#1 Le 08/09/2015, à 16:16
- ViKToR69
question sur UFW
Bonjour,
J'ai lu ce document portant sur UFW. Au paragraphe 2.3 Gestion des règles par défaut, on peut lire: "Lorsque UFW est activé, par défaut le trafic entrant est refusé et le trafic sortant est autorisé"
Donc, je m'interroge sur cette commande:
sudo ufw default deny
qui signifie, toujours d'après le paragraphe 2.3, "Refuser le trafic entrant suivant les règles par défaut" ... donc, on refuse ce qui est déjà refusé ??
S'il y a une subtilité quelconque, j'aimerai la comprendre ?
Merci
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#2 Le 08/09/2015, à 17:14
- αjet
Re : question sur UFW
Peut être que je me trompe mais il me semble que tu ne peux utiliser.
sudo ufw default deny
Tu dois préciser si tu veux bloquer les connections entrantes ou sortantes avec respectivement
sudo ufw default deny incoming
sudo ufw default deny outgoing
Si tu rentres la première commande, c'est en effet redondant avec la configuration par défaut, en revanche la deuxième sera beaucoup plus restrictive car il te faudra ouvrir les connections sortantes au cas par cas...
αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr
Hors ligne
#3 Le 09/09/2015, à 07:46
- SangokuSS
Re : question sur UFW
Bonjour,
J'ai lu ce document portant sur UFW. Au paragraphe 2.3 Gestion des règles par défaut, on peut lire: "Lorsque UFW est activé, par défaut le trafic entrant est refusé et le trafic sortant est autorisé"
Donc, je m'interroge sur cette commande:
sudo ufw default deny
qui signifie, toujours d'après le paragraphe 2.3, "Refuser le trafic entrant suivant les règles par défaut" ... donc, on refuse ce qui est déjà refusé ??
S'il y a une subtilité quelconque, j'aimerai la comprendre ?
Merci
Bonjour,
A l'installation, ou à chaque fois que tu souhaites connaître le status d'UFW, la commande suivante te renseignera :
$ sudo ufw status verbose
Si tu préfères une utilisation graphique,tu as gufw qui est bien pratique Dès son installation (ou la commande ci-dessus), on voit que tout l'entrant est bloqué par défaut, le sortant étant autorisé).
#4 Le 09/09/2015, à 15:43
- ViKToR69
Re : question sur UFW
Apparemment cette commande
sudo ufw default deny
fonctionne car j'ai eu un retour précisant que la config avait changé pour deny !
Mais la demande verbeuse ne précise pas ce changement:
vince@work:~$ sudo ufw status verbose
[sudo] password for vince:
État : actif
Journalisation : on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
Nouveaux profils : skip
Je n'ai pas trouvé de commande permettant de connaitre l'état par défaut ?
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#5 Le 10/09/2015, à 14:18
- robindesbois
Re : question sur UFW
Salut, Gufw (ufw) agissent sur le parefeu Netfilter, via la table de Commandes Iptables.
Tu peux donc demander directement à lister les chaînes d'Iptables, (ça équivaut si tu veux...).
Lister toutes les chaînes (dans un temrinal root) :
# iptables -t filter -L
Lister toutes les chaînes mais sans la résolutions des noms de domaines (c'est plus rapide à afficher dans un terminal ROOT) :
# iptables -t filter -L -vn
Tu peux aussi taper ces deux lignes de commandes du dessus sans mettre ceci ---> -t filter (car Iptables utilise la table (-t) "filter" par défaut quand aucune table n'est précisée...), ce qui donnerait :
# iptables -L
Ou pour la deuxième :
# iptables -L -vn
Si tes règles ufw ou Iptables deviennent compliquées un jour, tu peux demander à Iptables d'afficher un numéro de ligne devant chaque règle (et pour les deux commandes du dessus (sans résolution de nom de domaine), ça donnerait :
# iptables -L --line-numbers -vn
Ou la seconde, donc... :
# iptables -L --line-numbers -vn
Voili, voilou... (tu auras remarqué que dans les deux dernières lignes de commande du dessus je n'ai pas précisé la table filter par -t filter, vu qu'elle est prise par défaut par Iptables quand aucune n'est demandée....petit rappel lol !) Tu regardes ce qu'il y a entre parenthèses sur chaque ligne Iptables (de tes résultats obtenus) qui contiennent le mot POLICY, et tu regardes si c'est écrit (ACCEPT ou DROP ou FORWARD, REJECT et autres...) et tu sauras qu'elles sont les POLICY (ou dit autrement : "Politiques", "Réactions par défaut", "Paramétrages" par défaut donc de chaque chaîne (les chaînes par défaut de la table -t filter, quand tu n'en as pas créé d'autres s'appellent : INPUT, FORWARD, OUTPUT) de ta table -t filter d'Iptables....
