Debuter pare-feu Squeeze

Support Debian
#1

sous-titre : Il y a Bien un Firewall ?

Bonjour

Installée depuis 3 jours:
une Squeeze 6.04 / 64 bits / gnome 2.30.2
avec Freebox en “mode routeur” .

je crois avoir compris qu’il y a un pare-feu dans Squeeze.
je voudrai bien le configurer, si besoin , pour mon usage.

On trouve beaucoup de docs, mais en tant que novice ,
j’ai du mal à différencier ce qui est actuel et ce qui est très obsolète.

Que faut il lire d’actuel , simple et pratique pour ma version?

Pour un pc familial: internet, surf et courriel sécurisés …et éviter que l’on vienne hacker mon dossier de photos et autres données personnelles.

et si ça se fait en interface graphique, j’aime autant :wink:

#2

Salut,

[quote=“visio”]sous-titre : Il y a Bien un Firewall ?[/quote]Oui, iptables

[quote=“visio”]et si ça se fait en interface graphique, j’aime autant :wink:[/quote]Dans une console graphique ? :mrgreen: oui!

Regarde ça: mise en place d’un pare-feu filtrant à l’aide d’iptables
C’est plutôt simple, mais ça reste de la ligne de commande…

#3

Merci de me répondre à cette heure matinale .

Simple… j’ai dit simple ; tu dis simple .

j’ai le choix :

  • perdre les 3 cheveux qu’il me restait

  • rien faire , laisser iptables tranquile , il ne m’a rien fait !

  • mettre zonealarme sous wine

  • “passer” à bubuntu

  • “passer” à windows 7; 8.

  • aller faire du vtt

  • regarder les photos de mes starlettes preferées

    Bon ! je m’accorde quelques instant de reflexion.

      ps :je ne met pas les smileys ,il y en aurait trop
#4

Ça ne marchera pas : les firewall Windows utilisent des pilotes pour fonctionner, chose que Wine ne gère pas.

Pour le reste, bah… netfilter / iptables est le seul et unique firewall sous Linux, y’a pas vraiment le choix. Après y’a bien des interfaces graphiques pour le configurer mais perso je les connais pas. Je crois que shorewall est l’une d’entre elles (edit : après vérification dans le lien qu’a donné lol ci-dessous, shorewall est aussi en ligne de commande, ça te plaira pas).
En tous cas ne t’attends pas à pouvoir faire du filtrage applicatif (lire : tel programme est autorisé et tel autre bloqué) comme sous Windows, ça ne marche pas comme ça sous Linux. Même avec une interface graphique pour t’aider à configurer le truc, ce que tu autoriseras / bloqueras ça sera des numéros de ports, pas des programmes. *buntu ne sera pas différent à ce niveau.

#5

Salut,
Il doit y avoir des solutions (c’est toujours iptables en dessous) avec des interfaces. Je ne les utilise pas.
Tu en trouvera ici: wiki.debian.org/Firewalls (regarde ceux avec gui).

Pas sur que ce soit plus simple qu’un petit script…
Regarde aussi ça: Parefeu Simplifié
Tu pourra demander des infos ou de l’aide ici: Discussion sur ce script

Bonne chance… :wink:

Edit: +1 pour les explications de Syam

#6

Pour une interface graphique à Netfilter il y a firestarter mais je recommande plus tôt de taper dans la butte et d’apprendre les principales règles d’Iptable te de t’appuyer sur des scripts éprouvé par la communauté.

#7

+1
Le principal souci avec les bidules graphiques c’est que tu ne trouveras quasiment personne pour t’aider si jamais tu rencontres un problème, étant donné que leur utilisation est très confidentielle.

#8

D’autant plus que ces interfaces graphiques (tel que fwbuilder te permettent de créer les règles de flux à autoriser sans avoir à utiliser de ligne de commande mais elles ne t’éviteront pas d’avoir à étudier le fonctionnement et les règles à utiliser contrairement à un “firewall” sous Windows où l’on peut choisir un type d’utilisation “réseau public”, “réseau de confiance”, “réseau personnel” afin que le firewall établisse lui même les règles (ce que je considère facilement faillible).

