[Résolu] Pare-feu ou pas dans UBUNTU de base?

emub · Le 04/05/2009, à 02:06

Bonjour,

Je m'interroge sur le pare-feu et LINUX.

je vois vois dans "Simple comme Ubuntu À la découverte de Linux" de Didier Roche :

Ubuntu utilise un firewall par défaut nommé iptable. Sa politique par défaut est très stricte : toute communication initiée de l’extérieur vers les ports est interdite. Cependant, ce dernier se configure dans d’obscurs fichiers textes.
Pas de problème, une interface graphique existe et se nomme FireStarter.
Comprenons-nous bien : son installation ne vous est nécessaire que si vous souhaitez configurer facilement le firewall et que ses paramètres par défaut ne vous conviennent pas. Qu’elle soit installée ou non ne change en rien votre protection, puisque le firewall est déjà activé dès l’installation de Ubuntu. Il est donc inutile de faire tourner en permanence FireStarter ! Le firewall iptable n’a pas besoin de cette interface pour fonctionner et vous pouvez donc, à tout moment, fermer la fenêtre de FireStarter sans avoir de craintes ! FireStarter est installable par le biais du paquet du même nom.

Déjà je crois que le pare-feu c'est netfilter et puis si tout ce qui viens de l'extérieur est bloqué alors même l'internet passe pas...je comprends pas bien.

Après je vois en tapant « sudo iptables -L » dans le terminal comme indiqué dans la doc en ligne au chapitre Netfilter & Iptables :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Mais alors "tout passe dans toutes les directions (policy ACCEPT)".

Donc , contrairement a ce qu'annonce Didier Roche, moi je crois pas qu'y a un pare-feu actif quand on installe UBUNTU.
C'est quand même un petit peu embêtant pour un système qui ce veut secure d'origine.

Alors j'installe Firestater et après un nouvel « sudo iptables -L » y a plein de texte un peu compliqué...
Et puis les règles du trafic entrant et sortant sont pas non plus super simples pour débloquer samba ou la webcam dans amsn...

Du coup je désinstalle Firestarter et je me rappelle ZoneAlarm dans windows qui est un logiciel de protection vraiment conçu pour les débutants... et qui permettait au moins de voir les tentatives de connexions.

Donc est ce que je peux vraiment me passer de firestater et donc de pare-feu et, pour les développeurs, à quand une interface vraiment simple?

Merci pour vos avis...

Dernière modification par emub (Le 06/05/2009, à 21:32)

_Raum_ · Le 04/05/2009, à 12:15

Ehm.... oui et non....

Mon avis, ZoneAlarm, c'est bien tu as un pop-up qui te dit "ah, telle application a tenté d'aller sur internet pour tel port vers tel port, voulez-vous l'autoriser ?", tu cliques sur oui ou non, puis il te repose un question "voulez-vous créer un profil pour jesépakoajecomprendéjàpu"

Et donc finalement, tu te retrouves rapidement, voire très rapidement, à ne plus que cliquer sur "oui" à tout et n'importe quoi sans plus faire attention... et tu as une mégaliste de règles dans ton ZoneAlarm.... qui finalement devient une vraie passoire.

Maintenant, passons au monde linux... erh... c'est vrai que cela peut paraître plus compliqué mais, in fine, c'est toujours "source" vers "destination" pour "port du service demandé".... les flux partent (outbound) ou viennent (inbound) sur ta machine.

Après il te suffit de chercher les infos sur le protocole, de demander ces infos, de regarder les logs de firestarter ou encore de faire du TCPDump.

Dans firestarter, tu vois ce qui est rejeté, en rouge, et tu vois

florianderson69 · Le 04/05/2009, à 12:40

Juste une petite précision technique :
Le pare-feu, intégré au noyau Linux et donc pas spécifique à Ubuntu, s'appelle Netfilter. C'est aussi cette aplli qui gère les fonctions de routage et de NAT, par exemple...
IPTables est une interface de configuration/administration, en mode texte, au même titre que FireStarter en est une graphique

#hehedotcom\'isback · Le 04/05/2009, à 12:49

Sans entrer dans les détails. Si tu as un Nbox, tu es déja protégé par son filtrage.
Uniquement sont autorisés, les connexions demandées par ton poste, pas en provenance de l'extérieur.

Donc, par défaut+le fait que ce soit un systeme gnu/linux, t'es encore plus protégé qu'un Win+Tout ce que tu voudras...

pandorax · Le 04/05/2009, à 13:27

C'est exactement la même réflexion que je me suis fait, en configurant iptable.

