Ubuntu-fr

Pator75

Re : Iptables question

Et pour faire simple, un système de sécurité qui est présent sur son serveur, ça ne fera toujours pas de mal de le mettre en route "rien qu'en préventif" plutôt que de laisser son dit serveur en mode Openbar.

Salut,

Tout à fait d'accord, pourquoi s'en priver? moi personnellement, je voudrais un serveur de jeu, je le prendrais chez Steam, mais même dans le cloud de Steam j'ai déjà été "chatouillé" par un hacker turc connu, la récente affaire d'Apple ne m'étonne pas.
Je voudrais un serveur pour le boulot je paierais chez OVH, la protection la vraie c'est un métier, être "chez Linux" ne suffit pas, dans le domaine du Dos je veux bien que Fail2ban puisse être utile (mais ayant testé avec les paramètres conseillés j'en doute un peu), quant au Ddos... tu peux juste limiter les dégâts en payant pour un routeur spécialisé.

Une chose est certaine, si tous les ports sont fermés, le ping bloqué, on est perdu dans la masse, sauf si on est un personnage important.

Dernière modification par Pator75 (Le 06/09/2014, à 10:40)

levy-san

Re : Iptables question

les commandes suivante :

$IPTS -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
$IPTS -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$IPTS -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPTS -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

Es-ce drop les scans ip ? si non comment bloqué les scans ip avec iptables ?

Je suis du genre "plutot prévenir que guérir" j'essaye donc de créer un script iptables pour le serveur mais également pour mon pc personnel sous Kubuntu (étant avec mon portable très régulièrement sur des réseaux qui ne m'appartienne pas (avec des gens qui s'y connaisse assez en informatique pour outrepasser les réglages par défaut des ordinateurs).

Merci a vous tous de répondre a mes questions

Ps je vais créer une adresse jetable pour le pdf sur iptables

Pator75

Re : Iptables question

Es-ce drop les scans ip ? si non comment bloqué les scans ip avec iptables ?

Iptables très peu pour moi.

Système de fichiers > etc > ufw > before rules il faut ajouter un # devant la règle ICMP echo request input.

Maintenant, pour les autres types de scan, ne te fatigue pas trop... télécharge NMAP, fais tes règles et teste... certains scans risquent de passer quand même.

Dernière modification par Pator75 (Le 06/09/2014, à 12:59)

pires57

Re : Iptables question

ça ne fera toujours pas de mal de le mettre en route "rien qu'en préventif" plutôt que de laisser son dit serveur en mode Openbar.

justement du mal tu peut en faire a plus ou moins grande échelle. Dans le meilleur des cas tu vas bloquer l'accès a quelques  chose qui en a besoin, dans le pire des cas tu vas faire une grosse connerie dans tes configs.

Je rejoins tiramiseb sur le fait que si tu n'as pas de redirection ni de filtrage spécifique (par exemple n'autoriser que certaines IP ... en encore SSH peut très bien être configurer pour le faire) tu n'as pas besoin d'un pare-feu

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

levy-san

Re : Iptables question

a mon sens le NFC lui même est complement inutile surtout sur une carte bancaire

tiramiseb

Re : Iptables question

une tu es le seul sur la toile (ou pas loin) à être de cet avis

Pourtant on est plusieurs sur ce même forum, dont deux sur cette même discussion...

Et puis ce n'est pas un avis, c'est une réalité technique : une machine sans service réseau n'a aucun port en écoute.

deux il me semble bien voir de l'avahi de temps en temps apparaître sous Ubuntu

Oui, le logiciel Avahi tourne sur Ubuntu Desktop ; si on n'en veut pas, il est préférable de le désactiver, mais on perd les fonctionnalités liées (support de Zeroconf, compatibilité Apple Bonjour, chat en réseau local sans login, ce genre de choses). Et encore une fois, on voit que je parle de désactiver un service, pas d'ajouter un pare-feu devant lui, le rendant inutile alors qu'il bouffe des ressources.

Mais là on parle d'Ubuntu Server, qui n'inclut pas Avahi. Ne mélangeons pas les choses, là je parle bien d'un serveur avec Ubuntu Server.

suffisamment longtemps pour qu'un bon hacker puisse en profiter

"suffisamment longtemps" bien sûr, vu que ça tourne aussi longtemps qu'une session utilisateur est active (et tant qu'il n'a pas été désactivé).

Avahi n'apporterait pas grand chose à un pirate. D'une part il faut qu'une faille soit exploitable, d'autre part ce service tourne uniquement sur les postes de travail (fixes ou portables) et uniquement en tant qu'utilisateur de base : ni sur les serveurs, ni en tant que root.

Et comme tous les services, tant qu'on maintient son système à jour avec les mises à jour de sécurité et qu'on n'utilise pas des sources douteuses, les failles sont corrigées.

hier chez Debian un gars se plaindre de s'être fait plomber sans comprendre pourquoi, bien qu'il se déclare attentif

« se déclarer » attentif, ouais on ne sait pas ce qu'il a fait le gars en réalité

[...] Mastercard et Visa [...] NFC [...] sans pare-feu [...]

Tu mélanges tout. Là on parle de serveur informatique, sur un réseau informatique.

