande initiale et les «compléments» demandés ensuite, on note une configuration complètement différente.

Voilà. Ma demande de compléments initiale était certainement trop "discrète".

Je préfèrerais autoriser ou non les accès à ma machine par les fichiers /etc/hosts.allow et /etc/hosts.deny.

Bof, car même avec l'utilisation de ces fichiers, les ports restent ouvert : s'il y a une faille exploitable avant la prise en compte de ces fichiers, c'est mort, la machine est faillible.

-----

Clairement, dans le cas où on est sur un serveur classique ou un poste de travail, si on veut bloquer l'accès à NMBD (ou n'importe quel autre service), autant l'arrêter.
Mais là, sur une passerelle (où on a plusieurs interfaces réseau), si on ne peut pas configurer le logiciel (en l'occurrence NMBD) pour ne pas écouter sur une interface particulière, on n'a plus d'autre choix que d'utiliser un blocage par le pare-feu.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Lanzpaul

Re : Configuration d'iptables

Bonjour,

Moi je ne suis pas linuxien, j'ai quelques DVD (Debian, Ubuntu) mais je n'adhère pas, question de ressenti.

J'interviens au sujet des pare feu, voilà quand même bien un sujet iconoclaste… alors il y a apparemment sur ce site des gens qui  conseillent, éblouis par leur certitudes techniques et l'aura magnifique de leur OS libre, de ne pas mettre de pare feu.

J'en vois surtout un qui semble faire sa pub personnelle, en plus de celle de Linux, donc développement du mythe de « l'invulnérabilité » et du dogme stupide qui veut qu'un internaute doive être absolument précautionneux.

Ce genre de personnages est dangereux, le véritable problème est qu'il n'y a pas à ma connaissance d'ordre professionnel chez les informaticiens/développeurs/programmeurs etc... il y en a chez les médecins, magistrats, mais pas dans cette branche, et vu l'importance que prend l'informatique dans notre vie il va bien falloir un jour faire le ménage.

Il n'y a guère que sur ce site qu'on conseille de ne pas utiliser de pare feu logiciel, alors la solution est d'empêcher à terme ce genre d'attitude, établir des règles n'importe quel étudiant en droit vous dira que ça veut dire aussi établir des sanctions, histoire d'orienter les gens qui tiennent certains propos néfastes vers d'autres horizons.

Vivement demain...

Dernière modification par Lanzpaul (Le 26/12/2014, à 13:55)

tiramiseb

Re : Configuration d'iptables

Lanzpaul, tu es un nouvel arrivant sur ce forum (inscrit aujourd'hui, un seul message à ton actif, celui-ci). Tu t'es donc inscrit uniquement pour répondre à cette conversation.

De deux choses l'une :
- soit tu es Bigorno33 ou Pator75 ou Pierre Lhabitant ou l'une des nombreuses personnes à conseiller aveuglément un pare-feu, auquel cas je n'ai rien à ajouter, j'en ai marre de me battre contre des moulins à vent ;
- soit tu es une autre personne qui a mal lu la discussion, auquel cas je te conseille de mieux lire ce qui est expliqué et conseillé : on dit clairement à quoi sert un pare-feu, pourquoi par défaut ce n'est pas nécessaire et dans quels cas c'est utile.

Je le répète (et visiblement ne le répéterai jamais assez) : conseiller un pare-feu de manière inconditionnelle est trompeur, ça donne un sentiment de sécurité sans apporter quoi que ce soit dans la majorité des cas.

Ensuite, je t'invite à lire http://linuxfr.org/news/comment-refuter. Selon la hiérarchie proposée par cet article, tu es au niveau DH2 ou DH3, si tu veux vraiment être entendu donne une vraie argumentation, essaie de monter au moins au niveau DH4 (DH5 ou DH6 étant bien sûr mieux).

Enfin, et là c'est valable autant pour toi que pour robindesbois, je tiens à rappeler le message #96 de la modération : « Merci de vous recentrer sur le sujet, et de limiter la discussion à des arguments techniques ».

Si tu interviens ici, ça doit être pour aider Nathaly01 ou pour donner un avis technique, pas pour des attaques ad hominem.

Dernière modification par tiramiseb (Le 26/12/2014, à 13:51)

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Lanzpaul

Re : Configuration d'iptables

"Selon la hiérarchie proposée par cet article, tu es au niveau DH2 ou DH3, si tu veux vraiment être entendu donne une vraie argumentation, essaie de monter au moins au niveau DH4 (DH5 ou DH6 étant bien sûr mieux)."