Linux , il faut mettre la main à la pâte, et c'est pénible au début mais au final on y gagne.
Ce qui n'empêche que je ne comprends pas qu'Ubuntu qui se veut user friendly, n'ai pas fait une configuration de base pour iptable (?????)
Peut être parceque çà irait à l'encontre de la philosophie linux, pourtant quand il s'agit de patcher le noyau pour en limiter l'accès, il ne se gêne pas.

Dernière modification par pandorax (Le 04/05/2009, à 13:30)

_Raum_ · Le 04/05/2009, à 15:11

Ehm, sous Windows... tu n'as pas forcément de "configuration de base" pour ZoneAlarm... je me souviens de "longues séances" de cliquages....

Bref... pour moi le meilleur moyen pour sécuriser ton LAN, c'est encore d'installer une passerelle Linux sécurisée, voire une passerelle Linux simple....

Tu te fais ta configuration, tu mets en place tes services pour "limiter" les flux de ton LAN vers l'internet avec proxies, etc... et après c'est que du bonheur.

loopx · Le 04/05/2009, à 15:27

NetFilter = partie kernel
iptables = interface de configuration

NetFilter et iptables, on parle en fait de "la même chose".

Alors, le faite de dire que le pare feu est actif ... Oui, c'est vrai ... C'est vrai car il est déjà compilé et "pourrait" être activé. C'est comme une allée de garage ... La grille est bien présente, mais ce n'est pas pour ca qu'elle est fermée ; donc, la grille est "active" mais pas spécialement "fermée".

Pour en revenir à la configuration initial de iptables/NetFilter sur Ubuntu, elle accepte tout en entrée, tout en sortie .. et tout en forward (pour le routage) et donc, aucune restriction.

L'intéret d'avoir un pare-feu ? Aucun pour un poste client qui "pensent" simplement fermer des ports qui ne sont même pas ouvert. L'intéret d'un pare-feu est de protéger un service histoire de ne pas le rendre accessible à tout pc mais uniquement à une partie. L'intéret d'un pare-feu sur des ports fermé et inutile ou alors, pourrait être intéressante si des "user" simple ont un accès ssh : ca évite qu'un ptit con ne crée .. un proxy sock 5 pour dire à ses potes : le chemin libre, c'est par ICI ... le ICI serait pré-fermé de base par l'administrateur et l'utilisateur, bien qu'arrivant à ouvrir une socket d'écoute .. ne pourrait voir arriver aucun client vu que le pare-feu les bloquerais avant même de communiquer avec le service.

Sur mon serveur maintenant, j'ai mis un pare-feu qui, de base, bloque TOUT en entrée .. et j'ai ouvert les ports intéressant ; en faisant ainsi, certe on bloque les ports déjà fermé. Mais, ou est le problème à cela ? Ben aucun, c'est pas plus mal, d'autant que c'est un serveur et donc, plus de risque.

ZoneAlarme, pour moi, c'est une véritable plaie. On dit que microsoft demande tout le temps des permissions .. ZoneAlarme le faisait déjà avant ; c'est encore plus pénible.

Dernière chose : un pare feu pourrait ne pas être nécessaire car, sur un pc, c'est bien les services qui pose des problèmes de failles et non les ports fermé (si aucun utilisateur autre que vous à réellement accès à la machine). Donc, si les services sont suffisament endurci, il n'y a aucun intéret de mettre un pare-feu par dessus. Malheureusement, il y a toujours des failles (erreur humaine) et donc, il est intéressant d'accepter uniquement quelques personnes )à un service pour être sûr qu'un chinoix ou un japonais ne vienne pas essayer de craquer un "serveur qu'il a pécher au hazard" ... et qui, dans le pire des cas, arriverais à utiliser une failles logiciel ...

Mes clients n'ont aucun pare feu ; mais mon serveur ssh ne possède pas un compte "root/root" ouvert à tous ...

loopx · Le 04/05/2009, à 15:30

_Raum_ a écrit :

Ehm, sous Windows... tu n'as pas forcément de "configuration de base" pour ZoneAlarm... je me souviens de "longues séances" de cliquages....
Bref... pour moi le meilleur moyen pour sécuriser ton LAN, c'est encore d'installer une passerelle Linux sécurisée, voire une passerelle Linux simple....
Tu te fais ta configuration, tu mets en place tes services pour "limiter" les flux de ton LAN vers l'internet avec proxies, etc... et après c'est que du bonheur.

Insuffisant, car si un pc windows contaminé lance une connexion vers l'extérieur, il y a de forte chance que tu ne la voie pas, que tu ne te doute pas de la dangerausité et donc, .. ta passerelle ne servirais à rien, sauf à relayer l'attaque ...