C'est compliqué comme truc, si tu veux des éclaircissements demande, aucun soucis, si je sais répondre je le ferai, mais c'est vaste Iptables hein... Et ça peut vite devenir un enfer, d'ailleurs t'y es peut-être déjà lol
edit : dans les lignes de commandes du dessus, le -v donne le nombre de paquets et de bytes qui ont transités (dans des colonnes en début de chaque ligne de chaque chaîne lol) , et le -n donc permet de ne pas résoudre les noms de domaines, et on peut donc les écrire ensemble, on gagne du "temps", ça donne comme au dessus -vn directement, on peut en mettre d'autres en plus...
Dernière modification par robindesbois (Le 15/09/2015, à 08:03)
Hors ligne
#6 Le 12/09/2015, à 10:55
- robindesbois
Re : question sur UFW
J'ai édité mon message au dessus pour éclaircir un peu, à plus, j'espère que ça t'a servi un peu ??
Hors ligne
#7 Le 12/09/2015, à 15:55
- ViKToR69
Re : question sur UFW
Salut,
Merci pour ces explications ! Pour l'instant, je ne configure pas Netfilter avec Iptables ... je pense qu'il faut vraiment s'y connaitre pour utiliser Iptables ! Je pense dans un premier temps utiliser GUFW, histoire de me faire la main ! Mais bon, finalement, je ne sais pas si c'est bien utile de me casser la tête vu que je n'ai seulement qu'un PC connecté au net !
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#8 Le 12/09/2015, à 16:09
- robindesbois
Re : question sur UFW
De rien ! Bah , pour Gufw c'est largement suffisant, ici j'ai voulu pousser les connaissances avec iptables parce que je suis un têtu et que j'avais le temps, et que les gens ici et sur le forum Debian ont bien voulu m'aider (dont le membre Wholes, ici) qui m'a donné les règles que je cherchais à faire à la fin, et depuis je n'ai plus mis les mains dedans parce qu'une fois que tu as tes règles de faîtes c'est bon, plus besoin de s'occuper de quoique ce soit. Mais si je n'avais pas complexifié mes habitudes réseaux, je n'aurai jamais bougé de Gufw et de ma règle principale, à savoir :
J'ouvre Gufw, je mets "Entrant" sur "Deny" ,je referme, et je touche plus à rien, j'ai laissé ça comme ça des années lol, et ça se passe toujours, très bien comme ça en fait (sauf pour ce que je fais maintenant tu l'auras compris), à plus
Dernière modification par robindesbois (Le 12/09/2015, à 16:09)
Hors ligne
#9 Le 12/09/2015, à 16:46
- ViKToR69
Re : question sur UFW
J'ouvre Gufw, je mets "Entrant" sur "Deny" ,je referme, et je touche plus à rien
ok, donc tu as utilisé la commande :
sudo ufw default deny
J'ai utilisé tes commandes Iptables du dessus mais j'ai pas trouvé le résultat de ufw default deny ...