Le problème sanitaire informatique, c'est que des gens comme toi n'arrivent pas dans l'avenir au stade de vétéran 2 ou 3, ok man?... faudra que j'en discute un jour avec mes relations.

Dernière modification par Lanzpaul (Le 26/12/2014, à 13:58)

robindesbois

Re : Configuration d'iptables

La discussion avait été nettoyée, bon tant pis, merci Tiramiseb pour ton message, j'ai d'autres interrogations mais pas sur le parefeu, et plus particulièrement pas sur l'aide que j'aurrai pu apporter à cette discusison(ici-même), je m'en vais donc poster dans une autre section, bonne continuation à vous.

Compte supprimé

Re : Configuration d'iptables

Entre la demande initiale et les «compléments» demandés ensuite, on note une configuration complètement différente.

Voilà. Ma demande de compléments initiale était certainement trop "discrète".

Je préfèrerais autoriser ou non les accès à ma machine par les fichiers /etc/hosts.allow et /etc/hosts.deny.

Bof, car même avec l'utilisation de ces fichiers, les ports restent ouvert : s'il y a une faille exploitable avant la prise en compte de ces fichiers, c'est mort, la machine est faillible.

-----

Clairement, dans le cas où on est sur un serveur classique ou un poste de travail, si on veut bloquer l'accès à NMBD (ou n'importe quel autre service), autant l'arrêter.
Mais là, sur une passerelle (où on a plusieurs interfaces réseau), si on ne peut pas configurer le logiciel (en l'occurrence NMBD) pour ne pas écouter sur une interface particulière, on n'a plus d'autre choix que d'utiliser un blocage par le pare-feu.

Oui, je partage le fond de ta pensée et tes propos son justes mais faillible ne veut pas dire faille, le smb.conf est riche pour sécuriser sa machine. Clairement, cette discussion tourne autour d'Iptables et l'évolution de la demande ressemble à un honeypot pour démontrer qu'un pare-feu est obligatoire.

Ceci dit pour moi, configurer une passerelle ne doit pas faire appel à DHCP. Je configure en «dur» avec le fichier /etc/network/interfaces, (sans avoir bind9 nécessairement) mais avec le fichier hostname, le resolv.conf, le fichier /etc/sysctl.conf pour activer la redirection de paquets d'information nécessaires au forwarding et masquerading avec Iptables. Sinon, ça ne sert à rien. À moins que Ubuntu 14.04 ne nécessite plus cette manip du fichier /etc/sysctl.conf ?

Pour ma part, vu l'ambiance avec la résurrection des Pator75 et autre bigorno, je renonce à poursuivre cette conversation.
Alors pour les cadors d'Iptables, cette règle (si eth0 est pour l'extérieur) est-elle juste ?:

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Si elle l'est, cette règle perdurera t'elle au reboot de la machine ? Ou faut-il créer un script de démarrage ?

Bon amusement et je ne vous dis pas à bientôt, je vais au bar pour y deumeurer ad vitam aeternam

Cordialement.

Ignus

tiramiseb

Re : Configuration d'iptables

minusculetit: pour ta demande, il faut que tu crées une nouvelle discussion sur le forum, en évitant de parasiter une autre discussion, surtout quand celle-ci est encore en cours.

robindesbois: bonne continuation, et si j'ai des idées pour t'aider sur tes autres sujet, tu me verras te répondre

sirius007: boah, l'« emmerdement » par des scanners, quel est-il ? Pour ma part je ne le ressens pas sur mes serveurs. Ils ont beau scanner ce qu'ils veulent, pour ma part je m'en fous un peu (tant que c'est sécurisé). Concernant apparmor, j'avoue ne jamais m'y être intéressé...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

tiramiseb

Re : Configuration d'iptables

faillible ne veut pas dire faille, le smb.conf est riche pour sécuriser sa machine.

