Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 31/01/2014, à 21:25

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Encore merci pour tout Wholes, tout fonctionne très bien à présent... si j'ai des questions je reviens vers toi, là tu m'as vraiment dépanné depuis ces derniers jours, il n'y a que toi qui m'ai donné les bonnes aides pour la config d'IPTABLES, ça c'est chanmé quand même, bonne soirée

Dernière modification par -pascal34- (Le 31/01/2014, à 23:58)

#27 Le 01/02/2014, à 06:26

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

"iptables n'est pas du tout une usine à gaz mais que du bon sens et de la logique. et lorsque l'on relis ses règles au moins, on s'y retrouve, le grand avantage, c'est que l'on peut faire des paramétrages qu'aucun logiciel ne pourrait faire,  il m'aurait été impossible ..."



Chez les grands éditeurs d'antivirus chez Windows, qui proposent tous un pare feu, la tendance actuelle est de ne laisser que peu de marge de manœuvre aux utilisateurs dans la configuration des règles du réseau, qui ne sont pas toutes affichées et donc parfois non modifiables, les erreurs sont effacées, les geeks sont frustrés mais ce n'est pas grave, et plutôt un mal pour un bien.

Mais pourquoi donc? mais parce qu'ils font n'importe quoi au gré de leurs besoins, dans un vrai pare feu il y a un ensemble de règles générales qui ont le dessus sur les autres, et il y a la question de l'ordre des règles, la première dans la liste autorise ou bloque.

Est ce que cela est pris en compte par un linuxien et ses quatre règles Iptables? alors qu'il va bricoler tous les six mois en fonction de ses envies? surement pas.


Exemple d'une règle (petite) générale d'un vrai pare feu,

"Autoriser UDP depuis BOOTPS, BOOTPC, DHCPv6c, DHCPv6s à BOOTPS, BOOTPC, DHCPv6c, DHCPv6s"

Allez y! faites la transcription en Iptables, et expliquez donc pourquoi ce type de règles doit être prédominant, moi je n'ai pas le temps et l'envie.

Dernière modification par Pierre Lhabitant (Le 01/02/2014, à 06:29)

Hors ligne

#28 Le 01/02/2014, à 09:32

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Pierre Lhabitant a écrit :

"iptables n'est pas du tout une usine à gaz mais que du bon sens et de la logique. et lorsque l'on relis ses règles au moins, on s'y retrouve, le grand avantage, c'est que l'on peut faire des paramétrages qu'aucun logiciel ne pourrait faire,  il m'aurait été impossible ..."

Chez les grands éditeurs d'antivirus chez Windows, qui proposent tous un pare feu, la tendance actuelle est de ne laisser que peu de marge de manœuvre aux utilisateurs dans la configuration des règles du réseau, qui ne sont pas toutes affichées et donc parfois non modifiables, les erreurs sont effacées, les geeks sont frustrés mais ce n'est pas grave, et plutôt un mal pour un bien.

Mais pourquoi donc? mais parce qu'ils font n'importe quoi au gré de leurs besoins, dans un vrai pare feu il y a un ensemble de règles générales qui ont le dessus sur les autres, et il y a la question de l'ordre des règles, la première dans la liste autorise ou bloque.

Est ce que cela est pris en compte par un linuxien et ses quatre règles Iptables? alors qu'il va bricoler tous les six mois en fonction de ses envies? surement pas.


Exemple d'une règle (petite) générale d'un vrai pare feu,

"Autoriser UDP depuis BOOTPS, BOOTPC, DHCPv6c, DHCPv6s à BOOTPS, BOOTPC, DHCPv6c, DHCPv6s"

Allez y! faites la transcription en Iptables, et expliquez donc pourquoi ce type de règles doit être prédominant, moi je n'ai pas le temps et l'envie.

ta remarque est intéressante et mieux argumentée cette fois.
c'est vrai qu' iptables n'associe pas ses règles au processus en cours mais au ports source destination, c'est pour cela que j'ai trouvé ta remarque très intéressante. si on autorise un port avec iptables, alors n'importe quel process même malveillant peut vouloir utiliser ce port autorisé.  (encore faudrait il qu'une faille soit exploitable mais.)
il existait en effet une option --pid-owner qui  permettait de le faire mais cette option n'est plus pris en charge dans les noyaux actuels, cependant on peut tout de même associer une règle iptables avec un ip ou un owner, par exemple, on peut très bien faire qu'un port ne soit autorisé uniquement avec une source/destination IP bien précise et/ou seulement avec un user bien défini.
l'option --uid-owner fonctionne sans problème.

