Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1 2 3 10

#1 Le 21/12/2014, à 18:32

Nathaly01

Configuration d'iptables

Bonjour,

J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ??

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

Merci de votre aide !!

Hors ligne

#2 Le 21/12/2014, à 19:14

Haleth

Re : Configuration d'iptables

Tu es parfaitement protégé par défaut.

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#3 Le 21/12/2014, à 21:21

Nathaly01

Re : Configuration d'iptables

En laissant par défaut,si je fais la commande

sudo iptables-save > /home/xxx/Bureau/maconfig.iptables

le fichier est totalement vide alors je m'intérroge pour savoir si on est vraiment protégé par défaut ....

Hors ligne

#4 Le 21/12/2014, à 22:01

tiramiseb

Re : Configuration d'iptables

Salut,

De quoi veux-tu te protéger, avec un pare-feu ? Par défaut, aucun port n'est ouvert sauf ce qui est nécessaire... Donc il n'y a rien à bloquer.

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#5 Le 21/12/2014, à 22:01

Haleth

Re : Configuration d'iptables

Bawi, c'est bluffant, tu es protégé par défaut smile

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#6 Le 21/12/2014, à 22:59

tiramiseb

Re : Configuration d'iptables

Nathaly01: pour la sécurité de ton ordinateur, il y a d'autres choses bien plus utiles qu'un pare-feu...

Dernière modification par tiramiseb (Le 22/12/2014, à 09:08)

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#7 Le 22/12/2014, à 09:00

Bigorno33

Re : Configuration d'iptables

Nathaly01 a écrit :

Bonjour,

J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ??

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

Merci de votre aide !!


Hello ! C'est pas mal pour un début, mais tu peux les améliorer très simplement, et du coup rendre Iptables beaucoup plus efficace, si ça t'intéresse la communauté est là, et moi aussi ;-)

Hors ligne

#8 Le 22/12/2014, à 09:08

tiramiseb

Re : Configuration d'iptables

Bigorno33: quel intérêt, à ton avis, de faire ce genre de filtrage sur une installation de base d'Ubuntu ?

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#9 Le 22/12/2014, à 09:18

pires57

Re : Configuration d'iptables

A quoi sa sert de rajouter une muraille autour d'une porte hermetiquement close a part gaspiller des ressources inutilement ?

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#10 Le 22/12/2014, à 12:15

Nathaly01

Re : Configuration d'iptables

Bigorno33 a écrit :
Nathaly01 a écrit :

Bonjour,

J'aurai besoin de l'avis de la communauté pour savoir si mes règles d'iptables me protège vraiment ??

# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014

Merci de votre aide !!


Hello ! C'est pas mal pour un début, mais tu peux les améliorer très simplement, et du coup rendre Iptables beaucoup plus efficace, si ça t'intéresse la communauté est là, et moi aussi ;-)

lol, j'ai l'impression que la communauté se limite à toi pour mon sujet !!!
Mais comme je suis intéressée par apprendre, je serai pas contre quelques conseils pour l'améliorer ...

Hors ligne

#11 Le 22/12/2014, à 12:30

tiramiseb

Re : Configuration d'iptables

lol, j'ai l'impression que la communauté se limite à toi pour mon sujet !!!

D'un côté il y a trois professionnels, bénévoles très actifs du forum avec plusieurs milliers de messages chacun, qui te disent qu'un pare-feu n'est pas nécessaire par défaut sur Ubuntu. Dont l'un (moi) qui te dit qu'il y a bien d'autres choses à faire pour sécuriser ta machine.

D'un autre côté, il y a un gars inscrit il y a 1 mois, ayant posté 12 messages, qui te dit que "c'est bien".

Et toi ta réaction, plutôt que de demander « pourquoi un pare-feu est inutile ? que faire pour vraiment sécuriser ma machine ? », tu t'adresses à ce quatrième gars en lui demandant des conseils...

Étrange...

