Sécuriser mon réseau avec iptables

somare · Le 28/02/2015, à 23:46

Bonjour à tous,
Je souhaite sécuriser mon réseau avec iptables parce que en me servant d'iftop je me suis aperçu d'un sacré trafic en tapant cette ligne de commande:

$ iftop -np

Alors pouvez vous m'aider à sécuriser mon réseau, j'ai trouvé un certain nombre de règles à effectuer que je vous met plus bas dites moi ce que vous en pensez:

# Interdire toute connexion entrante et sortante 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 
# Autoriser RELATED et ESTABLISHED
# Tuer INVALID 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP

# Laisser certains types ICMP
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# SSH In 
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT 
 
# DNS In/Out 
# T'as un serveur DNS ?
# Sinon t'as besoin que de Out
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT 
iptables -A INPUT -p udp --dport 53 -j ACCEPT
 
# NTP Out 
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT 
# C'est poli de permettre aux autres d'interroger ton serveur
iptables -A INPUT -p udp --dport 123 -j ACCEPT

# HTTP + HTTPS In 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT 

# FTP In 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
 
# Mail SMTP:25 bidirectionnel
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
# Mail POP3:110 
iptables -A INPUT -p tcp --dport 110 -j ACCEPT 
# Mail IMAP:143 
iptables -A INPUT -p tcp --dport 143 -j ACCEPT 
# Mail POP3S:995 
iptables -A INPUT -p tcp --dport 995 -j ACCEPT

Merci à vous

tiramiseb · Le 01/03/2015, à 14:14

Salut,

Tu veux sécuriser un réseau (auquel cas les règles que tu mets en place sont inadaptées) ?

Ou alors juste un poste de travail (auquel cas il est plus efficace d'arrêter le(s) logiciel(s) posant problème en reprenant contrôle de ton PC plutôt que de bloquer des flux que tu ne connais pas) ?

somare · Le 01/03/2015, à 14:46

Salut tiramiseb,

J'entends bien mais il y bien un moyen de sécuriser mon réseau avec iptables et j'aimerai bien aller dans ce sens parce que le trafic est vraiment intense sur mon réseau !!
Est ce que l'on peut voir ça ensemble s'il vous plait ?
Merci

tiramiseb · Le 01/03/2015, à 16:17

Je t'ai posé une question avec deux choix : tu veux sécuriser ton réseau ou tu veux sécuriser ton PC ?

Ton message n'y répond pas, je ne sais toujours pas dans quelle direction aller pour mes explications...

somare · Le 01/03/2015, à 23:58

Ok tiramiseb,

Et bien je dirais mon réseau puisque je rencontre un problème sur ce point à en lire mon trafic !!

tiramiseb · Le 02/03/2015, à 00:17

Et donc tu veux mettre des règles sur ta passerelle de réseau ?

somare · Le 02/03/2015, à 00:59

Oui je veux me protéger au maximum

Compte anonymisé · Le 02/03/2015, à 11:07

Slt somare.

Te protéger au maximum est bien mais si c'est pour bloquer et réadapter à chaque fois iptables, la manip risque d'être complexe. Tout dépend quel genre de transfert de données entrant et sortant tu veux faire. (IMAP, SMTP, HTTP, FTP, FTPS, SFTP, SSH ?....).

Si j'ai un conseil à donner pour les serveurs mails Ajouter :

iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT

somare · Le 02/03/2015, à 12:07

bonjour jojo81,

Voilà ce que me met la première ligne de commande:

laurent@laurent-SG3-220FR:~$ iptables -A INPUT -p tcp --dport 993 -j ACCEPT
modprobe: ERROR: could not insert 'ip_tables': Operation not permitted
iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
laurent@laurent-SG3-220FR:~$

Compte anonymisé · Le 02/03/2015, à 12:26

Ces commandes iptables doivent se faire en root. (sudo iptables ...)

tiramiseb · Le 02/03/2015, à 12:55

Salut,

jojo81 : somare a confirmé qu'il veut faire ça sur une passerelle de réseau, qu'il veut "protéger son réseau", si on se fie à cette affirmation les chaînes INPUT et OUTPUT sont hors de propos : il faut travailler sur FORWARD avant tout.

somare : qu'entends-tu par "te protéger au maximum" ?
Pour ma part je n'ai absolument aucun pare-feu activé sur mon PC et ma passerelle est une simple freebox, je suis largement suffisamment protégé.
Un pare-feu est loin d'être une "protection maximale". Un pare-feu c'est un palliatif pour des impossibilités de protéger en amont.

Je pense qu'il serait bon de réfléchir à ce que tu veux vraiment avant de mettre en place des règles de pare-feu qui te donneront l'illusion d'une pseudo-protection.

Déjà, selon les informations que je vois dans ta ligne de commande tu travailles sur un Compaq SG3-220FR. Tu as placé un PC de type "tour" en tant que passerelle de réseau, c'est bien ça, tu es sûr ? Qu'y a-t-il sur ton réseau précisément ?