On pourrait approfondir la digression sur les cartes bancaires et le NFC, en disant par exemple qu'un pare-feu sur une telle technologie ce n'est pas possible, ou encore que je rejoins totalement ta remarque (le paiement sans contact tel qu'il a été fait, c'est de la merde en boîte), mais je préfère ne pas laisser cette discussion aller n'importe où : c'est déjà assez compliqué comme ça

un système de sécurité qui est présent sur son serveur, ça ne fera toujours pas de mal de le mettre en route "rien qu'en préventif"

Détrompe-toi, ce n'est pas si simple que ça. Si on utilise des scripts iptables, il est possible d'induire des gros problèmes, et même avec UFW ça peut poser des problèmes quant aux services qui sont, du coup, filtrés.

Une chose est certaine, si tous les ports sont fermés, le ping bloqué, on est perdu dans la masse

Déjà, il n'y a pas besoin de ces critères pour être "perdu dans la masse".
Ensuite, tous les ports fermés, oui c'est le cas d'une machine qui n'a aucun service d'installé, sans avoir besoin d'un pare-feu.
Enfin, bloquer le ping revient à ne plus respecter la norme, pour un semblant de sécurité je n'aime pas trop...

---

Je répète mon propos, qui est simple :
- tant qu'on n'active pas un service, il est inutile de filtrer son port (car il est déjà fermé) ;
- si on active un service, c'est pour l'utiliser, alors il est contre-productif de filtrer son port.
Ce n'est pas un avis, c'est un fait, une vérité technique.

Il en découle qu'un pare-feu est inutile dans un cas classique.

Et je précise à nouveau que je parle là d'une machine de type serveur, que l'on gère soi-même, sur laquelle on n'installe que ce qui est nécessaire. Mon propos ne s'applique pas à une passerelle par exemple. J'exclus également les besoins plus spécifiques, filtrage sur des adresses IP précises par exemple.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Pator75

Re : Iptables question

"Ce n'est pas un avis, c'est un fait, une vérité technique"

Oui, d'accord, nous qui disons tout le contraire de toi c'est un fait et une "vérité technique" aussi, donc une allégation sans les guillemets.

Il en découle qu'un pare-feu est utile dans un cas classique, c'est l'avis de millions de gens sur cette planète.

tiramiseb

Re : Iptables question

Tu n'arrêtes pas de parler d'avis.

Mon avis c'est qu'un pare-feu c'est surtout pour se donner "bonne conscience" avant de se rendre compte, parfois trop tard, qu'on a une mauvaise approche de la sécurité. Car bien souvent, ces "millions de gens" croient qu'activer un pare-feu est suffisant pour être à l'abri de n'importe quelle attaque, alors que c'est un outil permettant uniquement certains filtrages.

Sous Linux (sous différents UNICES de manière plus générale), on maîtrise suffisamment le système pour pouvoir se passer d'un pare-feu sur un "simple" serveur. Sous Windows par exemple, c'est plus difficile car il y a pas mal de services en fonctionnement par défaut ; d'où l'omniprésence de pare-feux sur ce type de systèmes : on ne contrôle pas alors on bloque.

nous qui disons tout le contraire de toi

Et ce que j'ai expliqué, encore une fois, ce n'est pas un avis. C'est une explication purement technique. Chacun en tirera les conclusions qu'il veut. Mais tu ne peux pas dire qu'un service réseau qui ne tourne pas ouvre quand même un port et tu ne peux pas dire qu'en bloquant le port d'un service on ne l'empêche pas de fonctionner.
Tant que tu n'apporte pas de quoi étayer ce que tu dis, je ne vois pas en quoi ton "contraire" de ce que je dis aurait une quelconque valeur de ce point de vue...

c'est l'avis de millions de gens sur cette planète.

Des millions d'experts dans le domaine ?

Tu sais, des gens qui ont mon niveau en système et sécurité informatique sont très rarement sur les forums, c'est peut-être pour ça que tu ne vois pas beaucoup d'avis qui vont dans ce sens, tu ne penses pas ? Je suis l'un des rares à avoir choisi d'abandonner le profit financier et/ou entrepreneurial pour partager mes connaissances : je passe au moins 20% de mon temps de travail (parfois jusqu'à 50%) pour participer à ce forum (et un peu à d'autres). Mais un expert en sécurité qui s'implique à fond dans son boulot, il a autre chose à faire que de répéter ces choses, toujours les mêmes, à peu près tous les 6 mois à des gens différents qui croient que des "millions de gens" ont forcément raison...

Dernière modification par tiramiseb (Le 06/09/2014, à 21:10)

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

fruitsecrases

Re : Iptables question

Tcho ! des nouveautés, c'est bien mieux avec les explications Tiramiseb, merci !

Perso je me sers d'Iptables pour le filtrages de deux logiciels, et pour mettre en place un filtre anti-spoofing d'adresse IP sur les Helpers d'Ubuntu. (mais cela ne concerne que une attaquae par Spoofing IP venant d'une machine sur un réseau local, par exemple je n'aime pas avoir tous mes périfériques Android, Windows, Linux sur une même Livebox et laisser la possibilité à une autre machine d'exploiter "la faille" des Helpers de mon Ubuntu  (qui pourrait se faire attaquer par une de mes autres machines plus facilement piratables comme mes machines sous Windows par exemple, qui sont donc sur le même réseau local que mon Ubuntu !).

Donc je récapitule, en ce moment, je me sers d'Iptables pour gérer deux logiciels sous Ubuntu (Spotify et Folding@Home), et pour filtrer les Helpers de Ubuntu, c'est tout !

