Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 25/05/2010, à 20:01

muadib

Configurer GUFW pour les sorties

Bonjour,

Je suis content, GUFW prend enfin en compte le blocage des sorties !

Mais le problème c'est que je n'arrive pas à le configurer de façon à ce que toute sortie soit bloquée par défaut et que je n'autorise que les sorties pour firefox, thunderbird et les mises à jour système.

Merci d'avance pour votre aide.

Hors ligne

#2 Le 26/05/2010, à 13:12

koantao

Re : Configurer GUFW pour les sorties

Bonjour,

Pour ma part, voici ce que j'ai fais sur mon firewall :

activation d'ufw :

# ufw enable

définition des stratégies par défaut :

# ufw default deny incoming
# ufw default deny outgoing

activation de la journalisation :

# ufw logging on

autorisation en sortie du DNS :

# ufw allow out 53

autorisation en sortie du FTP :

# ufw allow out 20,21/tcp

autorisation en sortie du HTTP et HTTPS (firefox):

# ufw allow out 80/tcp
# ufw allow out 443/tcp

autorisation en sortie si tu utilises Empathy pour des comptes type MSN ou Google Talk :

# ufw allow out 1863/tcp
# ufw allow out 5222/tcp

et thunderbird il te faut rajouter selon ton cas :

# ufw allow out smtp

et

# ufw allow out pop

et / ou

# ufw allow out imap

avec ça tu devrais comme moi arriver à surfer sur le web et utiliser normalement ton client de messagerie (attention au port particulier utiliser par gmail, il te faudra adapter la règle en conséquence) et effectuer les mise à jour.

Un inconvénient : les pings ne passent plus sad

Si j'ai pu aider...

Dernière modification par koantao (Le 26/05/2010, à 13:20)

Hors ligne

#3 Le 27/05/2010, à 19:12

muadib

Re : Configurer GUFW pour les sorties

Merci pour le coup de pouce, je n'ai pas de besoin de gufw vu que ufw est finalement simple à utiliser.

Qu'est ce que tu entends par "effectuer les mises à jour" ?

Peux tu me dire un truc, qu'est ce qui est le plus sûr fermer un port ou interdire une application ?

Si le port 80 est ouvert ça veut dire que n'importe quelle application utilisant peut utiliser ce port pour communiquer sans mon autorisation ?

Hors ligne

#4 Le 29/05/2010, à 19:52

muadib

Re : Configurer GUFW pour les sorties

Par contre juste une remarque sur tes commandes pour le ftp:

vaut mieux mettre: sudo ufw allow out ftp

parce que sinon en ne laissant que les ports 20 et 21 pour télécharger sur clubic par exemple ça ne marche pas.

Hors ligne

#5 Le 03/06/2010, à 20:38

koantao

Re : Configurer GUFW pour les sorties

Bonjour, navré de ma réponse tardive hmm

Q : Qu'est ce que tu entends par "effectuer les mises à jour" ?
R :   j'entends par la, effectuer les mises à jour système.

Q : qu'est ce qui est le plus sûr fermer un port ou interdire une application ?
R :   Pour moi, c'est la combinaison des 2.
mais j'ai cherché un parefeu qui interdit ou non une application sous système linux et je dois dire que je n'ai pas encore trouvé. 
Cependant un parefeu avec des règles de flux bien pensées peut suffir.

Effectivement si le port 80 est ouvert, toute application utilisant se dernier peut alors communiquer sans autorisation de la par de l'utilisateur.

Merci pour l'info sur le ftp smile

Dernière modification par koantao (Le 03/06/2010, à 21:06)

Hors ligne

#6 Le 06/11/2010, à 10:56

Zococo

Re : Configurer GUFW pour les sorties

Bonjour,

Une petite précision : sur ma configuration   ufw allow out pop ne fonctionne pas, il faut saisir :

    # ufw allow out pop3

Merci pour ces éléments  précieux.

Dernière modification par Zococo (Le 06/11/2010, à 10:57)


Ubuntu 23.04 (64 bits) - Gigabyte B250M-DS3H / Core i5-7600K (Kaby lake) - Microsoft surface Go 3

Hors ligne

#7 Le 14/01/2011, à 21:47

Heliox

Re : Configurer GUFW pour les sorties

Je fais du déterrage (et je m'en excuse)

Mais si, pour un ordinateur personnel branché en filaire (Ethernet) derrière une *box (avec mode DHCP), j'entre les commandes :

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw reload

La configuration est-elle correcte et efficace ?