En fait, j'ai l'impression que tu utilises un vocabulaire que tu ne connais pas vraiment et du coup tout le monde s'embrouille.

Si des méthodes simples et efficaces pour protéger un PC t'intéressent, tu peux lire l'article en page 42 de ce mag, qui vient de sortir :
http://boutique.ed-diamond.com/home/846 … ue-88.html

Dernière modification par tiramiseb (Le 02/03/2015, à 13:03)

Compte anonymisé · Le 02/03/2015, à 13:06

tiramiseb a écrit :

Salut,
jojo81 : somare a confirmé qu'il veut faire ça sur une passerelle de réseau, qu'il veut "protéger son réseau", donc les chaînes INPUT et OUTPUT sont hors de propos : il faut travailler sur FORWARD avant tout.

Ah pardon, j'avais pas vu

Je confirme, c'est du FORWARD, donc toutes les commandes avec INPUT/OUTPUT sont inutiles.

somare · Le 02/03/2015, à 14:01

Salut tiramiseb,
Et bien oui je suis novice, je possède bien une tour compaq avec la freebox v6, ce qui est sûr c'est que j'ai crée des torrents avec transmission et me suis fait attaqué de source sûr (voisinage), je suis en plus comment dire à 'poil' alors ça me pose de sérieux problèmes, j'en ai ras le bol des intrusions intempestives sur mon réseau en plus je sais mon IP grillée et ça je ne sais plus comment faire pour remédier à ce problème. Je pense que la première protection à avoir chez moi c'est le SSL non seb,!!?
Merci pour ton aide précieuse!!

tiramiseb · Le 02/03/2015, à 15:17

Houla attends tu mélanges tout.

Si je comprends tout, la tour Compaq c'est ton PC, ce n'est pas une passerelle.
La passerelle, c'est ta freebox.

me suis fait attaqué de source sûr (voisinage)

C'est-à-dire ? Peux-tu en dire plus ? Tu t'es fait attaquer par un voisin ? Un voisin t'a affirmé qu'il t'a attaqué ? Un voisin est calé en informatique et il a dit que tu t'es fait attaquer ? Autre chose ? Quel vecteur d'attaque ?

je suis en plus comment dire à 'poil'

Qu'appelles-tu "à poil" ? Tu parles de l'atteignabilité de ton ordinateur à partir d'Internet ? Si tu n'as pas mis de règle particulière sur ta Freebox (redirection de port ou "DMZ"), ta machine n'est pas atteignable, non.

j'en ai ras le bol des intrusions intempestives sur mon réseau

Qu'appelles-tu intrusions intempestives ? Comment constates-tu ça ?

je sais mon IP grillée

Comment ça grillé ? C'est quoi, pour toi, une "IP grillée" ? Concrètement ?

Je pense que la première protection à avoir chez moi c'est le SSL

Le chiffrement SSL est juste une manière de chiffrer des informations sur le réseau pour ne pas se les faire subtiliser, ça n'a rien à voir avec une "protection" des accès à un réseau.

===> besoin de précisions sur :
- ta certitude de t'être fait attaquer : pourquoi, comment ?
- le fait d'être "à poil" : qu'entends-tu par là ?
- des intrusions intempestives : c'est quoi, pour toi ? comment constates-tu ça ?
- ton IP grillée : ça veut dire quoi ?

J'ai l'impression que tu t'affoles un peu trop pour rien, comme tu le dis tu es novice, que tu crois voir des choses et que tu interprètes d'une manière erronnée. Mais pour en savoir plus, il faut des détails, je ne peux rien affirmer sans ça.

somare · Le 02/03/2015, à 18:23

Et bien je n'ai pas de vpn par exemple pour protéger mon IP!!
Je parle d'intrusions parce que en regardant une vidéo en streamming dont le flux était très mauvais, j'ai donc arrêté le logiciel transmission et tout de suite après ma vidéo fonctionnait parfaitement !!
Comme j'ai crée des torrents sans avoir de vpn notamment j'en conclus que mon IP est visible,
Mon voisin se vante qu'il a part le biais d'un amis qui est calé en informatique qu'il est au courant de mon surf notamment que je recherche un appartement sur niort ce qui est vrai bref c'est plutôt probant !!

tiramiseb · Le 02/03/2015, à 21:47

Et bien je n'ai pas de vpn par exemple pour protéger mon IP!!

Le but d'un VPN n'est pas de "protéger une IP".
Un VPN permet de se connecter à un réseau local distant, de manière chiffrée.
Et, utilisé d'une certaine manière, un VPN permet de faire sortir tes communications par une autre adresse IP.

j'ai donc arrêté le logiciel transmission et tout de suite après ma vidéo fonctionnait parfaitement !!