Oui clairement. C'est là que les avis divergent : à quel moment utiliser ou non le pare-feu. Il y en a qui pensent qu'il faut toujours un pare-feu (dont certains qui malheureusement ont des réactions violentes plutôt que des argumentations techniques), d'autres qui pensent qu'on peut faire amplement confiance au comportement des logiciels (comme toi visiblement), pour ma part je suis entre les deux : tant qu'il n'y a rien en écoute, pas de pare-feu... mais dès qu'il y a écoute non voulue et non désactivable, je préfère bloquer avec le pare-feu.

configurer une passerelle ne doit pas faire appel à DHCP

Pour le côté interne, il faut un serveur DHCP bien sûr. De préférence sur une autre machine, mais si on concentre tout sur le même système, alors il n'y a pas le choix
Concernant le client DHCP côté public, parfois c'est nécessaire, imposé par le FAI.

le fichier /etc/sysctl.conf pour activer la redirection de paquets d'information nécessaires au forwarding

Oui, il faut toujours activer ip_foward, ça n'a pas changé.
J'imagine que Nathaly01 l'a fait d'une manière ou d'une autre.
Quand on utilise Shorewall comme je le propose, c'est lui qui le gère.

Alors pour les cadors d'Iptables, cette règle (si eth0 est pour l'extérieur) est-elle juste ?:

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Si elle l'est, cette règle perdurera t'elle au reboot de la machine ? Ou faut-il créer un script de démarrage ?

Cette règle me semble bonne, s'il s'agit simplement de faire du masquerading de base sur tout ce qui sort par l'interface eth0.
Elle ne perdurera pas : l'état du pare-feu n'est pas sauvegardé.

Il faut utiliser quelque chose de complémentaire pour enregistrer ça. Je pense notamment à la commande iptables-save (à peu près acceptable) ou alors à un simple script (gros bricolage), mais également à des logiciels dont la gestion de pare-feu est le but (UFW, Shorewall...).
Encore une fois, dès qu'on est sur une passerelle je préconise Shorewall.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

tiramiseb

Re : Configuration d'iptables

c'est par là qu'il fallait commencer..

C'est le fond de mon propos depuis le début ; si cette formulation-là est la plus compréhensible, j'essaierai de m'en rappeler pour la prochaine fois

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

robindesbois

Re : Configuration d'iptables

robindesbois: bonne continuation, et si j'ai des idées pour t'aider sur tes autres sujet, tu me verras te répondre

Merci, j'essaie d'aider d'autres personnes aussi, tu es le bienvenu.

Nathaly01

Re : Configuration d'iptables

Bonsoir,

Désolée, j'ai pas eu le temps de venir aujourd'hui et en plus, j'ai du monde ce soir chez moi, alors je ne fais que passer ...
J'en profite vite fais pour poster mon fichier Iptables

# Generated by iptables-save v1.4.21 on Fri Dec 26 19:43:55 2014
*nat
:PREROUTING ACCEPT [553:33357]
:INPUT ACCEPT [272:17771]
:OUTPUT ACCEPT [354:28179]
:POSTROUTING ACCEPT [23:2809]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Dec 26 19:43:55 2014
# Generated by iptables-save v1.4.21 on Fri Dec 26 19:43:55 2014
*filter
:INPUT DROP [8:368]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 123 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 1024:65535 --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 1024:65535 --dport 123 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A fail2ban-ssh -s 122.225.97.70/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.97.67/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.97.91/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 182.18.133.5/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 218.2.0.130/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.109.214/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 122.225.109.209/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Dec 26 19:43:55 2014
# Generated by iptables-save v1.4.21 on Fri Dec 26 19:43:55 2014
*mangle
:PREROUTING ACCEPT [6416:3212936]
:INPUT ACCEPT [1382:234243]
:FORWARD ACCEPT [5031:2978023]
:OUTPUT ACCEPT [1117:155614]
:POSTROUTING ACCEPT [6199:3141577]
COMMIT
# Completed on Fri Dec 26 19:43:55 2014

Shanx

Re : Configuration d'iptables

Il n'y a guère que sur ce site qu'on conseille de ne pas utiliser de pare feu logiciel, alors la solution est d'empêcher à terme ce genre d'attitude, établir des règles n'importe quel étudiant en droit vous dira que ça veut dire aussi établir des sanctions, histoire d'orienter les gens qui tiennent certains propos néfastes vers d'autres horizons.

C’est bien pour ça que nous avons orienté Bigorno333 et Pator75 vers d’autres horizons.

Par ailleurs, on te rappelle que les attaques ad hominem sont à proscrire. Pour le moment, tu (je pars du principe que tu as le même avis que Pator75, voir la même identité) n’as apporté aucun argument technique. Donc soit du garde un ton posé et conserve le débat uniquement sur un plan technique avec des arguments de qualité, soit on va devoir continuer à distribuer des vacances.