Mes règles sont celles-ci (je les mets quand je réinstalle Ubuntu) :

iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

Comme on le voit au dessus, je laisse tout "sortir", ma Politique concernant la chaîne OUTPUT étant sur ACCEPT pour tout... Et c'est grâce à ce paramétrage sur la règle OUTPUT que je peux filtrer ce que je ne veux pas laisser sortir ! Du coup sur Spotify, Facebook était tout le temps solicité et un autre truc mais je ne sais plus ce que c'est donc pour arrêter de les retrouver tout le temps dans mes connexions actives sous Ubuntu (quand j'ouvrai Spotify), j'ai dons fait ces deux règles :

iptables -t filter -A OUTPUT -p tcp -m multiport --sports 24659,57621 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --sports 24659,57621 -j DROP

Et pour Folding@home, il se connectait toujours aussi via les ports de l'interface de configuration (et de gestion) de ce logiciel, même si elle était coupée... J'ai donc fait ces deux règles là :

iptables -t filter -A OUTPUT -p tcp -m multiport --sports 7396,36330 -j DROP
iptables -t filter -A OUTPUT -p udp -m multiport --sports 7396,36330 -j DROP

Et enfin pour l'anti-Spoofing des helpers de Ubuntu c'est plus compliqué, il faut avoir recours à un PPA(sérieux néanmoins), et aller télécharger la toute dernière version d'Iptables sur le site officiel d'Iptables (qui est Netfilter.org), car pour l'anti-spoofing sur les Helpers, la version d'IPtables dans les dépôts officiels d'Ubuntui ne contient pas les options de Netfilter qu'il me fallait.

Comme quoi, et en me lisant je pense que même Tiramiseb sera d'accord avec moi, IPtables peut se révéler bien utile, et avant de dire aux gens de laisser tomber  l'utilisation d'un pare-feu pour Ubuntu, il faudrait peut-être leur demander exactement ce qu'ils veulent accomplir, avec. Voilà c'est tout.

Dernière modification par fruitsecrases (Le 06/09/2014, à 22:44)

Pator75

Re : Iptables question

Tu n'arrêtes pas de parler d'avis.
Mon avis c'est qu'un pare-feu c'est surtout pour se donner "bonne conscience" avant de se rendre compte, parfois trop tard, qu'on a une mauvaise approche de la sécurité. Car bien souvent, ces "millions de gens" croient qu'activer un pare-feu est suffisant pour être à l'abri de n'importe quelle attaque, alors que c'est un outil permettant uniquement certains filtrages.
Sous Linux (sous différents UNICES de manière plus générale), on maîtrise suffisamment le système pour pouvoir se passer d'un pare-feu sur un "simple" serveur. Sous Windows par exemple, c'est plus difficile car il y a pas mal de services en fonctionnement par défaut ; d'où l'omniprésence de pare-feux sur ce type de systèmes : on ne contrôle pas alors on bloque.

nous qui disons tout le contraire de toi

Et ce que j'ai expliqué, encore une fois, ce n'est pas un avis. C'est une explication purement technique. Chacun en tirera les conclusions qu'il veut. Mais tu ne peux pas dire qu'un service réseau qui ne tourne pas ouvre quand même un port et tu ne peux pas dire qu'en bloquant le port d'un service on ne l'empêche pas de fonctionner.
Tant que tu n'apporte pas de quoi étayer ce que tu dis, je ne vois pas en quoi ton "contraire" de ce que je dis aurait une quelconque valeur de ce point de vue...

c'est l'avis de millions de gens sur cette planète.

Des millions d'experts dans le domaine ?
Tu sais, des gens qui ont mon niveau en système et sécurité informatique sont très rarement sur les forums, c'est peut-être pour ça que tu ne vois pas beaucoup d'avis qui vont dans ce sens, tu ne penses pas ? Je suis l'un des rares à avoir choisi d'abandonner le profit financier et/ou entrepreneurial pour partager mes connaissances : je passe au moins 20% de mon temps de travail (parfois jusqu'à 50%) pour participer à ce forum (et un peu à d'autres). Mais un expert en sécurité qui s'implique à fond dans son boulot, il a autre chose à faire que de répéter ces choses, toujours les mêmes, à peu près tous les 6 mois à des gens différents qui croient que des "millions de gens" ont forcément raison...

Oui je parle d'avis, parce que souvent ce que l'on avance n'est jamais une certitude, d'accord un pare feu ce n'est pas la panacée, loin de moi cette idée, mais toi tu as trop confiance dans ton OS, quand un service est en marche, on ne le voit pas sous Ubuntu, mais il est là, Linux n'est fort actuellement que parce que les mises à jour de failles de sécurité sont plus nombreuses que les découvertes en vue d'un piratage, imagine que la tendance s'inverse, regarde ici, qui aurait imaginé cela il y a quelques années,

http://www.av-comparatives.org/mac-security-reviews/

Tu es du métier c'est bien, et probablement compétent, mais il ne faut pas confondre croyance et savoir, tu as tort de dire qu'un hacker est impuissant dans tel ou tel cas, moi à l'heure actuelle, depuis les affaires NSA Snowden, je suis convaincu qu'un personnage important est vulnérable, quel que soit son OS, et même sans chercher à le piéger, moi je ne peux pas le prouver, mais toi non plus le contraire...

Alors tu ne sais pas?... les millions de gens qui ont pris l'habitude de mettre un pare feu vont continuer à le faire, disons que ça correspond à l'instinct de sécurité, c'est un vaccin supplémentaire, et ils vont te laisser prêcher tout seul du haut de tes 32 ans.