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#12 Le 22/12/2014, à 13:45

Bigorno33

Re : Configuration d'iptables

Nathaly01 a écrit :

lol, j'ai l'impression que la communauté se limite à toi pour mon sujet !!!
Mais comme je suis intéressée par apprendre, je serai pas contre quelques conseils pour l'améliorer ...

Hello,

[modéré : merci de ne pas polluer les sujets techniques avec des attaques ad hominem contre les autres contributeurs]

Donc oui, pour déjà améliorer tes règles actuelles, sans les changer, juste les améliorer, tu peux te référer au changement que je te propose via ce qui suit :


_Ici j'ai commencé par changer les options "-m state --state" par "-m conntrack --ctstate". En faisant donc ainsi, (j'ai)tu améliores grandement le suivi de connexions via ton pare-feu Iptables (donc tout ce qui transite par Internet, comme ton surf quotidien, tes logiciels utilisant Internet, etc...), car tu ne fais donc plus appel au module (à la correspondance) "state" mais tu fais appel au nouveau module "conntrack", qui est un module grandement amélioré et donc conçu pour les traçages de connexions, (qui transitent par ton interface "eth1" donc tout ton surf et les logiciels qui utilisent Internet comme dit au dessus), transformant ainsi ton pare-feu Iptables en véritable pare-feu à états (ou pare-feu SPI (Statefull Packet Inspection)), et donc en faisant évoluer très simplement tes règles actuelles, tu te retrouves avec un excelelnt parefeu SPI pour...

... pas un rond...


Tes règles à améliorer donneraient donc ceci :


# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*mangle
:PREROUTING ACCEPT [1371:644348]
:INPUT ACCEPT [1365:642164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1370:238522]
:POSTROUTING ACCEPT [1414:245691]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*nat
:PREROUTING ACCEPT [12:3230]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [327:20619]
:POSTROUTING ACCEPT [327:20619]
COMMIT
# Completed on Sun Dec 21 18:26:58 2014
# Generated by iptables-save v1.4.21 on Sun Dec 21 18:26:58 2014
*filter
:INPUT DROP [95:15188]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Dec 21 18:26:58 2014




On peut ensuite, si tu es toujours intéressée, augmenter encore le flicage avec Iptables, pour affiner ta sécurité, pour mieux filtrer les packets tout simplement. Mais tu peux très bien t'arrêter là si tu veux, personne ne force personne, tu n'es même pas "obligée" d'appliquer ce que je te transmets, un pare-feu c'est personnel, donc...



Pour voir la différence entre les modules "state" et "conntrack", tu peux déjà te rendre sur ce lien, en scrollant la page tu vas d'abord tomber sur le module "conntrack", puis ensuite plus bas sur la page, sur le module "state", voilou, ce que je te transmets est donc vérifiable par tes soins bien sûr... tcho

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:56)

Hors ligne

#13 Le 22/12/2014, à 13:55

tiramiseb

Re : Configuration d'iptables

Je répète ma question...
Bigorno33: quel intérêt, à ton avis, de faire ce genre de filtrage sur une installation de base d'Ubuntu ?

[modéré]
Il s'agit de partager ses connaissances et expliquer en quoi un pare-feu n'est pas nécessaire dans la plupart des cas.

Évitons de donner un semblant d'impression de sécurité aux néophytes, apprenons-leur à réellement sécuriser leurs machines !

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:57)

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#14 Le 22/12/2014, à 13:58

pires57

Re : Configuration d'iptables

[modéré]
Pas du tout mais explique nous donc l'intérêt d'un pare feu sur une machine dont rien n est ouverts?