Mais Linux a vraiment pensé à tout, si tu veux autoriser un port uniquement avec un process (donc un programme bien défini) apparmor ou selinux  font cela très bien et beaucoup plus encore.
iptables + apparmor c'est du béton armé incassable, ne compare surtout pas ça avec un firewall Windows, c'est incomparable au niveau sécurité.

pour revenir au geek frustré sous Windows, mais non pas du tout, c'est beaucoup plus facile pour un geek de faire tomber un parefeu Windows car jusqu'ici ils n'étaient pas intégrés dans le coeur du système mais sur couche externe, si pour raison ou une autre, cette couche tombe, quand au système il continue à tourner tranquillos sans plus aucune protection.
impossible de faire ça avec iptables, iptables agit au coeur du noyau, que faire pour que iptables tombe?  faire tomber le noyau ? mais comment ? et si le noyau tombe, plus rien, ni pour le système ni pour le hacker...

Dernière modification par wholes (Le 01/02/2014, à 09:42)

#29 Le 01/02/2014, à 10:07

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

wholes a écrit :

pour revenir au geek frustré sous Windows, mais non pas du tout, c'est beaucoup plus facile pour un geek de faire tomber un parefeu Windows car jusqu'ici ils n'étaient pas intégrés dans le coeur du système mais sur couche externe, si pour raison ou une autre, cette couche tombe, quand au système il continue à tourner tranquillos sans plus aucune protection.
impossible de faire ça avec iptables, iptables agit au coeur du noyau, que faire pour que iptables tombe?  faire tomber le noyau ? mais comment ? et si le noyau tombe, plus rien, ni pour le système ni pour le hacker...



Et hop! on retombe dans le dénigrement de Windows sans fondement dès que les choses se gâtent, le pare feu de Windows non intégré au système? et l'UAC? il ne demande rien dès qu'on y touche?

Niveau de la plupart des linuxiens en matière de réseau = zéro ou pas loin, par contre pour "avoir l'air" certains sont des champions.


Il a fallu des années à des équipes d'ingénieurs pour concevoir des firewalls pour Windows à l'épreuve des faits, et des gesticulateurs en ligne de commandes sans expérience du feu (des malwares) donnent des conseils... ça serait marrant s'il n' y avait pas de risques derrière, et les topics de la rubrique "sécurité" de ce site en attestent.
Seule l'équipe de Fedora avec Firewalld a fait quelque chose de correct dans le monde réseau Linux.

Dernière modification par Pierre Lhabitant (Le 01/02/2014, à 10:12)

Hors ligne

#30 Le 01/02/2014, à 10:46

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Pierre Lhabitant a écrit :
wholes a écrit :

pour revenir au geek frustré sous Windows, mais non pas du tout, c'est beaucoup plus facile pour un geek de faire tomber un parefeu Windows car jusqu'ici ils n'étaient pas intégrés dans le coeur du système mais sur couche externe, si pour raison ou une autre, cette couche tombe, quand au système il continue à tourner tranquillos sans plus aucune protection.
impossible de faire ça avec iptables, iptables agit au coeur du noyau, que faire pour que iptables tombe?  faire tomber le noyau ? mais comment ? et si le noyau tombe, plus rien, ni pour le système ni pour le hacker...



Et hop! on retombe dans le dénigrement de Windows sans fondement dès que les choses se gâtent, le pare feu de Windows non intégré au système? et l'UAC? il ne demande rien dès qu'on y touche?

Niveau de la plupart des linuxiens en matière de réseau = zéro ou pas loin, par contre pour "avoir l'air" certains sont des champions.