(j'ai fait des tests pour pare-feu sur Internet, avec et sans ufw d'activé et les résultats sont les mêmes. J'ai des doutes sur la fiabilité du test et la pertience du résultat).

Merci d'avance smile

Dernière modification par Heliox (Le 14/01/2011, à 21:48)

#8 Le 18/01/2011, à 18:48

Gooffy

Re : Configurer GUFW pour les sorties

Sujet intéressant en effet .
En espérant que les experts réseaux apportent leurs petites touches personnel .
Merci pour l'initiative. wink

Hors ligne

#9 Le 18/01/2011, à 22:05

vgr

Re : Configurer GUFW pour les sorties

Bonjour.

Question complémentaire : y a-t-il moyen de connaître les ports bloqués en entrée ou en sortie par ufw.
Pour faire du filtrage aux petits oignons ce serait quand même pas mal...
Merci.

VGR.

Hors ligne

#10 Le 18/01/2011, à 22:34

Heliox

Re : Configurer GUFW pour les sorties

vgr a écrit :

Bonjour.

Question complémentaire : y a-t-il moyen de connaître les ports bloqués en entrée ou en sortie par ufw.
Pour faire du filtrage aux petits oignons ce serait quand même pas mal...
Merci.

VGR.

Si tu veux faire du blocage aux petits oignons, suit ce que disait koantao dans son premier message, tu bloques tout par défaut en entrée et en sortie. Puis tu ajoutes des règles au fur et à mesure pour autoriser les sorties des programmes que tu souhaites.

N'oublie pas de consulter l'aide incluse dans UFW :

man ufw
sudo ufw --help

Éventuellement, tu peux configurer Iptables "en dur", sans passer par la case intermédiaire qu'est UFW, tu as un tuto là : http://www.debian-fr.org/installation-p … t1901.html

Par contre il faudrait peut-être éviter de mélanger UFW, sa configuration, et Iptables que vous (toi et UFW) modifiez..?

Dernière modification par Heliox (Le 18/01/2011, à 22:35)

#11 Le 19/01/2011, à 16:19

Gooffy

Re : Configurer GUFW pour les sorties

vgr a écrit :

y a-t-il moyen de connaître les ports bloqués en entrée ou en sortie par ufw.

J'ai trouvé ça dans le man pour lister les règles que tu as entré :

sudo ufw status numbered

En revanche cela ne  liste pas les règles de stratégie par defaut (# ufw default deny incoming
# ufw default deny outgoing )

Heliox a écrit :

La configuration est-elle correcte et efficace ?

Pour ma part j'ai laissé :

# ufw default deny incoming
# ufw default deny outgoing

J'ai essayé d'utiliser xchat et impossible de se connecter a un serveur .
Mais si je fais :

# ufw default deny incoming
# ufw default allow outgoing

Dans ce cas xchat fonctionne et se connecte
Donc les conseils donnés dans la première partie sont efficaces puisqu'il refuse tout se qui rentre et tout se qui sort .
Après c'est a l'utilisateur d'ajouter ses propres règles (je suis aussi derrière une box ) .

Pour xchat j'ai rajouté :

sudo ufw allow out 6667/tcp

J'aimerai avoir l'avis de connaisseur sur ceci ( que j'ai trouvé dans le wiki archlinux )qui est a placer dans /etc/sysctl.conf.
Est ce utile ou non ? Y a t il des conséquences a prendre en compte ?

#ICMP
#Désactiver la diffusion de diffusion des ICMP.
#Autrement, votre système pourrait être utilisé dans le cadre d'une attaque Smurf.
net.ipv4.icmp_echo_ignore_broadcasts=1

#Désactiver les messages de redirections ICMP.
#Autrement, votre système pourrait voir sa table de routage mise-à-mal par un attaquant.
net.ipv4.conf.all.accept_redirects=0
net.ipv6.conf.all.accept_redirects=0
net.ipv4.conf.all.send_redirects=0
net.ipv6.conf.all.send_redirects=0

#IP
#Désactivez le routage des IP.
#L'attaquant pourrait effectuer un IP spoofing en utilisant des hôtes de confiance. net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.mc_forwarding=0

#Refuser les adresses sources non routables.
net.ipv4.conf.all.rp_filter=1

#Mettre en place les paquets "Martians".
#Permet de loguer toutes les adresses sources non routables.
net.ipv4.conf.all.log_martians=1

#Bloquer les requêtes ping.
net.ipv4.icmp_echo_ignore_all = 1

Merci pour vos avis wink

Dernière modification par Gooffy (Le 19/01/2011, à 16:35)