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:57)

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#15 Le 22/12/2014, à 13:59

Bigorno33

Re : Configuration d'iptables

[modéré : merci de ne pas pourrir les sujets de support avec des considérations qui n’ont rien à voir]

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:57)

Hors ligne

#16 Le 22/12/2014, à 14:02

pires57

Re : Configuration d'iptables

[modéré : merci de ne pas surenchérir, en cas de problème il est possible de signaler à la modération]

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:57)

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#17 Le 22/12/2014, à 14:03

tiramiseb

Re : Configuration d'iptables

Nathaly01, attention, un pare-feu seul est loin d'apporter une sécurité suffisante, il est d'ailleurs inutile sur un système de base et on peut t'expliquer pourquoi sans aucun problème.
Quoi qu'en dise Bigorno33, avec son attitude particulièrement regrettable, notre but n'est pas de te faire culpabiliser, bien au contraire.
Après, tu fais ce que tu veux, hein, c'est ton ordinateur. Mais je trouve cela dommage que ce soit toi qui pâtisses de l'attitude d'un autre.
Si tu as besoin d'informations pour sécuriser ta machine, n'hésite pas à demander, on peut te guider.

Bigorno33: tu refuses de répondre à nos questions, c'est dommage. De notre côté on peut tout à fait expliquer en quoi un tel pare-feu n'est pas utile sur une configuration standard d'Ubuntu.

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#18 Le 22/12/2014, à 14:47

Haleth

Re : Configuration d'iptables

[modéré : idem]

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:57)

Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#19 Le 22/12/2014, à 15:04

Bigorno33

Re : Configuration d'iptables

[modéré. À tous : les règlements de compte entre membres n’ont rien à faire dans un topic de support. Il est tout à fait possible de défendre deux positions différentes en restant sur des argumentations techniques.]

Dernière modification par Sir Na Kraïou (Le 22/12/2014, à 23:57)

Hors ligne

#20 Le 22/12/2014, à 23:20

Shanx

Re : Configuration d'iptables

Salut,
je suis moi aussi intéressé par la question. J’ai souvent (très souvent même) lu qu’un pare-feu était inutile sous Linux pour une station personnelle. Je viens de vérifier sur ma machine, les deux seuls ports ouverts concernent des activités tout à fait licites (IRC et DHCP), et je ne vois pas pourquoi il en serait autrement. Quelles sont les (bonnes) raisons qui peuvent pousser à utiliser iptable (à part un excès de zèle inutile et contreproductif) ?

Surtout que son fonctionnement est tout sauf évident. Si c’était vraiment nécessaire, pourquoi les équipes d’Ubuntu n’auraient pas intégré par défaut un pare-feu plus user-friendly ?

Mes randos : grande traversées des Alpes, de l'Islande, de la Corse, du Japon (en vélo), etc.
Traversée des États-Unis à pied

Hors ligne

#21 Le 23/12/2014, à 07:13

Pator75

Re : Configuration d'iptables

Salut,

[modéré]
moi je conseille Gufw,

http://doc.ubuntu-fr.org/gufw

La ligne de commandes est évitée, donc moins de risques d'erreur et plus de confort, il y a un mode "public" sur la version installable chez Ubuntu, le flux entrant est bloqué par défaut, on peut aussi bloquer le flux sortant et autoriser le strict nécessaire pour surfer, soit les ports 53 (UDP), 80, 443.

Dernière modification par Sir Na Kraïou (Le 24/12/2014, à 01:04)

Hors ligne

#22 Le 23/12/2014, à 08:03

tiramiseb

Re : Configuration d'iptables

Pator75, toi aussi ton argumentation est malheureusement un peu trop légère. Ce n'est pas en qualifiant les autres de "croisés" qu'on donne des arguments valables contre eux.

Concernant le choix d'UFW ou de GUFW, je suis d'accord avec toi : c'est bien mieux qu'un script tel que présenté par Nataly01. D'autant plus qu'avec sa configuration par défaut il fait des choses intéressantes : logs, etc.



Je reprend maintenant mon argumentation que j'ai donnée hier soir dans un autre fil sur ce même forum.