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#10 Le 12/09/2015, à 18:24
- robindesbois
Re : question sur UFW
Non je n'ai pas utilisé la commande que tu donnes, j'ai utilisé le paquet appelé "gufw" tout simplement, (Gufw c'est l'interface graphique justement, du pare-feu "ufw"), regarde ici : l'image à droite en haut http://doc.ubuntu-fr.org/gufw
Comme tu vois sur l'image de la page de doc, sur "Entrant" c'est paramétré sur "Deny" et sur "Sortant" c'est sur "Allow" (mais dans la fenêtre de Gufw sur cette page, eux en plus, ont des règles en rouge en dessous, ici je n'en avais pas pendant longtemps, ça suffit pour faire les choses habituelles avec le net (surf etc...).
Tu mets donc "Entrant" sur "Deny" si tu le souhaites, tu laisses "Sortant" sur "Allow" si c'est ce que tu veux, et tu n'as juste qu'à refermer la fenêtre, éventuellement tu fais dans un terminal ROOT un :.
sudo ufw reload
Et c'est bon. Mais normalement y'a pas besoin si tu utilises la fenêtre en photo du paquet Gufw, en tout cas j'en ai jamais eu besoin sur aucun PC, c'était effectif de suite, le côté pratique de Gufw...
Quand tu dis que tu n'as pas trouvé la ligne, il faudrait que tu nous retournes ce que te donnes le terminal (en tant que ROOT) avec la commande suivante, là on pourra te confirmer que la ligne n'y est pas (ou je pourrai si personne passe, mais j'ai le temps en ce moment...) :
iptables -L
Dernière modification par robindesbois (Le 13/09/2015, à 00:28)
Hors ligne
#11 Le 13/09/2015, à 19:00
- ViKToR69
Re : question sur UFW
Voici le résultat :
vince@work:~$ sudo iptables -L
[sudo] password for vince:
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ufw-user-forward all -- anywhere anywhere
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
DROP all -- anywhere anywhere
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere ctstate NEW
ACCEPT udp -- anywhere anywhere ctstate NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source destination
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#12 Le 14/09/2015, à 09:49
- robindesbois
Re : question sur UFW
Salut !
Oui c'est bon, ta ligne "Chain INPUT (policy DROP)" est bien en «policy DROP» pour moi tout est bon
Hors ligne
#13 Le 14/09/2015, à 17:32
- ViKToR69
Re : question sur UFW
Salut,
ok, j'ai bien repèré la ligne ! mais en fait, je m'attendais à avoir deny plutot que drop ! Je comprends un peu mieux maintenant !
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#14 Le 15/09/2015, à 08:08
- robindesbois
Re : question sur UFW
Salut ! Ah non mais c'est moi qui ai du mal aussi fiiiuuuuu !!! J'suis grave ! Je t'avais mis aussi DENY comme règle possible des POLICY (en plus DROP, ACCEPT, REJECT .FORWARD etc...) dans mon exemple au message n°: #5 au dessus, et ça a du te mettre dans l'erreur vu que j'y étais un peu, je m'en excuse, j'ai édité mon message #5 pour l'y enlever
Bon, ben j'espère que tout va et fonctionne bien maintenant, à plus ViKtoR (Nettoyeur hé hé ) Chalu !!
PS : j'ai dans l'idée que pour faciliter la compréhension des mots DROP et DENY, ils ont préférés mettre le mot Deny dans l'interface graphique de Gyfw, qui est peut-être plus facilement traductible, compréhensible, que DROP pour les gens du monde entier, mais ça ne reste qu'une "idée"... @ plus !!!
Dernière modification par robindesbois (Le 15/09/2015, à 08:13)
Hors ligne
#15 Le 15/09/2015, à 18:15
- ViKToR69
Re : question sur UFW
Salut robin de la forêt de Sherwood,
Bon, ben j'espère que tout va et fonctionne bien maintenant,
oui c'est ok !
à plus ViKtoR (Nettoyeur hé hé )
ah non ! c'est pas ce Viktor là !! C'est celui d'Underworld ...
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#16 Le 17/09/2015, à 19:10
- robindesbois
Re : question sur UFW
René Château est de la famille aussi alors du coup ou pas ?
