Ufw : Questions

Ungars · Le 16/04/2012, à 15:07

Bonjour,
Je viens de lancer ufw sur mon ordinateur. Pas beaucoup de services tournent, donc les regles devraient être faciles à mettre en place.
Je souhaite dans un premier temps, tout interdire, et mettre les regles en fonction une à une. Je consulte donc la doc présente à ce sujet sur ce site.
Je lance :

sudo ufw default deny incoming

Puis :

sudo ufw default deny outgoing

Ce qui bloque tout, je n' ai pu accès à internet, donc c' est la première regle que je veux créer :

sudo ufw allow 80

Et je n' ai toujours pas accès à internet.
Mon statut :

Vers                       Action      Depuis
----                       ------      ------
80                         ALLOW IN    Anywhere

Qu' ai je oublié ?
J' aimerai me passer de l' interface graphique.

Merci pour votre aide, bon après midi.

Spitfire 95 · Le 16/04/2012, à 15:30

sudo ufw allow out 80/tcp # HTTP
sudo ufw allow out 43/tcp # DNS
sudo ufw allow out 443/tcp # HTTPS

En allow in tu n'autorise rien, à moins d'avoir un serveur HTTP (80 voire 443 si HTTPS), FTP (21), ou SSH (22).

Dernière modification par Spitfire 95 (Le 16/04/2012, à 15:31)

sauthess · Le 16/04/2012, à 15:47

Bonjour,

DNS c'est en UDP sur port 53.... Je ne connais pas ufw mais la commande me semble donc fausse...
A vu de nez :

sudo ufw allow out 53/udp

Spitfire 95 · Le 16/04/2012, à 15:49

sauthess a écrit :

Bonjour,
DNS c'est en UDP sur port 53.... Je ne connais pas ufw mais la commande me semble donc fausse...
A vu de nez :
sudo ufw allow out 53/udp

En fait non, aussi faux que moi je crois
C'est sur les deux, donc
sudo ufw allow out 53

==EDIT==
Ah non, 53/tcp semble être un fallback donc 53/udp est suffisant (testé et ça marche).

Dernière modification par Spitfire 95 (Le 16/04/2012, à 15:52)

sauthess · Le 16/04/2012, à 16:03

wikipedia a écrit :

DNS utilise en général UDP et le port 53. La taille maximale des paquets utilisée est de 512 octets. Si une réponse dépasse cette taille, la norme prévoit que la requête doit être renvoyée sur le port TCP 53

ok

Edit : j'ai un firewall fitrant les accès sortant et je n'ai que 53 udp et jamais aucun problème... Je pense que ce cas doit se produire une fois sur 1000000...

Dernière modification par sauthess (Le 16/04/2012, à 16:04)

Ungars · Le 16/04/2012, à 19:09

Merci à tous pour vos précisions. Il me reste quelques tests à faire, je vous tiens au courant de la suite, et évenutellement si j' ai des questions.
Bonne soirée.

Ungars · Le 17/04/2012, à 23:08

Bonsoir, je reviens vers vous. J' ai pratiquement réussi à faire ce que je voulais, sauf deux points :
- Je n' arrive toujours pas à faire fonctionner transmission. J' ai ouvert le port 51413 en allow out et in pour essai.

En allow in tu n'autorise rien, à moins d'avoir un serveur HTTP (80 voire 443 si HTTPS), FTP (21), ou SSH (22).

Justement, dans le cas de transmission, n' est il pas utile d' ouvrir le port en allow in ?
- J' envoi mes mails via mon serveur smtp. J' ai ouvert le port 25, cela fonctionne sans problème, mais je voudrais n' avoir la possibilité d' envoyer un mail que vers mon serveur. Je n' arrive pas à trouver la syntaxe. J' ai essayé :

sudo ufw allow out smtp 192.168.XX.XX

Mais cela ne semble pas être ça.
Merci pour votre aide, bonne soirée.

Ungars · Le 21/04/2012, à 10:10

Bonjour, je fais un up, je n' ai toujours pas réussi à regler ces deux problèmes. Tous les autres protocoles fonctionnes (Msn, ssh etc...)
Bon week end.

AlexandreP · Le 23/04/2012, à 06:15

La syntaxe est précisée dans le manuel (man ufw dans un terminal).