Il a fallu des années à des équipes d'ingénieurs pour concevoir des firewalls pour Windows à l'épreuve des faits, et des gesticulateurs en ligne de commandes sans expérience du feu (des malwares) donnent des conseils... ça serait marrant s'il n' y avait pas de risques derrière, et les topics de la rubrique "sécurité" de ce site en attestent.
Seule l'équipe de Fedora avec Firewalld a fait quelque chose de correct dans le monde réseau Linux.

il n'est pas question de dénigrement mais de comparaison que toi même a abordé le sujet, mais à propos,  pourquoi viens tu poster
dans ce forum ?  on a l'impression que cela te contrarie que des personnes puisse demander des renseignements et que d'autres répondent à leurs demande, essaie plutôt d'intervenir positivement avec objectivité, ou va alors poster dans le forum café-ubuntu qui est mieux approprié, dans les autres forum, il n'est nullement question de débattre mais de donner des réponses aux auteurs des messages, quand un lecteur a la réponse, il est normal qu'il poste pour la donner, alors pourquoi la ramener pour polluer inutilement ?
je vois pas très bien ou tu veux en venir exactement..

#31 Le 01/02/2014, à 10:48

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

« Starting Nmap 6.40 ( http://nmap.org ) at 2014-02-01 10:42 Paris, Madrid
Skipping SYN Stealth Scan against *** (192.168.1.***) because Windows does not support scanning your own machine (localhost) this way.
Nmap scan report for ***
Host is up.
PORT      STATE   SERVICE
7/tcp     unknown echo
9/tcp     unknown discard
13/tcp    unknown daytime
21/tcp    unknown ftp
22/tcp    unknown ssh
23/tcp    unknown telnet
25/tcp    unknown smtp
26/tcp    unknown rsftp
37/tcp    unknown time
53/tcp    unknown domain
79/tcp    unknown finger
80/tcp    unknown http
81/tcp    unknown hosts2-ns
88/tcp    unknown kerberos-sec
106/tcp   unknown pop3pw
110/tcp   unknown pop3
111/tcp   unknown rpcbind
113/tcp   unknown ident
119/tcp   unknown nntp
135/tcp   unknown msrpc
139/tcp   unknown netbios-ssn
143/tcp   unknown imap
144/tcp   unknown news
179/tcp   unknown bgp
199/tcp   unknown smux
389/tcp   unknown ldap
427/tcp   unknown svrloc
443/tcp   unknown https
444/tcp   unknown snpp
445/tcp   unknown microsoft-ds
465/tcp   unknown smtps
513/tcp   unknown login
514/tcp   unknown shell
515/tcp   unknown printer
543/tcp   unknown klogin
544/tcp   unknown kshell
548/tcp   unknown afp
554/tcp   unknown rtsp
587/tcp   unknown submission
631/tcp   unknown ipp
646/tcp   unknown ldp
873/tcp   unknown rsync
990/tcp   unknown ftps
993/tcp   unknown imaps
995/tcp   unknown pop3s
1025/tcp  unknown NFS-or-IIS
1026/tcp  unknown LSA-or-nterm
1027/tcp  unknown IIS
1028/tcp  unknown unknown
1029/tcp  unknown ms-lsa
1110/tcp  unknown nfsd-status
1433/tcp  unknown ms-sql-s
1720/tcp  unknown H.323/Q.931
1723/tcp  unknown pptp
1755/tcp  unknown wms
1900/tcp  unknown upnp
2000/tcp  unknown cisco-sccp
2001/tcp  unknown dc
2049/tcp  unknown nfs
2121/tcp  unknown ccproxy-ftp
2717/tcp  unknown pn-requester
3000/tcp  unknown ppp
3128/tcp  unknown squid-http
3306/tcp  unknown mysql
3389/tcp  unknown ms-wbt-server
3986/tcp  unknown mapper-ws_ethd
4899/tcp  unknown radmin
5000/tcp  unknown upnp
5009/tcp  unknown airport-admin
5051/tcp  unknown ida-agent
5060/tcp  unknown sip
5101/tcp  unknown admdog
5190/tcp  unknown aol
5357/tcp  unknown wsdapi
5432/tcp  unknown postgresql
5631/tcp  unknown pcanywheredata
5666/tcp  unknown nrpe
5800/tcp  unknown vnc-http
5900/tcp  unknown vnc
6000/tcp  unknown X11
6001/tcp  unknown X11:1
6646/tcp  unknown unknown
7070/tcp  unknown realserver
8000/tcp  unknown http-alt
8008/tcp  unknown http
8009/tcp  unknown ajp13
8080/tcp  unknown http-proxy
8081/tcp  unknown blackice-icecap
8443/tcp  unknown https-alt
8888/tcp  unknown sun-answerbook
9100/tcp  unknown jetdirect
9999/tcp  unknown abyss
10000/tcp unknown snet-sensor-mgmt
32768/tcp unknown filenet-tms
49152/tcp unknown unknown
49153/tcp unknown unknown
49154/tcp unknown unknown
49155/tcp unknown unknown
49156/tcp unknown unknown
49157/tcp unknown unknown