Ça n'a rien à voir avec une intrusion.
Transmission est un client BitTorrent. Le protocole BitTorrent est un protocole de partage de fichiers.
À partir du moment où Transmission (ou n'importe quel autre client BitTorrent) est en fonctionnement, il partage des fichiers, accessibles aux autres clients BitTorrent sur Internet. C'est le fondement même de BitTorrent.
Donc, en laissant Transmission en fonctionnement, tu décides toi-mêmes de partager certains fichiers. Ce n'est pas une intrusion, c'est un choix de ta part.

Comme j'ai crée des torrents sans avoir de vpn notamment j'en conclus que mon IP est visible,

Et alors ? Si tu ne partages rien, personne ne téléchargera rien.

Mon voisin se vante qu'il a part le biais d'un amis qui est calé en informatique qu'il est au courant de mon surf notamment que je recherche un appartement sur niort ce qui est vrai bref c'est plutôt probant !!

D'une part, il l'a peut-être appris par ailleurs et il te fait marcher.
D'autre part, une possibilité assez simple serait qu'il ait deviné le mot de passe de ton wifi : ton mot de passe de wifi est-il assez solide ?

somare · Le 02/03/2015, à 23:06

Je comprends pour tout ce qui concerne le peertopeer, même si je ne peux m'empêcher de rester un peu parano!!
Oui mon mot de passe wifi est solide puisque c'est celui que m'a donné mon FAI et ils sont toujours très complex,
Est ce que l'on peut voir malgré tout à sécuriser ma machine alors !!

tiramiseb · Le 02/03/2015, à 23:19

Je comprends pour tout ce qui concerne le peertopeer, même si je ne peux m'empêcher de rester un peu parano!!

Si tu ne veux pas qu'on accède aux fichiers que tu partages, alors ne partage rien.

Est ce que l'on peut voir malgré tout à sécuriser ma machine alors !!

=> utiliser une version d'Ubuntu à jour
=> ne pas utiliser de PPA
=> maintenir le système à jour
=> utiliser des mots de passe sûrs
=> ne pas installer n'importe quel logiciel "serveur" si ce n'est pas nécessaire
=> configurer finement et correctement les logiciels mis en place

Pour voir où tu en es de tout ça, donne le retour des commandes suivantes :

lsb_release -a
ls -lh /etc/apt/sources.list.d
apt-get update
apt-get upgrade
netstat -tlnpu

somare · Le 03/03/2015, à 02:05

Ok,

laurent@laurent-SG3-220FR:~$ lsb_release -a
LSB Version:	core-2.0-amd64:core-2.0-noarch:core-3.0-amd64:core-3.0-noarch:core-3.1-amd64:core-3.1-noarch:core-3.2-amd64:core-3.2-noarch:core-4.0-amd64:core-4.0-noarch:core-4.1-amd64:core-4.1-noarch:cxx-3.0-amd64:cxx-3.0-noarch:cxx-3.1-amd64:cxx-3.1-noarch:cxx-3.2-amd64:cxx-3.2-noarch:cxx-4.0-amd64:cxx-4.0-noarch:cxx-4.1-amd64:cxx-4.1-noarch:desktop-3.1-amd64:desktop-3.1-noarch:desktop-3.2-amd64:desktop-3.2-noarch:desktop-4.0-amd64:desktop-4.0-noarch:desktop-4.1-amd64:desktop-4.1-noarch:graphics-2.0-amd64:graphics-2.0-noarch:graphics-3.0-amd64:graphics-3.0-noarch:graphics-3.1-amd64:graphics-3.1-noarch:graphics-3.2-amd64:graphics-3.2-noarch:graphics-4.0-amd64:graphics-4.0-noarch:graphics-4.1-amd64:graphics-4.1-noarch:languages-3.2-amd64:languages-3.2-noarch:languages-4.0-amd64:languages-4.0-noarch:languages-4.1-amd64:languages-4.1-noarch:multimedia-3.2-amd64:multimedia-3.2-noarch:multimedia-4.0-amd64:multimedia-4.0-noarch:multimedia-4.1-amd64:multimedia-4.1-noarch:printing-3.2-amd64:printing-3.2-noarch:printing-4.0-amd64:printing-4.0-noarch:printing-4.1-amd64:printing-4.1-noarch:qt4-3.1-amd64:qt4-3.1-noarch:security-4.0-amd64:security-4.0-noarch:security-4.1-amd64:security-4.1-noarch
Distributor ID:	Ubuntu
Description:	Ubuntu 14.04.2 LTS
Release:	14.04
Codename:	trusty
laurent@laurent-SG3-220FR:~$

laurent@laurent-SG3-220FR:~$ ls -lh /etc/apt/sources.list.d
total 4,0K
-rw-r--r-- 1 root root 134 févr. 22 16:45 kranich-cubuntu-trusty.list
laurent@laurent-SG3-220FR:~$