Il est impossible de filter la sortie d'une machine ; ce serait vraiment pénible surtout si tu utilise beaucoup de logiciel et que tu test de nouveau. Ouvrir les ports en sortie juste pour donner l'accès à un logiciel (pour mise à jour) serait la pire des horreur.

Zakhar · Le 04/05/2009, à 16:10

Mais non, vous n'avez rien compris...

....

... le firewall il est dans OpenOffice, Madame la Ministre l'a bien précisé

Sinon plus sérieusement, effectivement si tu as une *Box (en mode routeur) tu es suffisamment protégé.

Si ce n'est pas le cas, tu vas sur la documentation IPTables sur ce site, tu as 3 commandes à passer pour te protéger :

- Rejeter par défaut les trucs entrants
- Accepter les connexions déjà ouvertes (pour qu'on puisse répondre à une sollicitation venant de ton PC)
- Accepter tout sur l'interface loopback (local)
(- Optionnellement accepter les "pings")

Pourquoi ces règles ne sont pas mises par défaut... tout simplement ce serait ennuyeux pour tous ceux (nombreux) qui ont une *Box. Dès que tu veux paramétrer une autorisation supplémentaire il faut penser à le faire aussi sur IPTables.

Tu auras alors un truc du genre :

Chain INPUT (policy DROP)
target     prot opt in     out     source               destination         
ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     all  --  lo     any     anywhere             anywhere

Dernière modification par Zakhar (Le 04/05/2009, à 16:15)

emub · Le 04/05/2009, à 20:44

Merci,
je vais à priori continué avec la config par défaut d'UBUNTU.

J'ai actuellement un modem-routeur D-link DSL-G624T dont la configuration du pare-feu est :

Protection DoS et contre les scans de ports Désactivés
Filtrage des services :
Oui
Ping à partir du réseau externe
Telnet à partir du réseau externe
FTP à partir du réseau externe
DNS à partir du réseau externe
RIP à partir du réseau externe
DHCP à partir du réseau externe
Non
IKE à partir du réseau externe
ICMP de LAN

Je pense que c'est suffisant.

Mais j'ai fait un test de sécurité avec zebulon.fr qui me dit que j'ai le port 22 ssh ouvert.
Est ce normal?

#hehedotcom\'isback · Le 04/05/2009, à 20:53

comment es tu relié à internet?
- via un modem?
- via un routeur (avec routage actif)?

Dans le premier cas, oui, car tu es relié en direct, dans ce cas, il vaut mieux établir des règles.
Dans le second, oui si tu activé le nat du port 22 et que tu as un serveur ssh, sinon non, et c'est une "backdoor" de ton fai ^^

Je viens de faire un test et un nmap...zebulon, c'est un peu du grand n'importe quoi le résultat ^^

Dernière modification par #hehedotcom\'isback (Le 04/05/2009, à 20:59)

emub · Le 04/05/2009, à 23:14

Ben c'est un modem routeur adsl ethernet et wifi.
Il est branché sur la prise téléphonique et marche en wifi avec mon ordi.

Au chapitre routage il est indiqué :

Table de routage
Les routes IP permettent de définir des passerelles et des bonds qui seront utilisés pour acheminer le trafic de données. La passerelle précédente et les paramètres IP de réseau local définis sur les ordinateurs hôtes étant a priori suffisants, les utilisateurs n'ont généralement pas besoin d'utiliser cette fonction.

Le masque de sous-réseau est 255.255.255.0

mais je pense que son pare-feu bloque surement les entrées indésirables mais pas les sorties

Sinon je n'ai pas, enfin à ma connaissance, activé le nat du port 22 et je n'ai pas de serveur ssh.

Donc j'aurais une porte dérobée dans mon ordi...Est ce possible de s'en débarrasser?

Dernière modification par emub (Le 05/05/2009, à 14:30)

#hehedotcom\'isback · Le 05/05/2009, à 14:41

Bonjour,

J'exagérais concernant la backdoor.
Il faudrait savoir quel est le fai et le modèle du routeur, pour savoir si effectivement c'est possible.

poste le retour de

sudo netstat -tpua

Cela va t'indiquer ce qui est sur les ports actuellement

_Enchained · Le 05/05/2009, à 15:23

sudo ufw enable

et le pare-feu d'ubuntu (Uncomplicated FireWall) est activé ... cf. la page de doc : http://doc.ubuntu-fr.org/ufw

buntu35 · Le 05/05/2009, à 15:37

Zakhar a écrit :

... le firewall il est dans OpenOffice, Madame la Ministre l'a bien précisé

merci pour la poillade

Il y a l'option graphique de ufw : gufw ! conviviale et très ergonomique.

http://doc.ubuntu-fr.org/ufw
http://doc.ubuntu-fr.org/gufw
http://gufw.tuxfamily.org/fr/index.html

@+

#hehedotcom\'isback · Le 05/05/2009, à 15:47

J'ai open-office 3, je crois qu'il fait antivirus aussi

emub · Le 05/05/2009, à 19:49

Bou Diou! quelle galère...