Hors ligne
#17 Le 17/09/2015, à 21:51
- robindesbois
Re : question sur UFW
re
je sens que ca va finir dans l'ephemere
a+
Ah là oui les probabilités sont de 1 contre 7 293 282... Mais faut être indulgent, entre parler et penser à ufw et Gufw et ce vers quoi on a dévié, ffffff, va falloir de sacrées règles Iptables pour faire dévier ce qui a de plus ancré dans la tête des garçons depuis qu'ils ont vu leur première petite amie sans grand chose sur le "haut" Enfin je pense pas que soit à gros coup de renfort de DROP et de REJECT ou de FORWARD que ça va régler quelque chose. Mais oui, l’éphémère devrait régler la situation, de toutes façons, on y aura toujours accès, on changera jamais d'avis sur les bienfaits comparés d'un pare-feu, et d'un pare-choc.... généreux, envoûtant, puissant et bidonnant (ce dernier ce sera à l'âge de la retraite !)
Bon,j'DROP, bonne soirée les mecs... (charmante déviation cela-dit, j'aimerai en voir plus souvent...).
Dernière modification par robindesbois (Le 18/09/2015, à 02:27)
Hors ligne
#18 Le 18/09/2015, à 12:01
- robindesbois
Re : question sur UFW
VikToR,
je voulais te communiquer ce lien vers un mode d'emploi "pour débutant" du logiciel Iptables (si toutefois tu souhaites en savoir plus sur la commande Iptables qui donne les ordres au pare-feu Linux), il est ici : http://irp.nain-t.net/doku.php/130netfi … 0_iptables
@ plus :-)))))))
Hors ligne
#19 Le 18/09/2015, à 13:41
- ViKToR69
Re : question sur UFW
Merci robindesbois, je suis toujours preneur de sites intéressants !
Je vois qu'il y a eu de la modération ! Mince ! j'ai pas pu suivre la conversation !!
Dernière modification par ViKToR69 (Le 18/09/2015, à 13:43)
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#20 Le 18/09/2015, à 16:40
- robindesbois
Re : question sur UFW
Ok, alors une fois le premier assimilé, tu auras le principal, mais franchement je ne te le donne pas maintenant, il est un peu plus chaud à appréhender, mais le premier compris, ça ira déjà beaucoup plus facilement, @ plus ViKtor !
PS : Le grand soir c'est,demain....
Dernière modification par robindesbois (Le 18/09/2015, à 17:45)
Hors ligne
#21 Le 18/09/2015, à 22:56
- ViKToR69
Re : question sur UFW
PS : Le grand soir c'est,demain....
et bon zapping ...
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#22 Le 19/09/2015, à 09:53
- robindesbois
Re : question sur UFW
robindesbois a écrit :PS : Le grand soir c'est,demain....
et bon zapping ...
Ouaip, faut juste que je retrouve la télécommande du système TV, je m'en sers jamais !
edit : ouais c'est bon je l'ai, il faut que je branche le décodeur tv maintenant
Dernière modification par robindesbois (Le 19/09/2015, à 12:59)
Hors ligne
#23 Le 25/09/2015, à 13:11
- robindesbois
Re : question sur UFW
Cc ViKTor,
merci pour ton mess. privé, et je voulais te dire que je mérite le martifouette car j'ai loupé la soirée tv, alors, bon, je suis trop nul tant pis, m'en vais....
Hors ligne
#24 Le 25/09/2015, à 23:38
- ViKToR69
Re : question sur UFW
séance de rattrapage demain soir ... toujours sur RTL9 !!!!
Lubuntu 14.04 "The Trusty Tahr"
ConfigPC: Athlon XP 2000+|DFI AD77|1Go DDR|RADEON 7000 AGP
Hors ligne
#25 Le 27/09/2015, à 13:35
- robindesbois
Re : question sur UFW
Mon Dieu, je ne vois le message qu'aujourd'hui.
Là je crois que c'est la guillotine qui va m'être préparé, pour la prochaine fois que je loupe...
Hors ligne