laurent@laurent-SG3-220FR:~$ sudo apt-get update
[sudo] password for laurent: 
Ign http://ppa.launchpad.net trusty InRelease
Ign http://archive.canonical.com trusty InRelease                              
Ign http://archive.ubuntu.com trusty InRelease                                 
Ign http://fr.archive.ubuntu.com trusty InRelease                              
Ign http://extras.ubuntu.com trusty InRelease                                  
Atteint http://ppa.launchpad.net trusty Release.gpg                            
Atteint http://archive.canonical.com trusty Release.gpg                        
Atteint http://archive.ubuntu.com trusty Release.gpg                           
Ign http://fr.archive.ubuntu.com trusty-updates InRelease                      
Réception de : 1 http://extras.ubuntu.com trusty Release.gpg [72 B]            
Atteint http://ppa.launchpad.net trusty Release                                
Atteint http://archive.canonical.com trusty Release                            
Atteint http://archive.ubuntu.com trusty Release                               
Ign http://fr.archive.ubuntu.com trusty-backports InRelease                    
Atteint http://extras.ubuntu.com trusty Release                                
Atteint http://ppa.launchpad.net trusty/main amd64 Packages                    
Ign http://security.ubuntu.com trusty-security InRelease                       
Atteint http://archive.canonical.com trusty/partner amd64 Packages             
Atteint http://archive.ubuntu.com trusty/main Sources                          
Atteint http://fr.archive.ubuntu.com trusty Release.gpg                        
Atteint http://ppa.launchpad.net trusty/main i386 Packages                     
Atteint http://extras.ubuntu.com trusty/main amd64 Packages                    
Atteint http://archive.canonical.com trusty/partner i386 Packages              
Atteint http://archive.ubuntu.com trusty/restricted Sources                    
Réception de : 2 http://fr.archive.ubuntu.com trusty-updates Release.gpg [933 B]
Atteint http://ppa.launchpad.net trusty/main Translation-en                    
Atteint http://extras.ubuntu.com trusty/main i386 Packages                     
Réception de : 3 http://security.ubuntu.com trusty-security Release.gpg [933 B]
Atteint http://fr.archive.ubuntu.com trusty-backports Release.gpg              
Atteint http://fr.archive.ubuntu.com trusty Release                            
Ign http://archive.canonical.com trusty/partner Translation-en                 
Réception de : 4 http://fr.archive.ubuntu.com trusty-updates Release [62,0 kB] 
Réception de : 5 http://security.ubuntu.com trusty-security Release [62,0 kB]  
Atteint http://fr.archive.ubuntu.com trusty-backports Release                  
Atteint http://fr.archive.ubuntu.com trusty/universe Sources                   
Atteint http://fr.archive.ubuntu.com trusty/main Sources                       
Atteint http://fr.archive.ubuntu.com trusty/restricted Sources                 
Atteint http://fr.archive.ubuntu.com trusty/multiverse Sources                 
Atteint http://fr.archive.ubuntu.com trusty/main amd64 Packages                
Atteint http://fr.archive.ubuntu.com trusty/restricted amd64 Packages          
Réception de : 6 http://security.ubuntu.com trusty-security/universe Sources [17,9 kB]
Ign http://extras.ubuntu.com trusty/main Translation-fr_FR                     
Atteint http://fr.archive.ubuntu.com trusty/universe amd64 Packages            
Ign http://extras.ubuntu.com trusty/main Translation-fr                        
Atteint http://fr.archive.ubuntu.com trusty/multiverse amd64 Packages          
Ign http://extras.ubuntu.com trusty/main Translation-en                        
Atteint http://fr.archive.ubuntu.com trusty/main i386 Packages                 
Réception de : 7 http://security.ubuntu.com trusty-security/main Sources [71,4 kB]
Atteint http://fr.archive.ubuntu.com trusty/restricted i386 Packages           
Atteint http://fr.archive.ubuntu.com trusty/universe i386 Packages             
Atteint http://fr.archive.ubuntu.com trusty/multiverse i386 Packages           
Atteint http://fr.archive.ubuntu.com trusty/main Translation-fr                
Atteint http://fr.archive.ubuntu.com trusty/main Translation-en                
Atteint http://fr.archive.ubuntu.com trusty/multiverse Translation-fr          
Atteint http://fr.archive.ubuntu.com trusty/multiverse Translation-en          
Atteint http://fr.archive.ubuntu.com trusty/restricted Translation-fr          
Réception de : 8 http://security.ubuntu.com trusty-security/restricted Sources [2 061 B]
Atteint http://fr.archive.ubuntu.com trusty/restricted Translation-en          
Atteint http://fr.archive.ubuntu.com trusty/universe Translation-fr            
Réception de : 9 http://security.ubuntu.com trusty-security/multiverse Sources [1 896 B]
Atteint http://fr.archive.ubuntu.com trusty/universe Translation-en            
Réception de : 10 http://fr.archive.ubuntu.com trusty-updates/universe Sources [105 kB]
Réception de : 11 http://security.ubuntu.com trusty-security/main amd64 Packages [220 kB]
Réception de : 12 http://fr.archive.ubuntu.com trusty-updates/main Sources [181 kB]
Réception de : 13 http://fr.archive.ubuntu.com trusty-updates/restricted Sources [2 061 B]
Réception de : 14 http://fr.archive.ubuntu.com trusty-updates/multiverse Sources [4 463 B]
Réception de : 15 http://fr.archive.ubuntu.com trusty-updates/main amd64 Packages [446 kB]
Réception de : 16 http://security.ubuntu.com trusty-security/restricted amd64 Packages [8 875 B]
Réception de : 17 http://security.ubuntu.com trusty-security/universe amd64 Packages [87,7 kB]
Réception de : 18 http://fr.archive.ubuntu.com trusty-updates/restricted amd64 Packages [8 875 B]
Réception de : 19 http://fr.archive.ubuntu.com trusty-updates/universe amd64 Packages [254 kB]
Réception de : 20 http://security.ubuntu.com trusty-security/multiverse amd64 Packages [3 458 B]
Réception de : 21 http://security.ubuntu.com trusty-security/main i386 Packages [210 kB]
Réception de : 22 http://fr.archive.ubuntu.com trusty-updates/multiverse amd64 Packages [11,2 kB]
Réception de : 23 http://fr.archive.ubuntu.com trusty-updates/main i386 Packages [435 kB]
Réception de : 24 http://security.ubuntu.com trusty-security/restricted i386 Packages [8 846 B]
Réception de : 25 http://fr.archive.ubuntu.com trusty-updates/restricted i386 Packages [8 846 B]
Réception de : 26 http://fr.archive.ubuntu.com trusty-updates/universe i386 Packages [255 kB]
Réception de : 27 http://security.ubuntu.com trusty-security/universe i386 Packages [87,7 kB]
Réception de : 28 http://fr.archive.ubuntu.com trusty-updates/multiverse i386 Packages [11,3 kB]
Atteint http://fr.archive.ubuntu.com trusty-updates/main Translation-en        
Atteint http://fr.archive.ubuntu.com trusty-updates/multiverse Translation-en  
Atteint http://fr.archive.ubuntu.com trusty-updates/restricted Translation-en  
Atteint http://fr.archive.ubuntu.com trusty-updates/universe Translation-en    
Atteint http://fr.archive.ubuntu.com trusty-backports/universe amd64 Packages  
Atteint http://fr.archive.ubuntu.com trusty-backports/main amd64 Packages      
Réception de : 29 http://security.ubuntu.com trusty-security/multiverse i386 Packages [3 624 B]
Atteint http://fr.archive.ubuntu.com trusty-backports/restricted amd64 Packages
Atteint http://fr.archive.ubuntu.com trusty-backports/multiverse amd64 Packages
Atteint http://security.ubuntu.com trusty-security/main Translation-en         
Atteint http://fr.archive.ubuntu.com trusty-backports/universe i386 Packages   
Atteint http://fr.archive.ubuntu.com trusty-backports/main i386 Packages       
Atteint http://fr.archive.ubuntu.com trusty-backports/restricted i386 Packages 
Atteint http://security.ubuntu.com trusty-security/multiverse Translation-en
Atteint http://fr.archive.ubuntu.com trusty-backports/multiverse i386 Packages 
Atteint http://security.ubuntu.com trusty-security/restricted Translation-en   
Atteint http://fr.archive.ubuntu.com trusty-backports/main Translation-en      
Atteint http://fr.archive.ubuntu.com trusty-backports/multiverse Translation-en
Atteint http://fr.archive.ubuntu.com trusty-backports/restricted Translation-en
Atteint http://fr.archive.ubuntu.com trusty-backports/universe Translation-en
Atteint http://security.ubuntu.com trusty-security/universe Translation-en     
Ign http://fr.archive.ubuntu.com trusty/main Translation-fr_FR                 
Ign http://fr.archive.ubuntu.com trusty/multiverse Translation-fr_FR           
Ign http://fr.archive.ubuntu.com trusty/restricted Translation-fr_FR           
Ign http://fr.archive.ubuntu.com trusty/universe Translation-fr_FR             
2 572 ko réceptionnés en 8s (321 ko/s)                                         
Lecture des listes de paquets... Fait
laurent@laurent-SG3-220FR:~$