---

Mes randos : grande traversées des Alpes, de l'Islande, de la Corse, du Japon (en vélo), etc.
Traversée des États-Unis à pied

Compte supprimé

Re : Configuration d'iptables

Je me sers d'iptables  pour gérer des serveurs  (vpn web mail..)

Bien. Un serveur est par définition ouvert sur le web, c'est sa fonction. Les services que tu mets à la disposition du public ne peuvent être filtrés par Iptables. Dans ce cas, un scanner de vulnérabilité aura tôt fait de donner de précieuses informations sur la version embarquée des logiciels et les vulnérabilités associées de ton serveur.
À titre de comparaison, tu as des scanners de vulnérabilités pour les sites web qui embarquent des solution type wordpress, drupal ou autre. Devine pourquoi des site sont hackés facilement...?
http://forum.ovh.com/showthread.php?870 … v%E9rol%E9

Bah oui, c'est comme la faille bash, au grand dieu, c'est horrible. Alors pour une station de travail , le risque était nul. Les serveurs étaient concernés surtout ceux qui utilisaient des scripts CGI ou ceux dont les admins n'avaient pas restreint les utilisateurs... BASH n'a jamais été pensé pour être sécurisé... PEBKAC, n'est-il pas ?

Une configuration bien  léchée associée à un environnement chrooté (ou mieux chrooter les utilisateurs) me semble autrement plus prolifique. La sécurisation d'une machine réside dans la configuration des logiciels utilisés pour les services rendus publics (sinon, c'est une station de travail puisque rien n'écoute à l'extérieur), c'est le B-A-B-A de l'administration. Plante toi dans la conf de SSH, apache ou php par exemple et tu verras bien
Le pare-feu est de la sécurité par de l'obscurantisme

Sur une machine directement en frontal à l'internet il est toutefois utile pour ne pas se faire en-merdé par des scanners de tous pays, et même si leurs tentatives d'attaques restent stériles autant les éviter...

Fail2ban est dédié justement à ça.

Hips.... Hips... J'ai abusé au bar :þ

Dernière modification par ignus (Le 26/12/2014, à 23:15)

Nathaly01

Re : Configuration d'iptables

Putain (c'est pas beau pour une fille de dire ça !!) mais vous avez pas fini de vous faire la géguerre comme des gamins dans une cour d'école ????
On est plus en maternelle, comportez vous comme des adultes !!!
C'est bon, j'ai compris que sur une station de travail toute simple, pas besoin de firewall, mais que dans mon cas, c'est obligé déjà pour le Nat ...
Ensuite, oui j'ai besoin du dhcp parce que je me vois mal devoir configurer mes 15 appareils avec une IP en dur sans compter tout les ordi que je (re)installe tout les jours.
En plus, avec une IP fixe, génial quand je suis en déplacement ou quand mes enfants vont chez leurs grand parents !!! va falloir que je reconfigure à chaque fois ????
On va être dans le grand n'importe quoi, et comme je suis plus blonde que blonde, ben, j'ai pas fini de me faire pourrir que j'ai oublié ...
Alors oui, dhcp est obligatoire sur mon réseau ...
Quand j'ai fait le stage "Windows MCP 2000 système et réseaux ", je me rappelle plus vraiment quoi, réservé aux "bac +4", trop lol, moi qui n'est qu'un bac à sable !!!, je me souviens que notre formateur nous avait dis que c'était un job de fainéant.
Pas parce qu'il fallait rien faire, mais parce que si on savait bien le faire, une fois le réseau bien configuré, il ne restait plus que de la surveillance à faire ....
J'ai complètement abandonné Windows, sauf sur deux postes en multiboot pour le besoin des enfants mais rarement utilisé, j'ai pas voulu de ldap, trop complexe pour moi en ligne de commande (surtout que j'ai rien compris à la doc officiel !!), pour ça, windows était bien avec son interface graphique !! mais c'est mon choix parce que pour de multiples raisons, j'ai plus confiance en cette OS et qu"en plus sous 12.04, j'ai pas trouvé le truc pour utiliser les comptes autrement qu'en utilisant POSIX (donc en Anglais) pour se connecter au serveur ...
Pour des gamins qui ont du mal à parler français, c'est pas le pied !!! MAMAN, JE FAIS QUOI ...? stop, laisser moi respirer !!!!
Alors essayez de m'aider plutôt que de vous déchirer, sinon, je vois pas le mérite de ce site d'entraide .....
Bon oki, je suis un peu fainéante mais je veux simplement un truc qui marche bien, et pour ça, je bosse dur alors que je suis dépassée sur plein de choses