Dernière modification par Pator75 (Le 07/09/2014, à 08:03)

tiramiseb

Re : Iptables question

fruitsecrases: en effet, je n'ai pas dit qu'un pare-feu est inutile quel que soit le cas et il y a de très nombreuses situations où c'est nécessaire. Par contre, j'ai quelques remarques et questions sur l'usage que tu présentes...
- pourquoi empêcher l'IPv6 ? De toute manière si tu n'as pas configuré un réseau en IPv6 ça ne sera pas utilisé.
- inutile de toucher à la chaîne "FORWARD" tant que tu n'as pas activé ip_forward (« net.ipv4.ip_forward=1 » dans /etc/sysctl.conf) : de toute façon le foward ne fonctionnera pas sans ce paramètre (qui est désactivé par défaut)
- les policies par défaut étant "ACCEPT", inutile de le faire explicitement sur OUTPUT
- concernant la policy "DROP" en entrée sur tout, ça contrevient à pas mal de normes, c'est inutiles si tu ne lances pas de services réseau et ça peut bloquer des choses qui seraient utiles (cf Avahi par exemple)
- tu as fait deux règles en bloquant sur le port source : ça m'étonne car les ports sources sont en général totalement aléatoires ; es-tu sûr que les ports sources sont toujours les mêmes sur ces flux en particulier !?
- concernant l'anti-spoofing des helpers, peux-tu me pointer vers de la documentation ? Je n'arrive pas à voir à quoi tu fais référence.

Pator75: s'il-te-plaît, évite de citer des messages en entier : ça rend ton message lourd et c'est inutile vu que celui-ci est lisible un peu plus haut, de plus en participant à ce forum tu t'es engagé à ne pas le faire (règle 3 section "Mise en forme des messages" des conditions d'utilisation).

souvent ce que l'on avance n'est jamais une certitude

"souvent", peut-être. Mais là, c'est bel et bien une certitude.

quand un service est en marche, on ne le voit pas sous Ubuntu, mais il est là

Je ne comprends pas ce que tu veux dire par là.
Quand un service est en marche, on le voit, vu qu'il ouvre un port et qu'il y écoute. Et s'il est en marche, c'est justement pour écouter sur le port en question. Si on ne veut pas qu'il soit en marche, alors on l'arrête, on ne filtre pas son port...

Linux n'est fort actuellement que parce que les mises à jour de failles de sécurité sont plus nombreuses que les découvertes en vue d'un piratage, imagine que la tendance s'inverse, regarde ici, qui aurait imaginé cela il y a quelques années,

Linux est utilisé sur une écrasante majorité des serveurs sur Internet, je peux t'assurer que les « découvertes en vue d'un piratage » sont bel et bien nombreuses. Je ne m'avancerai pas à annoncer un chiffre ou une proportion, mais il est clair que les systèmes utilisant Linux sont des cibles de choix pour les pirates.

Concernant le lien que tu donnes à propos d'OS X, ça ne parle pas de piratage par le réseau. C'est un site de « promotion » d'anti-virus (pas étonnant qu'ils disent qu'il faut un anti-virus partout...) et cette page parle d'un « trojan », du phishing, typiquement des choses qui s'en foutent du pare-feu vu qu'ils exploitent la faille dite du « PEBKAC » ( ) pour se propager. Donc c'est totalement hors-sujet par rapport à cette discussion qui ne parle que de pare-feu.

tu as tort de dire qu'un hacker est impuissant dans tel ou tel cas

Je ne dis pas qu'un hacker (*) « est impuissant dans tel ou tel cas ».

Je dis que :
- si un service ne tourne pas, alors le port n'est pas en écoute ;
- si un service tourne, alors on veut que le port soit en écoute.
et j'en conclus que pour fermer les ports, il vaut mieux arrêter le service dont on ne veut plus plutôt que de bloquer son port.
Par conséquent, dans ce cas le plus général que j'évoque ici, un pare-feu est inutile.

Un service en fonctionnement est toujours la cible potentielle d'une attaque, une faille non découverte peut toujours traîner. Mais ce n'est pas en bloquant un port qu'on se prémunira d'une attaque par ce biais, car en fermant le port on empêche le service de fonctionner : autant carrément arrêter ce service qui pourrait éventuellement avoir une faille, plutôt que de le bloquer, si on n'en veut pas !

je suis convaincu qu'un personnage important est vulnérable

On ne parle ici pas de personnage important, on parle ici de toi, de moi, de levy-san...
Et je tiens à rappeler que les piratages qui visent des "personnages importants" sont marginaux. Les attaques les plus courantes sont soit des tentatives de créer des botnets (grosse source d'argent pour certaines mafias) soit des script-kiddies qui s'amusent. Aucun ciblage de personne importante dans ces cas.