laurent@laurent-SG3-220FR:~$ sudo apt-get upgrade
[sudo] password for laurent: 
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
Les paquets suivants seront mis à jour :
  linux-headers-3.13.0-46 linux-headers-3.13.0-46-generic
  linux-image-3.13.0-46-generic linux-image-extra-3.13.0-46-generic
  linux-libc-dev
5 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 62,3 Mo dans les archives.
Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n] o
Réception de : 1 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main linux-image-3.13.0-46-generic amd64 3.13.0-46.76 [15,2 MB]
Réception de : 2 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main linux-headers-3.13.0-46 all 3.13.0-46.76 [8 890 kB]
Réception de : 3 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main linux-headers-3.13.0-46-generic amd64 3.13.0-46.76 [712 kB]
Réception de : 4 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main linux-image-extra-3.13.0-46-generic amd64 3.13.0-46.76 [36,8 MB]
Réception de : 5 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main linux-libc-dev amd64 3.13.0-46.76 [786 kB]
62,3 Mo réceptionnés en 1min 21s (765 ko/s)                                    
(Lecture de la base de données... 226486 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de .../linux-image-3.13.0-46-generic_3.13.0-46.76_amd64.deb ...
Done.
Dépaquetage de linux-image-3.13.0-46-generic (3.13.0-46.76) sur (3.13.0-46.75) ...
Examining /etc/kernel/postrm.d .
run-parts: executing /etc/kernel/postrm.d/initramfs-tools 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postrm.d/zz-update-grub 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
Préparation du dépaquetage de .../linux-headers-3.13.0-46_3.13.0-46.76_all.deb ...
Dépaquetage de linux-headers-3.13.0-46 (3.13.0-46.76) sur (3.13.0-46.75) ...
Préparation du dépaquetage de .../linux-headers-3.13.0-46-generic_3.13.0-46.76_amd64.deb ...
Dépaquetage de linux-headers-3.13.0-46-generic (3.13.0-46.76) sur (3.13.0-46.75) ...
Préparation du dépaquetage de .../linux-image-extra-3.13.0-46-generic_3.13.0-46.76_amd64.deb ...
Dépaquetage de linux-image-extra-3.13.0-46-generic (3.13.0-46.76) sur (3.13.0-46.75) ...
Préparation du dépaquetage de .../linux-libc-dev_3.13.0-46.76_amd64.deb ...
Dépaquetage de linux-libc-dev:amd64 (3.13.0-46.76) sur (3.13.0-46.75) ...
Paramétrage de linux-image-3.13.0-46-generic (3.13.0-46.76) ...
Running depmod.
update-initramfs: deferring update (hook will be called later)
Not updating initrd symbolic links since we are being updated/reinstalled 
(3.13.0-46.75 was configured last, according to dpkg)
Not updating image symbolic links since we are being updated/reinstalled 
(3.13.0-46.75 was configured last, according to dpkg)
Examining /etc/kernel/postinst.d.
run-parts: executing /etc/kernel/postinst.d/apt-auto-removal 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/initramfs-tools 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
update-initramfs: Generating /boot/initrd.img-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/pm-utils 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/update-notifier 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/zz-update-grub 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
Création du fichier de configuration GRUB…
Attention : Définir GRUB_TIMEOUT à une valeur non nulle si GRUB_HIDDEN_TIMEOUT est définie n’est plus possible.
Image Linux trouvée : /boot/vmlinuz-3.13.0-46-generic
Image mémoire initiale trouvée : /boot/initrd.img-3.13.0-46-generic
Found memtest86+ image: /boot/memtest86+.elf
Found memtest86+ image: /boot/memtest86+.bin
fait
Paramétrage de linux-headers-3.13.0-46 (3.13.0-46.76) ...
Paramétrage de linux-headers-3.13.0-46-generic (3.13.0-46.76) ...
Paramétrage de linux-image-extra-3.13.0-46-generic (3.13.0-46.76) ...
run-parts: executing /etc/kernel/postinst.d/apt-auto-removal 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/initramfs-tools 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
update-initramfs: Generating /boot/initrd.img-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/pm-utils 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/update-notifier 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
run-parts: executing /etc/kernel/postinst.d/zz-update-grub 3.13.0-46-generic /boot/vmlinuz-3.13.0-46-generic
Création du fichier de configuration GRUB…
Attention : Définir GRUB_TIMEOUT à une valeur non nulle si GRUB_HIDDEN_TIMEOUT est définie n’est plus possible.
Image Linux trouvée : /boot/vmlinuz-3.13.0-46-generic
Image mémoire initiale trouvée : /boot/initrd.img-3.13.0-46-generic
Found memtest86+ image: /boot/memtest86+.elf
Found memtest86+ image: /boot/memtest86+.bin
fait
Paramétrage de linux-libc-dev:amd64 (3.13.0-46.76) ...
laurent@laurent-SG3-220FR:~$