Hors ligne

#12 Le 11/03/2011, à 13:13

tokage3gou

Re : Configurer GUFW pour les sorties

Si vous êtes derrière une box, je crois qu'il y a de fortes chances que celle-ci bloque déjà par défaut les connections entrantes (c'est le cas sur ma Livebox en tous cas).
Dans ce cas je crois que bloquer le trafic entrant est superflu.
( enfin à confirmer par un pro quand même ^.^)

Dernière modification par tokage3gou (Le 11/03/2011, à 13:14)

Hors ligne

#13 Le 04/05/2011, à 14:01

wysiag

Re : Configurer GUFW pour les sorties

Bonjour,
Je me permet de mettre mon grain de sel car il y a un détail qui me chagrine :

# ufw default deny incoming
# ufw default allow outgoing

Signifi qu'on laisse rien entrer mais qu'on laisse tout sortir par défaut.

C'est vrai que sur le principe c'est une bonne idée, pourquoi votre propre ordinateur tenterait d'accéder à l'extérieur sans y être invité ?
Je pense que vous avez oublié un détail : c'est possible ! Si jamais vous choppez un virus, cheval de troi, etc, alors, avec une configuration pareil, celui-ci n'aura aucun mal a passer, puisqu'il est autorisé à sortir. Il pourra faire tout ce qu'il veut sans restrictions !

Donc je vous conseil de faire comme koantao :
1/ Par défaut on bloque TOUT
2/ On laisse passer ce qui a le droit de passer
Et à ce moment vous être tranquil, à moins bien sûr qu'un virus utilise les ports standard HTTP/HTTPS/FTP/etc... mais ça, c'est une autre histoire. Un cheval de troie n'aura sûrement pas autant de chances, il sont rares a utiliser ce genres de ports.

Bonne journée

Hors ligne

#14 Le 04/05/2011, à 17:24

cinaptix

Re : Configurer GUFW pour les sorties

Si jamais vous choppez un virus, cheval de troi, etc, alors, avec une configuration pareil, celui-ci n'aura aucun mal a passer, puisqu'il est autorisé à sortir. Il pourra faire tout ce qu'il veut sans restrictions !

Possible, mais assez peu probable sous GNU / Linux ! smile


↔ Libriste radicalisé depuis mai 2007 ↔
① - Xubuntu 20.04 - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz - SSD 64 Go + HDD 500 Go.
② - Raspberry Pi 3 (Raspbian Stretch) — ③ - Tablette Lenovo 10' (Android 10) — ④ - Smartphone Honor 9A (dégooglisé)

Hors ligne

#15 Le 04/05/2011, à 18:51

Heliox

Re : Configurer GUFW pour les sorties

wysiag a écrit :

Bonjour,
Je me permet de mettre mon grain de sel car il y a un détail qui me chagrine :

# ufw default deny incoming
# ufw default allow outgoing

Signifi qu'on laisse rien entrer mais qu'on laisse tout sortir par défaut.

C'est vrai que sur le principe c'est une bonne idée, pourquoi votre propre ordinateur tenterait d'accéder à l'extérieur sans y être invité ?
Je pense que vous avez oublié un détail : c'est possible ! Si jamais vous choppez un virus, cheval de troi, etc, alors, avec une configuration pareil, celui-ci n'aura aucun mal a passer, puisqu'il est autorisé à sortir. Il pourra faire tout ce qu'il veut sans restrictions !

Donc je vous conseil de faire comme koantao :
1/ Par défaut on bloque TOUT
2/ On laisse passer ce qui a le droit de passer
Et à ce moment vous être tranquil, à moins bien sûr qu'un virus utilise les ports standard HTTP/HTTPS/FTP/etc... mais ça, c'est une autre histoire. Un cheval de troie n'aura sûrement pas autant de chances, il sont rares a utiliser ce genres de ports.

Bonne journée

Oui mais ce que tu dis est une solution idéale mais qu'il faut replacer dans le contexte d'un Ubuntero de base : s'il sait à peine comment activer activer un pare-feu et comment interdire ce qui rentre, comment veux-tu qu'il sache lui demander de ne laisser passer que Firefox/Thunderbird/Empathy/apt/wtfyw… quand ils sont lancés ?