Et si j'avais à sécuriser l'infrastructure d'un « personnage important », crois-moi, je ne ferais pas ça en installant un pare-feu inutile sur son poste de travail. Il y a des choses bien plus importantes à voir. Notamment, dans des attaques ciblées, l'un des vecteurs les plus utilisés est l'ingénierie sociale, elle a été très utilisée par Kevin Mitnick par exemple. Et un pare-feu ne peut rien contre la naïveté humaine.

les millions de gens qui ont pris l'habitude de mettre un pare feu vont continuer à le faire

Bah oui, ce sont les mêmes millions de gens qui sont sous Windows parce que c'est le système qu'on leur a vendu de force, qui utilisent un anti-virus parce qu'on leur a dit que ça les protège, ils installent un pare-feu pour la même raison : on leur a dit que ça les protège, sans leur dire vraiment pourquoi ni comment. Et franchement, oui, quand on utilise un système aussi difficile à contrôler que Windows, il vaut mieux avoir un pare-feu.
Mais là je ne parle pas des millions (milliards ?) de moutons qu'il y a dans le monde, je parle de la sécurisation d'un serveur Ubuntu Linux bien géré et maintenu à jour. Je parle du fonctionnement d'un port TCP ou UDP, ce qu'il se passe quand il est ouvert ou quand il est fermé. Je ne parle pas d'une croyance nébuleuse, mais du fonctionnement même du noyau Linux.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

fruitsecrases

Re : Iptables question

fruitsecrases: en effet, je n'ai pas dit qu'un pare-feu est inutile quel que soit le cas et il y a de très nombreuses situations où c'est nécessaire.

Mais ici sur cette discussion même, tu as dit que c'était utile seulement en cas de passerrelle (avec Shorewall), alors que j'en fais déjà une utilisation supplémentaire (à une passerelle) avec ce que j'explique, mais bon, le fait que tu n'aies parlé au dessus que de Shorewall pour passerelle ne veut pas dire non plus que tu ne pensais pas à mon utilisation, tu ne l'avais peut-être tout simplement pas écrit dans ton message ?

- pourquoi empêcher l'IPv6 ? De toute manière si tu n'as pas configuré un réseau en IPv6 ça ne sera pas utilisé.

Ben en fait je l'ai fait car je ne connais rien en réseau ni en Ubuntu, donc je ne savais pas qu'il n'y avait rien d'activé en IPV6 d'office, merci.

- inutile de toucher à la chaîne "FORWARD" tant que tu n'as pas activé ip_forward (« net.ipv4.ip_forward=1 » dans /etc/sysctl.conf) : de toute façon le foward ne fonctionnera pas sans ce paramètre (qui est désactivé par défaut)

Je m'en sers justement, avec un Thunderbird paramétré pour l'utiliser en mode configuré sur le réseau Tor (avec proxy et sock un truc comme ça, je ne l'ai fait que lors de la configuration, je ne sais plus comment ça s'appelle exactement)).

- les policies par défaut étant "ACCEPT", inutile de le faire explicitement sur OUTPUT

Ah ça c'est un truc auquel je n'avais pas pensé, merci, je vais l'enlever de mes règles, il est vrai que cette ligne ne sert à rien du coup.

- concernant la policy "DROP" en entrée sur tout, ça contrevient à pas mal de normes, c'est inutiles si tu ne lances pas de services réseau et ça peut bloquer des choses qui seraient utiles (cf Avahi par exemple)

Je n'utilise pas du tout Avahi, je l'ai désinstalé en fait, il ne fait plus parti de mes dépôts.

- tu as fait deux règles en bloquant sur le port source : ça m'étonne car les ports sources sont en général totalement aléatoires ; es-tu sûr que les ports sources sont toujours les mêmes sur ces flux en particulier !?

Tu parles de quels ports sources stp ?

- concernant l'anti-spoofing des helpers, peux-tu me pointer vers de la documentation ? Je n'arrive pas à voir à quoi tu fais référence.

Oui bien sûr, c'est dans le MISC numéro 64, il y a en couverture un dossier appelé "Firewall, grand muraille de Chine ou Ligne Maginot ?", et sur cette même couverture on voit en dessous de ce titre, trois sous rubriques, mon article sur les Dangers des Helpers se trouvent dans la troisième sous rubriques appelée : "Carnet de recettes Netfilter et PacketFilter", si tu l'as au format PDF c'est à la page 42 exactement, en format papier je ne sais pas...voir ici : http://www.unixgarden.com/index.php/mis … en-kiosque

Mais dans tous les cas, cela illustre au moins ici UN CAS où le pare-feu IPtables est actif pour la sécurité de ma machine, et joue bien son rôle de pare-feu... En cherchant bien, il doit y avoir d'autres cas où il est intéressant de mettre en route IPtables sur une machine bureau comme j'ai ici (et qui n'est donc pas un serveur) où IPtables sera utilisé comme pare-feu de sécurité non ? Je sais pas, je dis ça comme ça, tu me diras ce que tu en penses si tu veux.

Dernière modification par fruitsecrases (Le 07/09/2014, à 09:49)

tiramiseb

Re : Iptables question

ici sur cette discussion même, tu as dit que c'était utile seulement en cas de passerrelle (avec Shorewall)

J'ai par exemple écrit : « L'utilité de Netfiler, c'est :
- soit de bloquer des ports que tu ne peux pas fermer (cas très rare) ;
- soit de faire un filtrage sélectif (mais je parie que ce n'est pas ce que tu envisageais de faire) ;
- soit de faire des redirections de port. »

J'ai également écrit « Le troisième cas évoque un pare-feu de réseau configuré sur une passerelle, c'est dans ce cadre que j'ai écrit l'article sur Shorewall par exemple ». Je n'ai donc pas parlé que de Shorewall

Je n'ai par contre pas approfondi ces différentes possibilité, car là on parle d'un filtrage "tout-ou-rien" dans le cadre d'un serveur plus ou moins classique tel que levy-san l'a évoqué. J'évite les digressions, le sujet est déjà assez sujet à controverse comme ça !