laurent@laurent-SG3-220FR:~$ sudo netstat -tlnpu
[sudo] password for laurent: 
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 0.0.0.0:51413           0.0.0.0:*               LISTEN      7297/transmission-g
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      1422/dnsmasq    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      3201/cupsd      
tcp6       0      0 :::51413                :::*                    LISTEN      7297/transmission-g
tcp6       0      0 ::1:631                 :::*                    LISTEN      3201/cupsd      
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1217/cups-browsed
udp        0      0 0.0.0.0:51901           0.0.0.0:*                           630/avahi-daemon: r
udp        0      0 0.0.0.0:64204           0.0.0.0:*                           4556/dhclient   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           5202/chrome     
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           5202/chrome     
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           630/avahi-daemon: r
udp        0      0 127.0.1.1:53            0.0.0.0:*                           1422/dnsmasq    
udp        0      0 0.0.0.0:68              0.0.0.0:*                           4556/dhclient   
udp        0      0 0.0.0.0:51413           0.0.0.0:*                           7297/transmission-g
udp6       0      0 :::35662                :::*                                4556/dhclient   
udp6       0      0 :::5353                 :::*                                5202/chrome     
udp6       0      0 :::5353                 :::*                                630/avahi-daemon: r
udp6       0      0 :::58887                :::*                                630/avahi-daemon: r
udp6       0      0 2a01:e34:ef19:bb9:51413 :::*                                7297/transmission-g
laurent@laurent-SG3-220FR:~$