Nmap done: 1 IP address (1 host up) scanned in 1.27 seconds »



Voilà un scan Nmap effectué en local sur un PC Windows bien protégé, le résultat obtenu après désactivation du pare feu de la box et activation d'une DMZ est le même, statut des ports inconnu.

Messieurs les ubunteros, faites donc un essai aussi sur votre IP locale, ports ouverts ?... attention !

Hors ligne

#32 Le 01/02/2014, à 10:56

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Un bon pare feu, et quelques infos,

http://www.securelist.com/en/analysis/2 … ectiveness

Hors ligne

#33 Le 01/02/2014, à 10:57

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

je te dis précédemment qu'il était possible de faire la même chose sous linux , pourquoi ne lis tu pas les messages.....

#34 Le 01/02/2014, à 11:06

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

J'ai trouvé ce lien, je le donne pour encore crédibiliser l'aide de Wholes sur cette discussion of course wink (j'ai édité le tout premier message de cette discussion pour l'y faire apparaître, cela prend forme, merci !!)

http://formation-debian.via.ecp.fr/firewall.html

#35 Le 01/02/2014, à 11:33

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Comme je suis curieux et que je ne trouve pas l'info qui suit en français, que les traductions anglaises sont pas géniales, je voulais vous demander qu'est-ce qui se passe quand je fais cela dans un terminal svp :




sudo service iptables-persistent restart




Est-ce que cela redémarre tout le pare-feu Iptables ou bien cela lui indique seulement que les nouvelles règles qu'il va trouver dans "iptables-persistent" doivent être appliquées dès maintenant svp ?





Ou si vous préférez, comment arrêter iptables sous Ubuntu, dans le but d'être sans aucune protection, et comment le redémarrer pour rétablir les protections svp ?

Dernière modification par -pascal34- (Le 01/02/2014, à 11:34)

#36 Le 01/02/2014, à 11:53

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?



C'est une formation "debian" qui peut convenir à Ubuntu ou à Windows, le problème c'est l'application qui en est faite, et sous la forme de ligne de commandes, qui comme chacun sait ou presque ne sont pas gravées dans le marbre, c'est mal barré, un vrai pare feu comporte un interface graphique, a déjà fait le gros œuvre, et ne laisse à l'usager que quelques adaptations bien encadrées.

Hors ligne

#37 Le 01/02/2014, à 12:20

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

-pascal34- a écrit :

Comme je suis curieux et que je ne trouve pas l'info qui suit en français, que les traductions anglaises sont pas géniales, je voulais vous demander qu'est-ce qui se passe quand je fais cela dans un terminal svp :




sudo service iptables-persistent restart




Est-ce que cela redémarre tout le pare-feu Iptables ou bien cela lui indique seulement que les nouvelles règles qu'il va trouver dans "iptables-persistent" doivent être appliquées dès maintenant svp ?