Alors pour #hehedotcom\'isback voilà le resultat :

~$ sudo netstat -tpua
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 localhost:7634 *:* LISTEN 3443/hddtemp
tcp 0 0 localhost:ipp *:* LISTEN 3864/cupsd
tcp 0 0 localhost:smtp *:* LISTEN 3377/exim4
tcp 0 0 192.168.1.2:57412 www.futura:www ESTABLISHED 12549/firefox
tcp 24 0 192.168.0.1:54599 192.168.0.1:netbios-ssn ESTABLISHED 5450/gvfsd-smb-brow
tcp 0 0 192.168.1.2:59761 www.april.org:www ESTABLISHED 12549/firefox
tcp 0 0 192.168.1.2:57418 www.futura:www ESTABLISHED 12549/firefox
tcp 24 0 ori:54321 ori:netbios-ssn ESTABLISHED 5450/gvfsd-smb-brow
tcp 0 0 192.168.1.2:54034 www.ubuntu:www ESTABLISHED 12549/firefox
tcp 0 0 localhost:7634 localhost:38523 TIME_WAIT -
tcp6 0 0 [::]:netbios-ssn [::]:* LISTEN 3477/smbd
tcp6 0 0 [::]:microsoft-ds [::]:* LISTEN 3477/smbd
udp 0 0 192.168.0.1:netbios-ns *:* 3473/nmbd
udp 0 0 192.168.1.2:netbios-ns *:* 3473/nmbd
udp 0 0 *:netbios-ns *:* 3473/nmbd
udp 0 0 192.168.0.1:netbios-dgm *:* 3473/nmbd
udp 0 0 192.168.1.2:netbios-dgm *:* 3473/nmbd
udp 0 0 *:netbios-dgm *:* 3473/nmbd
udp 0 0 192.168.1.2:55307 mygateway1.ar7:domain ESTABLISHED -
udp 0 0 *:55066 *:* 3836/avahi-daemon:
udp 0 0 *:bootpc *:* 10315/dhclient
udp 0 0 *:mdns *:* 3836/avahi-daemon:
udp 0 0 192.168.1.2:ntp *:* 10429/ntpd
udp 0 0 192.168.0.1:ntp *:* 10429/ntpd
udp 0 0 localhost:ntp *:* 10429/ntpd
udp 0 0 *:ntp *:* 10429/ntpd
udp6 0 0 fe80::216:17ff:feaa:ntp [::]:* 10429/ntpd
udp6 0 0 fe80::214:85ff:fed5:ntp [::]:* 10429/ntpd
udp6 0 0 ip6-localhost:ntp [::]:* 10429/ntpd
udp6 0 0 [::]:ntp [::]:* 10429/ntpd

Sinon j'ai essayé :
ufw m'a bloqué 1 fois ce port 22 avec une commande deny , j'ai cru au miracle mais ça n'a pas durée.
gufw est très joli mais n'indique rien de ce qu'il faut bloqué ou autoriser et ne travaille que sur le trafic entrant.
firestater est mon préféré sur la forma mais non seulement ne ferme pas ssh/tcp mais en plus me bloque samba (samba autorisé pour tout le monde en trafic entrant et le sortant totalement permissif)
Précision : je suis en dhcp pour internet (192.168.1.1-255) et en manuel pour le petit réseau filaire de 2 micros (192.168.0.1-2),

Donc je vire tout et vaille que vaille, on verra bien.
Ah oui, je suis en train de me demander si c'est pas jaunty qui serait pas au point : alarm-clock, la manipulation du gps tomtom via la "BoiteVirtuelle du soleil", pulseaudio... ne fonctionne plus.

Y a moyen de réinstaller Intrepid sans tout casser?

#hehedotcom\'isback · Le 05/05/2009, à 19:51

pas de 22 utilisé, donc c'est bon au niveau de ton poste.
Il faudrait s'intéresser au routeur.

emub · Le 05/05/2009, à 20:03

Ben non je m'en sert pas sauf qu'il est ouvert et donc sauf erreur une porte d'entrée potentielle. Mais je m'inquiète peut être pour rien...