somare · Le 03/03/2015, à 02:07

Merci pour ton aide j'ai lu ton blog sur les PPA etc...:)

tiramiseb · Le 03/03/2015, à 13:11

Tu as donc Ubuntu 14.04, c'est très bien.
Tu as un PPA : kranich-cubuntu. Tu utilises l'environnement de bureau Cinnamon ?
Ton noyau n'était pas à jour, peut-être n'as-tu simplement pas appliqué les dernières mises à jour : il faut veiller à appliquer les mises à jour proposées.

Concernant les ports en écoute, tu as les logiciels suivants :
- TCP 51413 et UDP 51413 : Transmission - tu l'as lancé, c'est que tu as choisi de partager tes fichiers, si ça ne te plaît pas tu peux l'arrêter ;
- TCP 53 et UDP 53, uniquement en localhost : c'est pour la résolution DNS - pas de souci, ça n'écoute pas publiquement ;
- TCP 631 et UDP 631, uniquement en localhost : c'est le serveur d'impression CUPS - tu as choisi de ne pas partager tes imprimantes, donc ça n'écoute qu'en local, normal, pas de problème ;
- UDP 5353, UDP 51901 et UDP 58887 : Avahi dessert l'ensemble de protocoles Zeroconf, pas de souci, c'est installé par défaut ;
- UDP 68, UDP 35662 et UDP 64204 : ton client DHCP, rien d'exceptionnel, il est bien là où il est ;
- UDP 5353 : Chrome écoute également sur ce port.

Tu as installé Chrome ? Si oui, par quelle source ?
Ou alors tu utilises Chromium ?

Quoi qu'il en soit, je ne vois absolument rien d'inquiétant sur ton PC. Il faut bien sûr que ton/tes mot(s) de passe soi(en)t solide(s). Il faut également que tu n'exécutes pas n'importe quoi, qui proviendrait de sources non sûres.
Ta sécurité semble suffisante. Si tu as déjà suivi "naturellement" ces principes jusqu'ici, je pense qu'il y a peu de chances que ton PC soit infecté. Bien sûr, je ne peux pas être catégorique sans une analyse poussée.

Enfin, un pare-feu n'ajoutera aucune sécurité...

somare · Le 03/03/2015, à 13:33

Bonjour tiramiseb,
-1 Non plus maintenant comme je suis sur cubuntu j'ai le choix entre trois et je suis sur mate qui ressemble plus à du linux, je veux bien ton aide pour enlever cinnamon !!
-2 Merci il semble que ce soit grace à toi que je sois passé en 14.04.2, je n'osais pas le faire par contre j'utilise synaptic régulièrement pour me mettre à jour.
-3 Non je n'ai pas installé chrome, il est par défaut sur cubuntu, c'est le navigateur que j'affectionne le plus.
Enfin je souhaiterai que tu m'aide sur l'installation d'un équivalent comme peerguardian dont voici le lien ci-dessous mais je sais c'est un PPA qu'en penses-tu ?
http://doc.ubuntu-fr.org/moblock

Dernière modification par somare (Le 03/03/2015, à 13:34)

tiramiseb · Le 03/03/2015, à 14:47

je suis sur cubuntu j'ai le choix entre trois et je suis sur mate qui ressemble plus à du linux

Donc tu utilises MATE, c'est ça ?
La version proposée par Ubuntu ?

Tu parles de Cubuntu : tu as installé Cubuntu puis tu as changé l'environnement de bureau ?

Pourquoi parles-tu de trois ? Là tu n'as cité que deux environnements.

il semble que ce soit grace à toi que je sois passé en 14.04.2

Non, tout ce que ça a fait c'est installer la mise à jour de ton noyau, en restant sur la version que tu avais déjà.

je n'osais pas le faire

Reste dans la version que tu as, c'est très bien.