Ou si vous préférez, comment arrêter iptables sous Ubuntu, dans le but d'être sans aucune protection, et comment le redémarrer pour rétablir les protections svp ?

plusieurs possibilités:
  si tu met juste ça dans un script:
     

 iptables -t filter -F
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT

ou 

intégrer un script iptables dans /etc/init.d

#!/bin/sh
#
# Script de démarrage

start() {
    iptables -t filter -F
        iptables -t filter -P INPUT DROP
        iptables -t filter -P OUTPUT ACCEPT
        iptables -t filter -P FORWARD ACCEPT

        iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -t filter -A INPUT -i lo -j ACCEPT

        #sports s'il s'agit de port de ta machine
        iptables -t filter -A OUTPUT -p tcp -m multiport --sports 7396,36330 -j DROP
    iptables -t filter -A OUTPUT -p udp -m multiport --sports 7396,36330 -j DROP
    #dports si les  ports interdits sont ceux d'un serveur externe.
        iptables -t filter -A OUTPUT -p tcp -m multiport --dports 7396,36330 -j DROP
    iptables -t filter -A OUTPUT -p udp -m multiport --dports 7396,36330 -j DROP

}
  
 stop() {

     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }
  
 case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0

tu rend ce fichier exécutable:

sudo chmod +x  ton_fichier
sudo cp ton_fichier /etc/init.d/
puis
sudo update-rc.d ton_fichier defaults 99

à chaque démarrage, il sera exécuté automatiquement
pour l'arrêter:    sudo /etc/init.d/ton_fichier stop
le redémarrer:   sudo /etc/init.d/ton_fichier start

tu peux très bien mettre ces commandes dans des lanceurs de ton tableau de bord.

Dernière modification par wholes (Le 01/02/2014, à 12:31)

#38 Le 01/02/2014, à 12:32

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Merci Wholes, donc obligé de passer par un script pour dire à iptables d'arrêter complètement sa protection c'est ça ? Il n'y a pas un sudo iptables stop ou un truc plus simple stp ?

#39 Le 01/02/2014, à 12:46

Haleth

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

un vrai pare feu comporte un interface graphique

Bawé, un vrai parefeu doit être composé d'un frontend JAVA, basé sur du J2EE ou autre.
Si ton parefeu tourne sur une machine légère, alors c'est un mauvais parefeu : il doit, au moins, être obèse et abscons, sinon c'est mal.

C'est évident, d'ailleurs tout le monde (ou presque) le sait..


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#40 Le 01/02/2014, à 12:50

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

-pascal34- a écrit :

Merci Wholes, donc obligé de passer par un script pour dire à iptables d'arrêter complètement sa protection c'est ça ? Il n'y a pas un sudo iptables stop ou un truc plus simple stp ?

justement, le script que je t' ai indiqué te permet de faire ces commandes:

sudo /etc/init.d/ton_fichier stop
sudo /etc/init.d/ton_fichier start
sudo /etc/init.d/ton_fichier restart

iptables stop n'existe pas nativement mais tu pourrais très bien le faire exister avec un alias désignant le script ou des règles ci dessous qui annulent tes règles iptables, avec les alias ou les scripts, on fait les commandes qu'on veut.

annulation de tes règles iptables:

tu rentres ça directement dans le terminal (ou un dans un script)  :
un sript commence toujours avec la ligne  #!/bin/sh  et doit être exécutable  (chmod +x), tu le places par exemple dans /usr/local/bin
et sudo nom_de_ton_script pour l'exécuter.....

iptables -F
 iptables -P INPUT ACCEPT
 iptables -P FORWARD ACCEPT
 iptables -P OUTPUT ACCEPT

Dernière modification par wholes (Le 01/02/2014, à 12:52)

#41 Le 01/02/2014, à 13:06

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Je n'avais pas compris Wholes merci. Je pars sur un autre questionnement, celui-ci venant d'être résolu.