Le système des ports autorisés/fermés/bloqués des risques et des conséquences induites est assez complexe à comprendre et comme l'Ubuntero ne va chercher que dans sa doc favorite pour chercher des info et qu'il ne voit que l'image de GUFW qui montre "refuser ce qui vient de l'extérieur et autoriser ce qui part de soi", alors l'Ubuntero se satisfait de ce paramétrage… hmm

(mais si tu as un tuto. rapide sur le sujet, je suis prenant. La documentation officielle de UFW et son man ne donnent pas de configurations "types")

Dernière modification par Heliox (Le 04/05/2011, à 18:53)

#16 Le 05/05/2011, à 21:54

doberman6

Re : Configurer GUFW pour les sorties

Bonjour,

Concernant le chat de Yahoo, je n'avais rien trouvé, mais je suis tombé sur le port utilisé qui est le 5050. Une autorisation sortante pour le port 5050 en TCP m'a permis de débloquer le chat de Yahoo.

Concernant l'utilisation de l'imprimante (qui est connectée à mon réseau wifi), je n'arrive pas à la faire fonctionner, et ce problème vient manifestement du pare-feu (vu que cela fonctionne quand je le désactive et que cela ne fonctionne plus quand je l'active...). Que faut-il que j'autorise dans le pare-feu afin de me permettre de scanner (cela doit donc être une entrée) et d'imprimer (cela doit être une sortie)?

Dernière modification par doberman6 (Le 05/05/2011, à 22:00)

Hors ligne

#17 Le 07/05/2011, à 12:02

Heliox

Re : Configurer GUFW pour les sorties

doberman6 a écrit :

Bonjour,

Concernant le chat de Yahoo, je n'avais rien trouvé, mais je suis tombé sur le port utilisé qui est le 5050. Une autorisation sortante pour le port 5050 en TCP m'a permis de débloquer le chat de Yahoo.

Concernant l'utilisation de l'imprimante (qui est connectée à mon réseau wifi), je n'arrive pas à la faire fonctionner, et ce problème vient manifestement du pare-feu (vu que cela fonctionne quand je le désactive et que cela ne fonctionne plus quand je l'active...). Que faut-il que j'autorise dans le pare-feu afin de me permettre de scanner (cela doit donc être une entrée) et d'imprimer (cela doit être une sortie)?

Dans l'absolu, il faut que trouve à quel port de ton ordinateur se connecte ton imprimante et que tu l'y autorise, après pour le reste… Tu devrais peut-être poster dans le section Internet et Réseau pour avoir plus de résultats…


Plus généralement pour UFW, j'ai testé les deux méthodes (la première consistant à rejeter les connexions entrantes et n'autoriser que les connexions sortantes. Et la deuxième consistant à tout refuser pour ajouter ses propres règles). La première est plus pratique et accessible mais la deuxième plus fine mais pas spécialement utile dans la majorité des cas.

Rappelons la nécessité d'avoir un pare-feu bien configuré sur son PC, c'est comme un bon mot de passe solide ! Rappelons aussi que UFW est un outil qui configure le pare-feu du noyau Linux (ce n'est pas un pare-feu en soi), UFW est facile à utiliser et à comprendre il est disponible sur Ubuntu et Debian.
Plus d'informations :

man ufw

Première méthode :
- Activation du pare-feu :

sudo ufw enable

- Activation des logs (très utile pour la suite) :

sudo ufw logging on

- Rejet par défaut des connexions entrantes :

sudo ufw default deny incoming

- Autorisation des connexions sortantes :

sudo ufw default allow outgoing

- Recherchement des règles du pare-feu pour finir :

sudo ufw reload

Après évidemment il y a le risque de virus/vers/etc : si un vers ou un rootkit ou quoi que ce soit d'autre se retrouve par une manipulation dangereuse sur Ubuntu, il peut envoyer des infos sortantes sur Internet sans intervention  du pare-feu (car configuré comme tel dans ses règles)… Mais après on est sur GNU/Linux, on est censé être savoir éviter les manipulations à risque (n'installer que des logiciels depuis des dépôts, ne favoriser que les dépôts officiels ou de confiance, faire ses mises à jour, etc.)

Deuxième méthode :
- Activation du pare-feu :

sudo ufw enable

- Activation des logs (très utile pour la suite) :

sudo ufw logging on

- Rejet des connexions entrantes :

sudo ufw default deny incoming

- Rejet des connexions sortantes :

sudo ufw default deny outgoing

Puis ajout des règles personnalisées, n'ajoutez que les règles qui concernent les logiciels que vous utilisez !