Non je n'ai pas installé chrome, il est par défaut sur cubuntu

Chrome ou Chromium ?

je souhaiterai que tu m'aide sur l'installation d'un équivalent comme peerguardian

Je ne connais pas. Je n'utilise pas ce genre de choses.

Kikou017 · Le 03/03/2015, à 14:48

Bonjour,

Ce post m’intéresse à titre personnel, je vais m'en servir également.
Je voulais juste apporter une précision/réponse par rapport à l'un de tes premiers messages :

somare a écrit :

Je parle d'intrusions parce que en regardant une vidéo en streaming dont le flux était très mauvais, j'ai donc arrêté le logiciel transmission et tout de suite après ma vidéo fonctionnait parfaitement !!

Ce sont 2 choses différentes. Si tu étais en seed avec tes torrents (c'est à dire que tu partages des fichiers avec les autres peers), cela signifie que ta bande passante, l'upload en l'occurence, était bien utilisée. Cela fait qu'il ne restait pas beaucoup de place dans le tuyau pour que le streaming de ta vidéo (qui nécessite aussi de la bande passante, surtout si tu regardes de la (pseudo)HD). Donc, en arrêtant transmission, tu as stoppé le partage et ainsi, libéré la bande passante que tu as alors pu utiliser pour ton streaming.
Si tu voulais conserver le partage de tes torrents, tu as aussi la possibilité, si je me souviens bien de Transmission, de paramétrer une limite de bande passante (en permettant par exemple un maximum de 50% de ta bande passante pour transmission. Il te reste alors les 50 autres % pour faire autre chose). Je crois qu'il y avait une histoire de 'limite alternative' ou un truc comme ça que tu peux configurer et que tu actives soit quand tu veux en cliquant sur un bouton, soit sur des plages horaires prédéfinies (en laissant par exemple toute la bande passante à transmission quand tu n'as pas besoin de ton PC).

somare · Le 03/03/2015, à 18:37

Oui j'utilise mate et sur cubuntu il y a la possibilté entre trois environnements bureau c'est bien ça !
J'utilise chrome et chromium n'est pas installé par défaut sur cubuntu,
Si je comprends bien tu n'es pas près à m'aider pour installer un équivalent de peerguardian malgré le lien que je t'ai posté ??

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 28/02/2015, à 23:46

Sécuriser mon réseau avec iptables

#2 Le 01/03/2015, à 14:14

Re : Sécuriser mon réseau avec iptables

#3 Le 01/03/2015, à 14:46

Re : Sécuriser mon réseau avec iptables

#4 Le 01/03/2015, à 16:17

Re : Sécuriser mon réseau avec iptables

#5 Le 01/03/2015, à 23:58

Re : Sécuriser mon réseau avec iptables

#6 Le 02/03/2015, à 00:17

Re : Sécuriser mon réseau avec iptables

#7 Le 02/03/2015, à 00:59

Re : Sécuriser mon réseau avec iptables

#8 Le 02/03/2015, à 11:07

Re : Sécuriser mon réseau avec iptables

#9 Le 02/03/2015, à 12:07

Re : Sécuriser mon réseau avec iptables

#10 Le 02/03/2015, à 12:26

Re : Sécuriser mon réseau avec iptables

#11 Le 02/03/2015, à 12:55

Re : Sécuriser mon réseau avec iptables

#12 Le 02/03/2015, à 13:06

Re : Sécuriser mon réseau avec iptables

#13 Le 02/03/2015, à 14:01

Re : Sécuriser mon réseau avec iptables

#14 Le 02/03/2015, à 15:17

Re : Sécuriser mon réseau avec iptables

#15 Le 02/03/2015, à 18:23

Re : Sécuriser mon réseau avec iptables

#16 Le 02/03/2015, à 21:47

Re : Sécuriser mon réseau avec iptables

#17 Le 02/03/2015, à 23:06

Re : Sécuriser mon réseau avec iptables

#18 Le 02/03/2015, à 23:19

Re : Sécuriser mon réseau avec iptables

#19 Le 03/03/2015, à 02:05

Re : Sécuriser mon réseau avec iptables

#20 Le 03/03/2015, à 02:07

Re : Sécuriser mon réseau avec iptables

#21 Le 03/03/2015, à 13:11

Re : Sécuriser mon réseau avec iptables

#22 Le 03/03/2015, à 13:33

Re : Sécuriser mon réseau avec iptables

#23 Le 03/03/2015, à 14:47

Re : Sécuriser mon réseau avec iptables

#24 Le 03/03/2015, à 14:48

Re : Sécuriser mon réseau avec iptables

#25 Le 03/03/2015, à 18:37

Re : Sécuriser mon réseau avec iptables

Pied de page des forums