Je n'utilise pas du tout Avahi, je l'ai désinstalé en fait, il ne fait plus parti de mes dépôts.

Donc a priori tu n'as pas de service qui tourne, alors a priori tu n'aurais pas besoin du DROP en entrée. Mais bien sûr tu as peut-être d'autres trucs qui tournent, je ne peux pas être catégorique sur la base de cette seule affirmation

je ne savais pas qu'il n'y avait rien d'activé en IPV6 d'office, merci.

En fait c'est activé d'office, mais tant que ta box ne fait pas d'IPv6, ça ne pourra pas aller plus loin que ton PC...

forward [...] Je m'en sers justement

Alors en effet un DROP peut être utile.

Tu parles de quels port sources stp ?

Tu as mis des règles "--sports" (« source ports »), tu bloques donc les paquets dont les ports sources (et non les ports destination) sont :
- TCP 24659
- UDP 24659
- TCP 57621
- UDP 57621
- TCP 7396
- UDP 7396
- TCP 36330
- UDP 36330

c'est dans le MISC numéro 64

A priori je devrais l'avoir reçu, sinon je vais leur demander de me l'envoyer, je jetterai un œil.
MISC est une superbe source de connaissances, par contre c'est souvent très compliqué. N'ayant pas lu cet article, je ne saurais pas me prononcer pour le moment. En tout cas c'est de l'information de qualité, je veux juste bien comprendre les cas dans lesquels ça s'applique.

il doit y avoir d'autres cas où il est intéressant de mettre en route IPtables sur une machine bureau comme j'ai ici

Bien sûr, il y a énormément de cas où Netfilter est utile. Je n'ai jamais dit le contraire.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Pator75

Re : Iptables question

C'est marrant tu me rappelles un peu le Kalembour (je suis plutôt Debian), mais en plus délicat quand même.

A propos de la "lourdeur" de mes messages, peut être qu'un peu de dépit t'empêche de jauger les tiens, on peut y ajouter un peu de condescendance parfois tout à fait hors de propos, je ne vais pas reprendre tout ton discours comme tu as l'habitude de le faire avec les autres, ce qui ne garantit pas d'être lu loin de là, mais seulement ceci, si j'ai cité un test antivirus d'AV comparatives, ce n'est absolument pas hors sujet, les supporters d'Apple étaient sûrs de la solidité de celui ci, si un organisme comme AV comparatives, mondialement reconnu, tout comme AV test.org, fait ce type de test, c'est tout à fait révélateur de la vulnérabilité reconnue d'Apple, rançon du succès, Apple a un pare feu?... à qui le tour demain?...

Quand à Windows (j'ai aussi Windows 8), faudrait arrêter un peu aussi, il est plutôt véloce malgré toutes ses interfaces graphiques, pas de sectarisme merci.

Dernière modification par Pator75 (Le 07/09/2014, à 10:40)

pires57

Re : Iptables question

Je n'ai pas le temps de t'écrire un pavé pout te repondre.

quand un service est en marche, on ne le voit pas sous Ubuntu, mais il est là

Moi je sais voir les services qui tourne sur mon serveur,  et tiramiseb également. 
Pour afficher la liste des services tu peux utiliser la commande

ps aux

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

fruitsecrases

Re : Iptables question

Ah oui pour l'IPV6, c'est bien activé d'office, j'étais encore dans l'erreur et ma box fait IPV6 aussi, j'avais sûrement mis en place le blocage IPV6 parce que je l'avais vu à l'époque, merci du rappel, et désolé pour ma certitude sur ce que je disais de tes écrits de Shorewall au dessus, je n'avais pas tout retenu merci du rappel aussi.

Convernant les ports sources oui ils n'ont pas changé c'est bon !

Pour ma règle INPUT en DROP c'est apparemment comme tu le dis pas necessaire chez moi, mais d'un autre côté comme tu le dis je peux être amené à avoir d'autres trucs qui tournent tout au long de l'année en faisant évoluer ma distrib, alors je vais laisser INTPUT en DROP, mais seulement parce que je ne connais rien en réseau et que je ne veux pas m'amuser à filtrer toutes les applications que j'installe via la logithèque ou Synaptic, les filtrer en les oscultant de fond en comble pour savoir si ma règle sur INPUT en DROP va être utile ou pas sur l'application que je veux télécharger le jour là... Mais ce que je viens de dire là je ne l'avais pas encore pensé, je viens de le comprendre avec ce que tu viens de me dire, merci(il est possible aussi que je sois en train de dire une bêtise plus grosse que moi ). Pour le Misc numéro 64 je mets les shootscrteens ici, tu seras fixé (Misc est vraiment énorme oui, de vrais spécialistes oui...) :

Dernière modification par fruitsecrases (Le 12/09/2014, à 10:05)

tiramiseb

Re : Iptables question

A propos de la "lourdeur" de mes messages, peut être qu'un peu de dépit t'empêche de jauger les tiens

Ah non non, c'est juste que tu contreviens au règlement que tu as accepté de suivre, c'est tout !
Je suis un peu un « extrêmiste » de la netiquette (et de la typo, et du français, etc), désolé...

un peu de condescendance

Désolé si tu ressens de la condescendance, j'essaie juste d'être aussi factuel et précis que possible. Je ne suis pas expert du « caressage dans le sens du poil », j'écris ce que je veux affirmer, c'est tout. Je ne fais pas super gaffe à la tournure, plutôt à la factualité (*)...