tiramiseb

Re : Configuration d'iptables

Parce que tu crois que ça m'amuse de voir ton fil de discussion se faire pourrir par des gars qui s'inscrivent uniquement pour ça ? J'en ai raz le bol de devoir réexpliquer encore et encore des évidences à des gars qui restent sur leurs croyances dans fondement ; et je ne peux pas laisser des énormités sans réponse : c'est dangereux.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Compte supprimé

Re : Configuration d'iptables

Putain (c'est pas beau pour une fille de dire ça !!) mais vous avez pas fini de vous faire la géguerre comme des gamins dans une cour d'école ????

Bah, on fait ce qu'on veut et surtout on évite de faire la morale, c'est déjà ça non ?

On est plus en maternelle, comportez vous comme des adultes !!!

Jugement peu enclin à une discussion sereine et je me passe de tes commentaires.

C'est bon, j'ai compris que sur une station de travail toute simple, pas besoin de firewall, mais que dans mon cas, c'est obligé déjà pour le Nat ...

Formidable, malgré nos jérémiades, tu as appris une chose.

Ensuite, oui j'ai besoin du dhcp parce que je me vois mal devoir configurer mes 15 appareils avec une IP en dur sans compter tout les ordi que je (re)installe tout les jours.

Enfin, vas-tu réussir à nous décrire en un post tes besoins, points par point et non en rajouter une couche à chaque fois. Demander de l'aide c'est bien mais autant être claire et concise sur tes besoins au lieu d'indiquer une nouvelle donne entre tes insurrections.

En plus, avec une IP fixe, génial quand je suis en déplacement ou quand mes enfants vont chez leurs grand parents !!! va falloir que je reconfigure à chaque fois ????

Tu confonds quelque chose me semble t-il...

Pour des gamins qui ont du mal à parler français, c'est pas le pied !!! MAMAN, JE FAIS QUOI ...? stop, laisser moi respirer !!!!
Alors essayez de m'aider plutôt que de vous déchirer, sinon, je vois pas le mérite de ce site d'entraide .....
Bon oki, je suis un peu fainéante mais je veux simplement un truc qui marche bien, et pour ça, je bosse dur alors que je suis dépassée sur plein de choses

Tu es sur un site d'entre aide et nous ne sommes pas à ton service au sens service commerciale, Canonical offre ce genre de contrat. on fait du mieux que l'on peut. Avec un ton plus condescendant, je pourrais tout simplement te répondre que le man est ton ami, tu as tout ce qu'il faut pour réussir seule

Compte supprimé

Re : Configuration d'iptables

Le pare-feu est de la sécurité par de l'obscurantisme

Sur une machine directement en frontal à l'internet il est toutefois utile pour ne pas se faire en-merdé par des scanners de tous pays, et même si leurs tentatives d'attaques restent stériles autant les éviter...

Fail2ban est dédié justement à ça.

Hips.... Hips... J'ai abusé au bar :þ

...en frontal, j'utilise toujours iptables pour limiter les services accessibles, d'ailleurs j'en ai besoin aussi pour les autre tables (nat mangle raw) c'est pourtant pas compliqué à comprendre, qu'est ce que vous avez tous contre iptables ??

Rien du tout. Donne moi un accès à un service public de ton serveur et  ton Iptables, tu peux t'assoir dessus, il ne sert à rien Un pare-feu ne sécurise rien du tout, il masque des ports ou des services, point. Un port en écoute pour proposer un service, c'est une porte d'entrée. On s'occupe de sécuriser sa machine ou on pense que le pare-feu nous protège. Autrement dit, file moi un accès apache mal configuré (un site web en http quoi) et masque tout avec ton Iptables (sauf le 80 http), je te dis: Merci !

ÉDIT:

AH OUI, Fail2ban bannit les adresses IP ayant provoqué des erreur dans les journaux. Ce qui implique que quelqu'un en face à découvert un port et une faille et qu'il tente quelque chose. Si Fail2ban lance une action sur un autre port que celui-ci par défaut du SSH (22), c'est que portsentry c'est laissé faire et à laissé un scan de ports qu'il aurait dû bloquer !