J'ai installé le paquetage appelé "iptables-persistent", pour que les règles que je fais sur Iptables s'appliquent à chaque démarrage de la machine. (peut-être qu'il existe autre chose je ne sais pas?). J’établis mes règles sur le pare-feu IPTABLES en mettant des lignes que tu m'as donné beaucoup plus haut de la discussion, pour paramétrer IPTABLES. Une fois que j'ai entré toutes mes règles, grâce au paquetage "iptables-persistent" je peux les sauvegarder en faisant un

sudo service iptables-persistent save

Ensuite je fais un

sudo service iptables-persistent reload

et pour terminer un

sudo iptables-persistent restart




En faisant ce que je viens d'écrire au dessus, est-ce que cela va redémarrer entièrement IPTABLES sur ma machine stp, ou bien non, ça va juste lui indiquer comment réagir via le paquetage "iptables-persistent" que je viens de  paramétrer et sauvegardé et reloadé et redémarré ! stp ???

Je vais y arriver, le tout est de poser les bonnes questions ;-))

Dernière modification par -pascal34- (Le 01/02/2014, à 13:07)

#42 Le 01/02/2014, à 13:49

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Pour les "bawé", un pare feu qui n'est pas obèse est inexistant, ça a pu donner satisfaction de temps de NT, pas plus.

Hors ligne

#43 Le 01/02/2014, à 13:56

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Pourriez-vous ouvrir une discussion pour vous permettre de vous envoyer des "moi je sais mieux que toi, tu es un âne" quelque part d'autre que sur cette discussion s'il vous plaît ? Je contacte la modération de suite, merci de votre compréhension, car j'ai déjà fait fermer une discussion il y a quelques jours et vous recommencez à polluer celle-ci de vos égos sur-dimensionnés. Restons humbles s'il vous plaît, créons une discussion pour nous permettre de "nous en mettre plein la gueule" autre part que sur celle-ci s'il vous plaît, je vais devoir encore demander à la clôturer, et en recréer une autre, merci à tous de vous modérer s'il vous plaît et de faire preuve de sympathie les uns envers les autres, malgré vos différences d'opinions, vous serez des coeurs tongue

Dernière modification par -pascal34- (Le 01/02/2014, à 14:01)

#44 Le 01/02/2014, à 15:15

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Merci...




Alors je me suis dit ça :

si je suis la logique des commandes, normalement un :

sudo service iptables-persistent restart

donne l'ordre à un "service" appelé "iptables-persistent" de redémarrer (et non pas à un service appelé "iptables" tout court). du coup, cela laisse iptables tranquille et ne lui demande pas de redémarrer pour appliquer ces "RULES"  (règles (de conduite) en anglais tongue ).


Alors, Fedora avec FirewallD nous dit cela au 1.2 Firewall Dynamique (je vous laisse lire) :

http://doc.fedora-fr.org/wiki/Parefeu_- … _dynamique


Et sur la page de documentation d'Ubuntu concernant IPTABLES, on y apprends qu'au moins depuis Precise (12.04 LTS), est apparu "iptables-persistent". (voir cette page : http://doc.ubuntu-fr.org/iptables#appli … _demarrage )



Si j'ai bien compris, "iptables-persistent" fait la même chose que le FirewallD(ynamique) de Fedora non ? Du coup le mettant à la même échelle de sécurité? Car quand je fais des :

sudo service iptables-persistent save

et

sudo service iptables-persistent reload

et

sudo service iptables-persistent restart


Je ne touche qu'au paquet que j'ai installé en plus et qui s'appelle dans Synaptic "iptables-persistent", et du coup je ne redémarre pas IPTABLES du tout, rendant les risques de faire cette opération dangereuse à néant (comme le souligne les anciens comportements d'Iptables que l'on peut lire sur le premier lien Fedora que j'ai donné juste au dessus , non ?)

#45 Le 02/02/2014, à 06:42

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

-pascal34- a écrit :

Pourriez-vous ouvrir une discussion pour vous permettre de vous envoyer des "moi je sais mieux que toi, tu es un âne" quelque part d'autre que sur cette discussion s'il vous plaît ? Je contacte la modération de suite, merci de votre compréhension, car j'ai déjà fait fermer une discussion il y a quelques jours et vous recommencez à polluer celle-ci de vos égos sur-dimensionnés. Restons humbles s'il vous plaît, créons une discussion pour nous permettre de "nous en mettre plein la gueule" autre part que sur celle-ci s'il vous plaît, je vais devoir encore demander à la clôturer, et en recréer une autre, merci à tous de vous modérer s'il vous plaît et de faire preuve de sympathie les uns envers les autres, malgré vos différences d'opinions, vous serez des coeurs tongue



En matière d'ego, commence par modérer le tien, qui es tu pour vouloir limiter la liberté d'expression? c'est libre ou pas Linux? en passant arrête de demander outrageusement des liens pour confirmation, tu peux le faire toi même.


