Pages : 1
#1 Le 19/11/2013, à 13:27
- xunil2003
Pare-feu Kubuntu
Bonsoir,
Je suis nouveau sous Kubuntu 12.04.3 LTS X64.
En effectuant une recherche sur google, pour savoir si Kubuntu à un pare-feu intégré, je suis tombé sur la page "ufw de ubuntu".
http://doc.ubuntu-fr.org/ufw
Il est clairement indiqué pour activer le pare-feu taper : sudo ufw enable.
j'ai juste tapé ceci :
laurent@PC-Bureau-laurent:~$ sudo ufw enable
Le pare-feu est actif et lancé au démarrage du système
laurent@PC-Bureau-laurent:~$
Est-ce que maintenant toute tentative d'intrusion est bloquée ?
Depuis je ne peux plus voir la TV par ADSL sur mon pc de mon opérateur Free avec FreetuxTV.
Pour les flux ADSL Freebox V5 et V6
Entrée UPD 212.27.38.253
Je voudrai savoir comment depuis le terminal :
Ajouter un port TCP et UDP ?
Supprimer un port TCP et UDP.?
La policy
laurent@PC-Bureau-laurent:~$ sudo ufw status verbose
[sudo] password for laurent:
État : actif
Journalisation : on (low)
Par défaut : deny (entrant), allow (sortant)
Nouveaux profils : skip
laurent@PC-Bureau-laurent:~$
Comment créer/modifier une règle ?
Règle iptables
laurent@PC-Bureau-laurent:~$ sudo iptables -L
[sudo] password for laurent:
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ufw-user-forward all -- anywhere anywhere
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere state INVALID
DROP all -- anywhere anywhere state INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere state INVALID limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
DROP all -- anywhere anywhere
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere state NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source destination
laurent@PC-Bureau-laurent:~$
Es-ce que ma machine linux est protéger actuellement ?
Je voudrais ouvrir les ports pour :
Amule
ssh
Apache (/var/www/siteweb)
Samba (Pour mes dossiers partagés)
FreetuxTV (Tv par adsl)
Ekiga (Telephonie Freebox SIP)
Quelqu'un peut-il me conseiller, m'aiguiller ?
Merci.
Dernière modification par xunil2003 (Le 19/11/2013, à 13:38)
- AMD R9 5950x 64 Go Ram / Intel Pentium I7 960 - 12 Go Ram - 6 T0 - Kubuntu 12.04 x64 / Kubuntu 14.04 x64 / Kubuntu 16.04 x64 / Kubuntu 18.04 x64 / Kubuntu 20.04 x64 / Mint
- DreamPlug Multi Boot / Marvel 1.22 Ghz / Architecture ARM / 512 Mo Ram / Carte-sd 16 Go class 10 / 5 Watts / Debian Squeeze 2.6.39.4
- Raspberry PI 1 / Raspberry PI 2 / Raspberry PI 3 / Raspberry PI 4 : 4Gb
JE SUIS CHARLIE
Hors ligne
#2 Le 20/11/2013, à 02:09
- Slystone
Re : Pare-feu Kubuntu
Bonjour
Il y a plusieurs choses qui demandant clarification.
D'une part, tu as un parefeu actif par défaut dans Kubuntu, il n'y a pas besoin d'en ajouter un en plus. Celui par défaut adapte les règles suivant les logiciels que tu utilises.
D'autre part ta box intègre aussi un parefeu par défaut, il te sera donc nécessaire de faire des redirections depuis les ports externes vers les ports internes (adresses locales). On appelle ça natter la box. La procédure est différente pour chaque box, il faut adapter suivant le modèle.
Enfin ufw est un frontend pour Iptables, mais je ne pense pas qu'il soit bien nécessaire, je t'encourage à utiliser directement Iptables (et donc désactive ufw).
Pour tout ça je t'encourage à consulter la doc, tout devrait y être expliqué.
«Rigid, the skeleton of habit alone upholds the human frame.» - Virginia Woolf.
Hors ligne
#3 Le 20/11/2013, à 08:01
- xunil2003
Re : Pare-feu Kubuntu
Bonjour,
D'une part, tu as un parefeu actif par défaut dans Kubuntu, il n'y a pas besoin d'en ajouter un en plus.
Vou voulez dire que ufw est un deuxième pare-feu mais alors pourquoi la communauté linux a mis en place ufw dans ce cas-là alors qu'il y en a déjà un ?
Celui par défaut adapte les règles suivant les logiciels que tu utilises.
Vous voulez dire que les ports s'ouvrent automatiquement quand j'utilise un logiciel.
D'autre part ta box intègre aussi un parefeu par défaut, il te sera donc nécessaire de faire des redirections depuis les ports externes vers les ports internes (adresses locales). On appelle ça natter la box. La procédure est différente pour chaque box, il faut adapter suivant le modèle.
Oui c'est ce que j'ai fait avec ma freebox pour certain logiciel comme amule sip.
Enfin ufw est un frontend pour Iptables, mais je ne pense pas qu'il soit bien nécessaire, je t'encourage à utiliser directement Iptables (et donc désactive ufw).
la un truc que je ne commprends pas ?
Pourquoi m'encouragez-vous à utiliser iptables alors alors que celui par défaut adapte les règles suivant les logiciels que j'utilises ??????????
Désactivation de ufw
laurent@PC-Bureau-laurent:~$ sudo ufw disable
[sudo] password for laurent:
Le pare-feu est arrêté et désactivé lors du démarrage du système
laurent@PC-Bureau-laurent:~$
réinitialisation de iptables
laurent@PC-Bureau-laurent:~$ sudo iptables -F
[sudo] password for laurent
laurent@PC-Bureau-laurent:~$ sudo iptables -X
laurent@PC-Bureau-laurent:~$
Les règle actuel de iptables
laurent@PC-Bureau-laurent:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
laurent@PC-Bureau-laurent:~$
Maintenant que j'ai désactivé Ufw, je vois à nouveau la TV par ADSL avec Freetuxtv .
Mais est-ce que comme ceci ma machine est protégée ?
merci.
Dernière modification par xunil2003 (Le 20/11/2013, à 08:15)
- AMD R9 5950x 64 Go Ram / Intel Pentium I7 960 - 12 Go Ram - 6 T0 - Kubuntu 12.04 x64 / Kubuntu 14.04 x64 / Kubuntu 16.04 x64 / Kubuntu 18.04 x64 / Kubuntu 20.04 x64 / Mint
- DreamPlug Multi Boot / Marvel 1.22 Ghz / Architecture ARM / 512 Mo Ram / Carte-sd 16 Go class 10 / 5 Watts / Debian Squeeze 2.6.39.4
- Raspberry PI 1 / Raspberry PI 2 / Raspberry PI 3 / Raspberry PI 4 : 4Gb
JE SUIS CHARLIE
Hors ligne
Pages : 1