Autorise explicitement une exception pour communiquer de ton ordinateur 192.168.xx.xx vers ton serveur SMTP 10.x.x.x pour laisser sortir une telle communication. Puis, ajoute une seconde règle pour bloquer toutes les communications sortantes vers le port 25, afin d'empêcher l'envoi de courrier vers un autre serveur.

sudo ufw allow proto tcp from 192.168.xx.xx to 10.x.x.x port 25
sudo ufw deny proto tcp from 192.168.xx.xx to any port 25

À titre informatif, juste au cas où:
N'oublie pas que l'ordre de tes règles d'exception a une importance: les règles sont appliquées dans l'ordre, de la règle #1 jusqu'à la dernière règle que tu as configurée. Et dès qu'une communication rencontre une règle qui la concerne, celle-ci est appliquée, même si une autre règle pourrait la concerner plus loin. Dès qu'une règle est appliquée, les règles suivantes sont ignorées. Exemple à ne pas faire: l'inverse de ce que j'ai écrit plus haut:

sudo ufw deny proto tcp from 192.168.xx.xx to any port 25
sudo ufw allow proto tcp from 192.168.xx.xx to 10.x.x.x port 25

La première règle a toujours préséance. Ainsi, une communication sortante de ton PC vers ton serveur SMTP sera systématiquement refusée:
- la communication passe bien par le protocole TCP;
- la communication provient bien de ton ordinateur;
- la communication est à destination de 10.x.x.x, ce qui entre dans le mot-clé any;
- la communication est bien à destination du port 25.
Cette règle est appliquée, toutes les règles suivantes sont ignorées. Donc, ton exception pour communiquer vers ton serveur SMTP sera systématiquement ignorée. Tes règles doivent être configurées de la plus précise jusqu'à la plus générale.

Ungars · Le 23/04/2012, à 23:48

Salut,
Merci de ta réponse et pour me consacrer de ton temps.
Pour transmission, as tu une idée d' ou peut venir mon problème ?

Bonne soirée.

AlexandreP · Le 24/04/2012, à 05:14

Salut,

Ungars a écrit :

Pour transmission, as tu une idée d' ou peut venir mon problème ?

Si tu souhaites proposer des fichiers torrents en téléchargement, il faudra effectivement que tu autorises, dans UFW, les communications entrantes (allow in) pour le port en question -- vérifie dans la configuration de Transmission s'il s'agit bien du port TCP 51413. Au besoin, tu peux aussi changer ce port dans Transmission.

Assure-toi aussi que le pare-feu de ton routeur, s'il est activé, autorise les connexions entrantes sur ce port et les redirige vers ton ordinateur. En effet, si tu laisses entrer les connexions dans UFW, mais qu'elles sont bloquées en amont, bah, les connexions ne passeront pas.

Haleth · Le 24/04/2012, à 20:14

Sinon, pour mettre un bon firewall, c'est comme ca (en 2 lignes):

iptables -F
iptables -X

Hop, c'est bouclé et t'es tranquille !

Ungars · Le 27/04/2012, à 12:02

Merci à tous pour vos réponses.
Pour alexandre, je pense d' ou vient mon erreur, je n' avais pas précisé le protocole tcp, mais uniquement le numéro de port, tu penses que cela peut venir de là ?
Pour haleth, je vais regarder du coté d' iptables, mais ufw que je ne connaissais pas me semble plus accessible.

Haleth · Le 27/04/2012, à 12:04

C'est sur qu'iptables est mon accessible, mais bon, y'a que 2 petites lignes à taper, c'est pas la mort non plus

Ungars · Le 27/04/2012, à 12:11

Bon apparament cela ne fonctionne toujours pas....
C' est assez etrange. Le pare feu d' activé, j' ai quelques pairs d' activés, mais pas d' émission. J' éteinds le pare feu, j' ai plus de pairs d' acivés, et des émissions. Mais ce n' est pas systématique...
Mon ufw status :

Vers                       Action      Depuis
----                       ------      ------
80                         ALLOW       Anywhere
21                         ALLOW       Anywhere
22                         ALLOW       Anywhere
666                        ALLOW       Anywhere
51413                      ALLOW       Anywhere
51413/tcp                  ALLOW       Anywhere

80/tcp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
21                         ALLOW OUT   Anywhere
22                         ALLOW OUT   Anywhere
666                        ALLOW OUT   Anywhere
110                        ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
1863                       ALLOW OUT   Anywhere
6891                       ALLOW OUT   Anywhere
8001                       ALLOW OUT   Anywhere
51413/tcp                  ALLOW OUT   Anywhere

Je suis derrière une Freebox, mais je ne pense pas que le routeur y soit pour quelque chose, avant d' installer ufw je ne m' en étais pas préocuppé, et cela fonctionnait.
Merci pour votre aide.