- le blocage en entrée servirait à "protéger" le cas où un logiciel malicieux se mettrait en écoute sur un port quelconque ;
- le blocage en sortie servirait à "protéger" le cas où un logiciel malicieux se connecterait vers l'extérieur.

Dans les deux cas, ça n'arrive pas sur un système "propre" : on est déjà dans le cas d'une machine corrompue, il est trop tard pour penser à la sécurité. C'est en cela que je dis qu'il y a bien d'autres choses auxquelles faire attention avant d'utiliser un pare-feu : celui-ci ne soit pas être utilisé comme une méthode palliative.

Par ailleurs, concernant les flux en sortie ce que tu indiques ne sert à rien, il faudrait un filtrage réellement strict. Mais à partir du moment où on autorise le moindre port c'est mort, le logiciel malicieux pourra utiliser ce port. Forcément, on va autoriser les ports 80 et 443, comme tu l'as indiqué ; forcément, le logiciel malicieux va utiliser l'un ou l'autre de ces ports ! Autoriser les ports 80 et 443, ce n'est pas strict.
Tant qu'on n'aura pas un pare-feu applicatif type ZoneAlarm, qui nous demande une autorisation pour chaque accès, avec identification du logiciel demandeur, le filtrage en sortie ne pourra pas être strict. Et, encore une fois, on reste dans une situation palliative.

D'autant plus qu'à partir du moment où un attaquant a pu entrer sur la machine, il y a de fortes chances pour qu'il obtienne facilement un accès root : il peut alors désactiver le pare-feu comme il veut.

Plutôt que de passer du temps à mettre en place un filtrage de flux réseau à titre potientiellement palliatif et avoir un sentiment (faussé) de sécurité, ne vaut-il mieux pas appliquer des vraies règles pour éviter de se faire "infecter" en premier lieu ?

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#23 Le 23/12/2014, à 08:32

pires57

Re : Configuration d'iptables

Tu te trompes Pator, je ne suis absolument pas "anti pare-feu " comme tu dis mais je suis contre le fait de mettre une solution inapproprié en place.
Lorsqu'un port est fermé, c'est à dire qu'aucun service n'est en écoute dessus, rien ne pourra entrer par ce port. Avant de mettre en place un pare feu, il faut déjà configurer comme il faut les services installés. Sous Linux c'est relativement simple à faire étant donné qu'on sait exactement ce que fait tel ou tel service, rien n'est caché.

@Sir Na Kraïou: désolé mais ce genre de comportement déplorable m'agace au plus haut point. Quand tu veut affirmer quelques chose il faut savoir l'argumenter. De mon coté je sais exactement pourquoi un pare feu est inutile dans ce cas précis.

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#24 Le 23/12/2014, à 09:59

Bigorno33

Re : Configuration d'iptables

[modéré : c’est si compliqué de comprendre qu’on est dans une section de support et pas dans une section de troll ?]

Dernière modification par Sir Na Kraïou (Le 24/12/2014, à 01:04)

Hors ligne

#25 Le 23/12/2014, à 12:55

Pator75

Re : Configuration d'iptables

"Forcément, on va autoriser les ports 80 et 443, comme tu l'as indiqué ; forcément, le logiciel malicieux va utiliser l'un ou l'autre de ces ports ! Autoriser les ports 80 et 443, ce n'est pas strict."


Mon bon Tira, le meilleur d'entre nous, là tu m'étonnes un peu, si le port 80 est utilisé un malware va utiliser le port 80? ben non puisqu'il est utilisé, le port 443? ça m'étonnerait, un autre? pas possible sans modifier les règles, donc pas très restrictif oui, mais  restrictif quand même.

D'après mes observations chez Windows, les troyens demandent du TCP mais aussi de l'UDP, avec des ports plutôt exotiques, du genre 354... donc si on limite au TCP 80 et 443 ce n'est pas déjà si mal, maintenant un outil type ZoneAlarm serait mieux c'est vrai.

Hors ligne

Pages : 1 2 3 10