- Autoriser Firefox à accéder aux pages Web standard :

sudo ufw allow out 80/tcp
sudo ufw allow out 53/udp

- Autoriser Firefox à accéder à des pages sécurisées (HTTPS) qui utilisent un port particulier :

sudo ufw allow out 443/tcp

- Autoriser Firefox ou tout autre logiciel de téléchargement à se connecter à un serveur FTP :

sudo ufw allow out 21/tcp

- Autoriser les logiciels de message mail (Comme Thunderbird):
Il faut connaître le protocole "d'entrée" et "de sortie" de votre compte mail. Par exemple pour Gmail, le protocole "d'entrée" est IMAP et le protocole de sortie est "SMTP". Chez d'autres prestataires un autre protocole d'entrée peut être POP (plus ancien). Pour connaître les "protocoles" regardez dans la configuration de votre client mail. Ensuite, ajouter les règles qui correspondent aux protocoles de votre compte :
Pour "l'entrée" IMAP :

sudo ufw allow out 993/tcp

ou

sudo ufw allow out pop3

Pour "la sortie" SMTP :

sudo ufw allow out 465/tcp

- La connexion à MSN :

sudo ufw allow out 1863/tcp

- Autoriser le logiciel KTorrent (pas forcément valable pour d'autres logiciels de BitTorrent) :

sudo ufw allow out 443/tcp
sudo ufw allow out 4444/udp

De manière générale, pour autoriser une application quelle qu'elle soit à accéder à Internet, il faut déja autoriser le port qu'elle utilise et déterminer son protocole internet (tcp ou udp).
Une solution pour repérer le port est d'aller voir dans les préférence de l'application en question, souvent il est spécifié de même que le protocole Internet utilisé (mais plus rare). Pour déterminer le protocole, il suffit d'ouvrir le logiciel d'affichage des journaux systèmes ("Journaux systèmes" dans Gnome, KSystemLog dans KDE) et d'ouvrir le fichier situé dans le dossier /var/log/ufw.log (cette manipulation suggère que vous ayez activé la journalisation comme indiqué ci-dessus). Et vous verrez les messages d'erreur.

Prenons cet exemple dans mon fichier :

[ 7941.111714] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.0.9 DST=209.85.229.147 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=26781 DF PROTO=TCP SPT=33986 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0

Ce message est apparu lorsque je n'avais pas autorisé l'application Firefox à accéder à Internet que j'avais cherché quelque chose sur Google (oui c'est con, mais c'est didactique ! tongue)

Ce message me montre que UFW a bloqué une connexion : [UFW BLOCK], qui tentait de sortir par mon interface Ethernet (OUT=eth0), SRC est la source de la requête je pense) donc moi (192.168.0.9) mon adresse IP sur mon réseau local derrière ma Box. DST (le destinataire de la requête j'imagine) est 209.85.229.147. Pour savoir qui se cache derrière cette adresse, il suffit de taper la commande whois (who is -> qui est) :

whois 209.85.229.147

Et là je tombe sur Google.
PROTO=TCP me montre le protocole utilisé qui est dans la cas présent TCP. Et DPT=80 montre que c'est le port 80 qui est utilisé.
Je peux ainsi déterminer que mon PC est la source d'une requête vers Google en passant par mon interface Ethernet via le port 80 avec le protocole TCP.
Avec toutes ces informations, j'ai pu ajouter la règle "ufw allow out 80/tcp" et autoriser les connexions sortantes vers Internet.

Le fichier de journalisation peut-être utile pour avoir des informations précises quant à ce qui bloque un programme, mais attention avant d'ajouter une autorisation, vérifiez bien à ne pas ouvrir plus de ports que nécessaire, sinon ça annulerait tous les bénéfices de cette méthode. Demandez sur le forum pour plus d'informations.

Enfin tout ce que je dis c'est ce que j'ai trouvé en faisant diverses recherches et expérimentations, étant plus proche du novice que de l'expert, je ne puis rien assurer, mais si ça peut être utile. smile

Dernière modification par Heliox (Le 11/05/2011, à 15:50)

#18 Le 02/11/2013, à 13:38

cimevague

Re : Configurer GUFW pour les sorties

quelqu'un sait comment configurer le pare feu sous ubuntu 13.10 pour permettre à vlc d’accéder au net. J'ai un problème de connexion à la free box pour regarder la télé sur pc. Merci

Hors ligne

#19 Le 15/11/2021, à 21:57

blh

Re : Configurer GUFW pour les sorties

Merci Heliox pour ton astuce avec les journaux systêmes, j'ai pu configurer GUFW pour toutes mes applications et cela en 2021!! big_smile
Linux Mint 20.2 Cinnamon

Hors ligne