Ungars · Le 28/04/2012, à 20:19

Bonsoir, je fais un up, n' ayant toujours pas réussi à vous d' ou venait mon problème avec transmission.

demonipuch · Le 28/04/2012, à 21:45

Bonsoir

Essayez avec le port UDP 51413 au lieu de TCP.

Ungars · Le 28/04/2012, à 22:47

Salut, merci pour ta réponse. Et non toujours pas... La seule solution est de debloquer ufw pour pouvoir accéder à transmission. Il n' y a que ce port là qu' il faut ouvrir ? Apparament oui, mais là je ne comprends pas...
Par contre, ufw en fonction ou non, je constate que si je teste le port comme le propose le menu édition -> préférences -> réseau, il est toujours fermé (donc même quand transmission fonctionne) .
Ca m' échappe...

AlexandreP · Le 30/04/2012, à 01:59

Re!

Haleth a écrit :

Sinon, pour mettre un bon firewall, c'est comme ca (en 2 lignes):
iptables -F
iptables -X
Hop, c'est bouclé et t'es tranquille !

Je ne suis pas un expert des pares-feu, mais il me semble que ces commandes sont mal indiquées afin d'implanter un "bon firewall", non?

Si je me réfère au manuel de iptables (man iptables), ces commandes vont supprimer toutes les chaînes des tables de filtrage de iptables. Après rapide test, une fois ces commandes appliquées, plus aucune chaîne de filtrage n'existe et les politiques par défaut de iptables sont les suivantes:
- toutes les communications entrantes sont acceptées (-P INPUT ACCEPT)
- toutes les communications redirigées sont redirigées (-P FORWARD ACCEPT)
- toutes les communications sortantes sont acceptées (-P OUTPUT ACCEPT)
En gros, si j'ai bien décodé la chose: c'est une désactivation du pare-feu.

Ai-je bien décodé la chose?

@Ungars: Comme je l'ai dit, je ne suis pas un expert des pares-feu. Cela dit, je pense qu'il pourrait t'être intéressant de repartir sur une base neuve. En regardant rapidement ton fichier de statut de UFW, je constate que certaines règles apparaissent mais ne sont simplement pas appliquées. Je ne saurais dire si elles se jouent toutes l'une contre l'autre, mais y faire un petit ménage te serait sans doute utile pour y voir plus clair.

Par exemple, les règles en rouge ne sont simplement pas appliquées, car une règle définie précédemment a préséance:

Vers Action Depuis
---- ------ ------
80 ALLOW Anywhere
21 ALLOW Anywhere
22 ALLOW Anywhere
666 ALLOW Anywhere
51413 ALLOW Anywhere
51413/tcp ALLOW Anywhere
80/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
53/udp ALLOW OUT Anywhere
21 ALLOW OUT Anywhere
22 ALLOW OUT Anywhere
666 ALLOW OUT Anywhere
110 ALLOW OUT Anywhere
25/tcp ALLOW OUT Anywhere
1863 ALLOW OUT Anywhere
6891 ALLOW OUT Anywhere
8001 ALLOW OUT Anywhere
51413/tcp ALLOW OUT Anywhere

Repars à neuf en gardant en tête ces informations:
- les règles sont appliquées dans l'ordre, de la première à la dernière;
- lorsqu'un paquet IPv4 se conforme à une règle, celle-ci est appliquée. Les règles suivantes sont ignorées;
- donc, crée tes règles de la plus spécifique à la plus générale;
- tu ne peux pas remplacer une règle. Pour annuler une règle et en définir une autre, tu dois d'abord supprimer la règle existante puis en créer une nouvelle.

mad.guer · Le 30/04/2012, à 02:15

pour envoyer au noyau les règles iptables on commence par :
iptables -F
iptables -X
qui effacent toutes les règles qui sont sur la machine
puis on interdit tout trafic réseau :
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWAED DROP
c'est ensuite qu'on ajoute les régles correspondant aux accès désirés :
par exemple pour accepter le trafic xeb entrant :
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
et ainsi de suite....
c'est loin des deux lignes de Haleth qui ne faisaient que tout accepter....