Par contre je ne comprends toujours pas ce que je peux faire au routeur.

#hehedotcom\'isback · Le 05/05/2009, à 20:06

emub a écrit :

Par contre je ne comprends toujours pas ce que je peux faire au routeur.

nmap le pour voir ses ports ouverts; ou sinon laisse tomber, tu dois te prendre la tête pour pas grand chose

*nmap est un scanner de ports en ligne de commande

emub · Le 05/05/2009, à 20:28

Alors voilà pour mon adresse IP du moment:

Starting Nmap 4.76 ( http://nmap.org ) at 2009-05-05 20:21 CEST
Interesting ports on AFontenayssB-152-1-11-123.w82-121.abo.wanadoo.fr (82.121.105.123):
Not shown: 996 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds

Il est ouvert non?

#hehedotcom\'isback · Le 05/05/2009, à 20:32

fait le meme test avec comme ip le routeur coté lan et dis nous de quel modèle s'agit il.

emub · Le 05/05/2009, à 20:53

Voilà tous les du routeur et PC :

MODEM : $ nmap 82.121.105.123
Not shown: 996 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
80/tcp open http
ROUTEUR :$ nmap 192.168.1.1
Not shown: 996 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
80/tcp open http
PC : $ nmap 192.168.1.2
Not shown: 998 closed ports
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds

La boite est un D-Link DSL-G624T

#hehedotcom\'isback · Le 05/05/2009, à 20:57

tu as un souci, débranche tout et lis la doc du routeur

j'ai un serveur ssh au bout ...

 ssh root@82.121.105.123
The authenticity of host '82.121.105.123 (82.121.105.123)' can't be established.
RSA key fingerprint is 98:6a:35:b0:54:11:72:a3:df:ce:89:fc:ec:6f:5c:5f.
Are you sure you want to continue connecting (yes/no)?

emub · Le 06/05/2009, à 19:42

Bonjour,
Je pense que c'est réparé!
Merci de ton alerte hehedotcom\'isback

En fait le problème se posait déjà en 2006.
Extrait forum comment ça marche:

d-jacky :
Je viens d'obtenir la réponse du support technique de D-link :
ils me disent que " Le port 22 n'est pas ouvert mais visible il sera complètement fermé avec le prochain firmware. "

J'ai donc mis à jour le micrologiciel v3.10 de 2007.
Bon faut remettre les paramètres usines et tout reconfigurer (codes, wifi :puissance émetteur et mac des clés usb ...) mais j'en ai profité pour passer de wap en wap2.

Et donc le test zebulon est bon. Et:

Starting Nmap 4.76 ( http://nmap.org ) at 2009-05-06 18:00 CEST
Interesting ports on 198.162.1.1:
Not shown: 807 closed ports, 192 filtered ports
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 48.53 seconds

Cela étant la commande ssh root marche quand même avec l'adresse IP du modem.

Je ne vais pas activer netfilter pour l'instant.

Merci à tous.

Dernière modification par emub (Le 06/05/2009, à 21:31)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/05/2009, à 02:06

[Résolu] Pare-feu ou pas dans UBUNTU de base?

#2 Le 04/05/2009, à 12:15

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#3 Le 04/05/2009, à 12:40

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#4 Le 04/05/2009, à 12:49

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#5 Le 04/05/2009, à 13:27

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#6 Le 04/05/2009, à 15:11

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#7 Le 04/05/2009, à 15:27

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#8 Le 04/05/2009, à 15:30

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#9 Le 04/05/2009, à 16:10

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#10 Le 04/05/2009, à 20:44

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#11 Le 04/05/2009, à 20:53

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#12 Le 04/05/2009, à 23:14

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#13 Le 05/05/2009, à 14:41

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#14 Le 05/05/2009, à 15:23

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#15 Le 05/05/2009, à 15:37

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#16 Le 05/05/2009, à 15:47

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#17 Le 05/05/2009, à 19:49

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#18 Le 05/05/2009, à 19:51

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#19 Le 05/05/2009, à 20:03

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#20 Le 05/05/2009, à 20:06

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#21 Le 05/05/2009, à 20:28

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#22 Le 05/05/2009, à 20:32

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#23 Le 05/05/2009, à 20:53

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#24 Le 05/05/2009, à 20:57

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

#25 Le 06/05/2009, à 19:42

Re : [Résolu] Pare-feu ou pas dans UBUNTU de base?

Pied de page des forums