Dernière modification par ignus (Le 27/12/2014, à 01:04)

Nathaly01

Re : Configuration d'iptables

Putain (c'est pas beau pour une fille de dire ça !!) mais vous avez pas fini de vous faire la géguerre comme des gamins dans une cour d'école ????

Bah, on fait ce qu'on veut et surtout on évite de faire la morale, c'est déjà ça non ?

Je veux faire la moral à personne, c'est juste du bon sens venant de tous que je demande, c'est trop ????

On est plus en maternelle, comportez vous comme des adultes !!!

Jugement peu enclin à une discussion sereine et je me passe de tes commentaires.

Excuse mais c'est un peu l'impression que j'ai quand je regarde mes enfants, les modos doivent panser la même chose que moi manifestement ....

C'est bon, j'ai compris que sur une station de travail toute simple, pas besoin de firewall, mais que dans mon cas, c'est obligé déjà pour le Nat ...

Formidable, malgré nos jérémiades, tu as appris une chose.

Génial, je sais maintenant qu'une station de travail n'a pas besoin de firewall, heureka !!! ça résous mon problème .... non
Donc stupide comme réflexion ....

Ensuite, oui j'ai besoin du dhcp parce que je me vois mal devoir configurer mes 15 appareils avec une IP en dur sans compter tout les ordi que je (re)installe tout les jours.

Enfin, vas-tu réussir à nous décrire en un post tes besoins, points par point et non en rajouter une couche à chaque fois. Demander de l'aide c'est bien mais autant être claire et concise sur tes besoins au lieu d'indiquer une nouvelle donne entre tes insurrections.

Je pense qu'avec mon fichier iptables, un vrai informaticien sait à quoi il a à fairte, et je viens de donner mon fichier iptables de mon serveur, si faut que je te fasse un plan détailé de mon réseau, demande, ce sera plus simple ...

En plus, avec une IP fixe, génial quand je suis en déplacement ou quand mes enfants vont chez leurs grand parents !!! va falloir que je reconfigure à chaque fois ????

Tu confonds quelque chose me semble t-il...

À oui, et je confond quoi à ton avis si une carte réseau est bloquer sur une adresse IP et quelle ne peut po en changer ???? Explique plus profondément, certainement un truc que j'ai pas compris, probable que je dormais pendant ce cour à 100.000 franc

Pour des gamins qui ont du mal à parler français, c'est pas le pied !!! MAMAN, JE FAIS QUOI ...? stop, laisser moi respirer !!!!
Alors essayez de m'aider plutôt que de vous déchirer, sinon, je vois pas le mérite de ce site d'entraide .....
Bon oki, je suis un peu fainéante mais je veux simplement un truc qui marche bien, et pour ça, je bosse dur alors que je suis dépassée sur plein de choses

Tu es sur un site d'entre aide et nous ne sommes pas à ton service au sens service commerciale, Canonical offre ce genre de contrat. on fait du mieux que l'on peut. Avec un ton plus condescendant, je pourrais tout simplement te répondre que le man est ton ami, tu as tout ce qu'il faut pour réussir seule

T'as pas fais de commentaires sur le reste, dois-je en conclure que tu es oki avec ????

Bien triste d'en être réduite à répondre à ce genre de question, si j'étais un garçon, je suis sur qu'on me demanderais pas des truc aussi futile ....
Mais bon, j'ai besoin de votre aide, je me plie à tout .....

Nathaly01

Re : Configuration d'iptables

Tu es sur un site d'entre aide et nous ne sommes pas à ton service au sens service commerciale, Canonical offre ce genre de contrat. on fait du mieux que l'on peut. Avec un ton plus condescendant, je pourrais tout simplement te répondre que le man est ton ami, tu as tout ce qu'il faut pour réussir seule

Aucun problème, si ma communauté ne veut pas m'aider, c'est pas à moi de lui imposer de le faire, je serais une grande fille qui se démerde toute seule, c'est juste triste que vous allez me laisser faire des conneries sans que j'en sois consciente, mais bon, dans ma vie de femme, j'ai l'habitude d'être lacher par les mecs.
Je pensais juste que sur ce genre de forum, on faisait pas de distinction entre une fille et un mec mais qu'au contraire, on parlais de façon semi -pro accessible à tous les néofites ....
Manifestement, je me suis trompée ....