AlexandreP · Le 30/04/2012, à 04:50

mad.guer a écrit :

pour envoyer au noyau les règles iptables on commence par :
iptables -F
iptables -X
qui effacent toutes les règles qui sont sur la machine
[...]
c'est loin des deux lignes de Haleth qui ne faisaient que tout accepter....

Merci, c'est bien ce que j'avais cru comprendre: ces deux commandes réinitialisent les règles de iptables afin de reconstruire une configuration à neuf.

Haleth · Le 30/04/2012, à 14:29

Ha, excuse moi, j'avais pas compris que tu aimes la souffrance ..

Si tu regardes les trois utilisations d'un firewall :

1) bloquer les services légaux
2) faire chier l'utilisateur en l'empechant de se connecter à des services légaux
3) modifier les paquets en temps réel

Dans le cas d'un utilisateur classique, il ne reste que le 2eme cas ..

Ungars · Le 30/04/2012, à 15:36

Bonjour,
J' ai tout effacé, reparti à zéro, et mis le minimum de regles :

[ 1] 80/tcp                     ALLOW OUT   Anywhere (out)
[ 2] 443/tcp                    ALLOW OUT   Anywhere (out)
[ 3] 53/udp                     ALLOW OUT   Anywhere (out)
[ 4] 51413/tcp                  ALLOW OUT   Anywhere (out)
[ 5] 51413/tcp                  ALLOW IN    Anywhere

La ligne 4 est elle vraiment utile ?

Edit : avec la ligne 4 ou pas, cela ne fonctionne toujours pas.

Dernière modification par Ungars (Le 30/04/2012, à 15:37)

demonipuch · Le 30/04/2012, à 17:22

J'ai vérifié avec wireshark, transmission utilise les ports 51413 TCP et UDP, en entrée et sortie.

Ungars · Le 30/04/2012, à 20:14

80/tcp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
53/udp                     ALLOW OUT   Anywhere
51413/tcp                  ALLOW OUT   Anywhere
51413/udp                  ALLOW OUT   Anywhere

Voici ma dernière config, toujours pareil malheureusement...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 16/04/2012, à 15:07

Ufw : Questions

#2 Le 16/04/2012, à 15:30

Re : Ufw : Questions

#3 Le 16/04/2012, à 15:47

Re : Ufw : Questions

#4 Le 16/04/2012, à 15:49

Re : Ufw : Questions

#5 Le 16/04/2012, à 16:03

Re : Ufw : Questions

#6 Le 16/04/2012, à 19:09

Re : Ufw : Questions

#7 Le 17/04/2012, à 23:08

Re : Ufw : Questions

#8 Le 21/04/2012, à 10:10

Re : Ufw : Questions

#9 Le 23/04/2012, à 06:15

Re : Ufw : Questions

#10 Le 23/04/2012, à 23:48

Re : Ufw : Questions

#11 Le 24/04/2012, à 05:14

Re : Ufw : Questions

#12 Le 24/04/2012, à 20:14

Re : Ufw : Questions

#13 Le 27/04/2012, à 12:02

Re : Ufw : Questions

#14 Le 27/04/2012, à 12:04

Re : Ufw : Questions

#15 Le 27/04/2012, à 12:11

Re : Ufw : Questions

#16 Le 28/04/2012, à 20:19

Re : Ufw : Questions

#17 Le 28/04/2012, à 21:45

Re : Ufw : Questions

#18 Le 28/04/2012, à 22:47

Re : Ufw : Questions

#19 Le 30/04/2012, à 01:59

Re : Ufw : Questions

#20 Le 30/04/2012, à 02:15

Re : Ufw : Questions

#21 Le 30/04/2012, à 04:50

Re : Ufw : Questions

#22 Le 30/04/2012, à 14:29

Re : Ufw : Questions

#23 Le 30/04/2012, à 15:36

Re : Ufw : Questions

#24 Le 30/04/2012, à 17:22

Re : Ufw : Questions

#25 Le 30/04/2012, à 20:14

Re : Ufw : Questions

Pied de page des forums