Un bon pare feu doit être à l'épreuve des tests, qui teste Iptables?... personne,  qui teste les firewalls de Windows? les russes,

http://www.anti-malware-test.com/firewa … ction_2013

Dernière modification par Pierre Lhabitant (Le 02/02/2014, à 06:44)

Hors ligne

#46 Le 02/02/2014, à 08:31

Pierre Lhabitant

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

A propos du bidouillage de règles Iptables, voir ici le commentaire d'un bon linuxien, Gullible Jones,

http://www.wilderssecurity.com/showthread.php?t=359504


"Il faut en effet être un ordre spécifique.  Les règles sont traitées de haut en bas, mais le traitement d'un paquet s'arrête dès qu'il atteint la première règle de correspondance. Si vous suivez une règle ACCEPT avec plus spécifique REJETER règle, la règle REJECT ne seront pas appliquées

Mon conseil est ...

Une.  Débarrassez-vous de vos règles iptables.  (Vous pouvez les rincer sans redémarrer; reportez-vous à la page de manuel.)

2.  Mettre en place quelques règles simples.  Pour vous aider à démarrer:



Code:
  * Filtre
: ENTREE DROP
: FORWARD DROP
: SORTIE ACCEPT # Pas besoin de bloquer les connexions sortantes
-A INPUT-i lo-j ACCEPT # accepter tout et toutes les connexions de bouclage
-A INPUT-m conntrack - ctstate ETABLI, LIÉS-j ACCEPT # Accepter backets entrants sollicités
COMMIT"

Dernière modification par Pierre Lhabitant (Le 02/02/2014, à 08:32)

Hors ligne

#47 Le 02/02/2014, à 08:51

compte supprimé

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

Voilà Wholes, avec ce que j'ai mis en noir, en gras en dessous, tu arrives aux mêmes constatations que ma pomme, et maintenant pour ces types de membres, je ne réponds plus, ça ne sert à rien.

(mais j'ai quelques chose à te dire écrit en dessous stp )


wholes a écrit :

il n'est pas question de dénigrement mais de comparaison que toi même a abordé le sujet, mais à propos,  pourquoi viens tu poster
dans ce forum ?
  on a l'impression que cela te contrarie que des personnes puisse demander des renseignements et que d'autres répondent à leurs demande, essaie plutôt d'intervenir positivement avec objectivité, ou va alors poster dans le forum café-ubuntu qui est mieux approprié, dans les autres forum, il n'est nullement question de débattre mais de donner des réponses aux auteurs des messages, quand un lecteur a la réponse, il est normal qu'il poste pour la donner, alors pourquoi la ramener pour polluer inutilement ?
je vois pas très bien ou tu veux en venir exactement..







----------------------------------------------------------------------







Juste pour te dire un grand merci pour l'idée du routeur intercalé derrière une box, je l'ai fait le jour où tu l'as conseillé, et depuis je n'ai plus ces trucs bizarres que j'avais remarqué, ma box laisse mon pc tranquille, et le pare-feu de mon nouveau routeur (un peu cher certes pour avoir un pare-feu intégré digne de ce nom), rempli son rôle au delà de mes espérences. Pour moi, avec les bonnes règles iptables que tu m'as filé dernièrement, ce sont donc réglés tous mes problèmes de sécurité logiciel et matériel et plus encore... Chapeau l'artiste... Bon dimanche... smile

Dernière modification par -pascal34- (Le 02/02/2014, à 08:56)

#48 Le 02/02/2014, à 09:00

ljere

Re : [Résolu]Interdire une IP via iptables et paramétrer iptables svp ?

seconde discussion fermé.


ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

Hors ligne