(*) : et puis je ne suis pas infaillible, comme tout le monde... cela dit j'ai déjà beaucoup évolué ces dernières années, sur ma façon d'écrire

si j'ai cité un test antivirus d'AV comparatives, ce n'est absolument pas hors sujet

Dans une discussion qui parle de pare-feu, tu parles d'anti-virus. Ce sont deux aspects différents de la sécurité de systèmes informatiques, ça reste tout de même hors sujet car tu fais une digression pour décrédibiliser mes propos. En gros, tu sous-entends que je dis que la sécurité informatique (de manière générale) ne sert à rien, alors que je ne parle que d'une utilisation précise d'un aspect bien précis de la sécurité.

Quand à Windows [...] faudrait arrêter un peu aussi, il est plutôt véloce

Je n'ai aucunement parlé de la vélocité de Windows. Je parle juste des nombreux services en fonction par défaut, avec des ports ouverts sans qu'on ne le sache vraiment. Tu inventes des choses que je n'ai pas écrites, faudrait arrêter un peu aussi...

PS : s/Quand/Quant/

-----

C'est dommage, tu commences des attaques gratuites, en interprétant mes propos n'importe comment, alors que justement j'essaie d'être factuel au maximum, sans aucun sous-entendu.

Je le rappelle encore une fois, mon propos depuis le début de la discussion n'est que le suivant :

Je dis que :
- si un service ne tourne pas, alors le port n'est pas en écoute ;
- si un service tourne, alors on veut que le port soit en écoute.
et j'en conclus que pour fermer les ports, il vaut mieux arrêter le service dont on ne veut plus plutôt que de bloquer son port.
Par conséquent, dans ce cas le plus général que j'évoque ici, un pare-feu est inutile.

Dans ce propos je ne parle d'aucun autre usage de Netfilter iptables et je ne parle d'aucun autre aspect de la sécurité informatique.

je vais laisser INTPUT en DROP, mais seulement parce que je ne connais rien en réseau et que je ne veux pas m'amuser à filtrer toutes les applications que j'installe

Oui, sur une machine "brouillon" qu'on bidouille constamment, ça peut servir, surtout quand on est dans une phase d'apprentissage.
Mais j'espère que levy-san, sur sa machine serveur de production, ne fera pas de telles installation "à l'arrache"

Concernant l'article sur les helpers, ok je vois mieux de quoi tu parles, par contre je n'ai pas le temps d'approfondir : je suis au fin fond du Friûl, sur le point de partir déjeuner dans la familia, et ceux qui connaissent des Italiens savent ce que ça signifie en terme de disponibilité immédiate pour des forums

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

fruitsecrases

Re : Iptables question

Je suis italien.

PPdM

Re : Iptables question

C'est marrant tu me rappelles un peu le Kalembour (je suis plutôt Debian), mais en plus délicat quand même.

A propos de la "lourdeur" de mes messages, peut être qu'un peu de dépit t'empêche de jauger les tiens, on peut y ajouter un peu de condescendance parfois tout à fait hors de propos, je ne vais pas reprendre tout ton discours comme tu as l'habitude de le faire avec les autres, ce qui ne garantit pas d'être lu loin de là, mais seulement ceci, si j'ai cité un test antivirus d'AV comparatives, ce n'est absolument pas hors sujet, les supporters d'Apple étaient sûrs de la solidité de celui ci, si un organisme comme AV comparatives, mondialement reconnu, tout comme AV test.org, fait ce type de test, c'est tout à fait révélateur de la vulnérabilité reconnue d'Apple, rançon du succès, Apple a un pare feu?... à qui le tour demain?...

Quand à Windows (j'ai aussi Windows 8), faudrait arrêter un peu aussi, il est plutôt véloce malgré toutes ses interfaces graphiques, pas de sectarisme merci.

Excuse moi, mais tu es un peu gonflé, pour un nouveau venu, a peine 9 participations a ce fofo, juste 23 post,de t'en prendre a Tiramiseb, qui est inscrit depuis 4 ans, qui a écrit pas loin de 16 000 messages sur prés de 5000 topics, commence par faire tes preuves et baisse d'un ton, merci d'avance.

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

fruitsecrases

Re : Iptables question

Oui aussi pour préciser, ma machine n'est pas une machine "brouillon" comme tu le dis. Parce que je maîtrise un "minimum" ce que je fais dessus évidemment, j'en donne mes règles IPtables précises, comme citées au dessus, j'explique pourquoi je les appliques, et je donne mes références littéraires d'où je les choppes, en l'occurence Misc, que tu as approuvé sans problème, donc bon, dire d'une machine qu'elle est brouillon parce qu'on a intaller un PPA dessus, cela ne reste que ton point de vue, pas le mien, et pas celui de beaucoup d'autres utilisateurs des forums ici et ailluers concernenant l'application de certains PPA, (je dis cela si toutefois tu disais que ma machine était brouillon par rapport à ça bien sûr). Pour repréciser, j'ai installer ce PPA pour pouvoir mettre la dernière version officielle d'IPTABLES que l'on trouve ici : http.netfilter.org et qui n'est pas encore dans les dépôts d'Ubuntu. Ce PPA est celui-ci : https://launchpad.net/~debfx/+archive/experimental  Et il est fait par Félix Geyer, qui y est membre depuis 2007, voir sa page ici : https://launchpad.net/~debfx

Je dis cela pour avoir une bonne transparence avec toi. Après moi je lui fais confiance, je comprends tout à fait que d'autres personnes ne prennent jamais aucun PPA, c'est un peu comme l'expérience de Milgram : https://fr.wikipedia.org/wiki/Exp%C3%A9 … de_Milgram  L'individu dans cette expérience : c'est moi (toi, un autre, une autre), l'autorité c'est : Les dépôts officiels d'Ubuntu.

Et aussi je suis friand de toutes observations (vérifiables par mes soins) qui me montreraient que ce que je fais qui ne sert à rien, comme par exemple au dessus, quand tu m'as dit que (la ligne Iptables qui suit) n'avait pas lieu d'être car elle était par défaut dans IPtables :

iptables -t filter -P OUTPUT ACCEPT

Donc merci de ton temps pour toutes ces choses, comme tu l'as dit, tu passes du temps ici, et en parlant normalement aux gens, sans les prendre pour des imbéciles dès les premières minutes, on peut tout à fait "ne plus s'énerver chez soi" sur des membres des forums qui n'y connaissent rien mais qui sont tout à fait intelligents et qui vont te comprendre si tu expliques bien les choses, mais qu'en plus, en étant constemment à leur écoute, on peut tout à fait se rendre compte de deux choses : d'une part on pourra se rendre compte si c'est bien un imbécile qu'on a devant nous ou pas du tout (c'est important !). et d'autre part, en étant à leur écoute on est capable de leur apporter les meilleurs conseils possibles, au cas par cas, car on fait tous apparement des choses bien inhabituelles les uns par rapport aux autres, hommes ou femmes utilisatrices Ubuntu. Du fait que personne ne s'énerve, notre esprit (cerveau plutôt), n'est pas "accaparé" par le stress et on est tout de suite plus intelligibles les uns les autres, avec compassion tout simplement car on est tous passés par la case "Je ne connais rien à ce sujet", dans notre vie.

Dernière modification par fruitsecrases (Le 07/09/2014, à 13:24)

Pator75

Re : Iptables question

Toujours dans le vif du sujet, et pas du tout à côté, si on veut vraiment être en sécurité, et communiquer en toute confidentialité, si on veut se passer de pare feu, il faut choisir Ubuntu?... et donc Firefox? et donc Google? et Amazon?...hum!

Cela chatouille t'il ou gratouille t'il? est ce qu'un vrai spécialiste de la sécurité, rompu aux techniques de hacking, va conseiller Ubuntu? pas vraiment, peut être Debian (qui conseille d'installer GUFW dans son aide) avec Iceweasel  pour monsieur tout le monde, et pour les cas difficiles le live CD de Tails avec navigation sur TOR,

https://tails.boum.org/

Mais assurément pas Ubuntu.

Dernière modification par Pator75 (Le 07/09/2014, à 13:55)

fruitsecrases

Re : Iptables question

Peut-être que là on est plus du tout dans le sujet initial. Essayons de rester sur IPtables, et son utilité et dans quel cas, et sur ses règles de configuration ainsi que ses exemples sur sa configuration pour serveurs comme le demande l'initiateur du sujet.

Pour Levy-San, si tu veux le pdf tu peux me donner ton email ici en clair, tu peux pour l'occasion (et ce serait même mieux question confidentialité) créer un email poubelle sur pas mal de sites, exemple de proposition de fournisseurs d'adresses email jetables ici :

http://socialcompare.com/fr/comparison/ … comparison

Vilou, à plus

Ah oui le livre PDF en question est celui-ci, dans sa troisième édition (version 1), il date un peu, mais pour paramétrer IPTABLES pour un serveur, c'est dément.

Dernière modification par fruitsecrases (Le 07/09/2014, à 14:54)

Brunod

Re : Iptables question

...est ce qu'un vrai spécialiste de la sécurité, rompu aux techniques de hacking, va conseiller Ubuntu? pas vraiment, peut être Debian (qui conseille d'installer GUFW dans son aide) avec Iceweasel  pour monsieur tout le monde, et pour les cas difficiles le live CD de Tails avec navigation sur TOR,

https://tails.boum.org/

Mais assurément pas Ubuntu.

Pourquoi ?
BD

---

Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Pator75

Re : Iptables question

Peut-être que là on est plus du tout dans le sujet initial. Essayons de rester sur IPtables, et son utilité et dans quel cas, et sur ses règles de configuration ainsi que ses exemples sur sa configuration pour serveurs comme le demande l'initiateur du sujet.

Si la question initiale est comment sécuriser le réseau sous Linux, et si on lui répond par la voix de l'éminent barbu de service que ce n'est pas nécessaire avec Ubuntu, encore faut il qu'Ubuntu soit infaillible et vertueux (façon libriste), or ce n'est pas le cas, donc ce n'est pas hors sujet, mais en plein dedans.

fruitsecrases

Re : Iptables question

Si la question initiale est comment sécuriser le réseau sous Linux

Justement non, relis le titre de la discussion "IPTABLES QUESTION" et le contenu du tout premier message, merci de ne pas allourdir la discussion stp, ainsi que de ne pas répondre à Bruno, restons sur IPTABLES POUR UBUNTU svp, comme le demande l'initiateur de la discussion.

Dernière modification par fruitsecrases (Le 07/09/2014, à 14:59)