Sous Linux, ça n’est pas plus compliqué, c’est juste différent et à permet surtout de tout maitriser. A toi de voir si tu veux maitriser les flux entrants et sortants de ton réseau personnel via ton pc sous Linux ou si tu considère que le mode routeur de ta bobox (filtre les flux entrants et certains sortants) associé aux firewall des postes clients (filtre les flux entrants et sortants mais te manière moins maitrisés) te suffisent.

:slightly_smiling:

#9

Ufw est pas mal aussi pour débuter, ainsi que son interface graphique gufw :wink:

#10

Bonjour .
Merci à tous pour ces conseils .
Je vais aller faire du vtt;profitant d’une éclaircie rare ces jours ci en Provence.

je relirai vos posts après,en détails .
Va pour la ligne de commande, terminal tout ça ,pour commencer.ça élimine le dur choix de l’interface graphique;-)

je pense qu’il faut que je cherche et comprenne ce que fait dejà iptables d’origine.
Puis ce que je veux lui demander de faire;
car à part autoriser un port spécifique p2p ,
je n’ai aucune idée de ce qu’il faut autoriser ou interdire de plus que ce qui fonctionne déjà.

je savais d’avance que le firewall ne serait pas une petite affaire.

mode feignant:On doit bien trouver des lignes de commandes toutes prêtes
pour l’usage minimaliste que j’ai.
merci encore

#11

+1
Pour l’utilité que j’en ai (ouvrir quelques ports par ci, par là), il me suffit amplement…
http://doc.ubuntu-fr.org/gufw

#12

+1
Pour l’utilité que j’en ai (ouvrir quelques ports par ci, par là), il me suffit amplement…
http://doc.ubuntu-fr.org/gufw[/quote]

Je viens de l’installer et de le tester, effectivement, c’est pas mal… :wink:

Très léger, facile à installer et utiliser.
Pour un pc de bureau c’est parfait…

Par contre les règles sont tarabiscotées… faut pas soulever le capot! :mrgreen:

iptables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -N ufw-after-forward -N ufw-after-input -N ufw-after-logging-forward -N ufw-after-logging-input -N ufw-after-logging-output -N ufw-after-output -N ufw-before-forward -N ufw-before-input -N ufw-before-logging-forward -N ufw-before-logging-input -N ufw-before-logging-output -N ufw-before-output -N ufw-logging-allow -N ufw-logging-deny -N ufw-not-local -N ufw-reject-forward -N ufw-reject-input -N ufw-reject-output -N ufw-skip-to-policy-forward -N ufw-skip-to-policy-input -N ufw-skip-to-policy-output -N ufw-track-input -N ufw-track-output -N ufw-user-forward -N ufw-user-input -N ufw-user-limit -N ufw-user-limit-accept -N ufw-user-logging-forward -N ufw-user-logging-input -N ufw-user-logging-output -N ufw-user-output -A INPUT -j ufw-before-logging-input -A INPUT -j ufw-before-input -A INPUT -j ufw-after-input -A INPUT -j ufw-after-logging-input -A INPUT -j ufw-reject-input -A INPUT -j ufw-track-input -A FORWARD -j ufw-before-logging-forward -A FORWARD -j ufw-before-forward -A FORWARD -j ufw-after-forward -A FORWARD -j ufw-after-logging-forward -A FORWARD -j ufw-reject-forward -A OUTPUT -j ufw-before-logging-output -A OUTPUT -j ufw-before-output -A OUTPUT -j ufw-after-output -A OUTPUT -j ufw-after-logging-output -A OUTPUT -j ufw-reject-output -A OUTPUT -j ufw-track-output -A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input -A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input -A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input -A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input -A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input -A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input -A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input -A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] " -A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] " -A ufw-before-forward -j ufw-user-forward -A ufw-before-input -i lo -j ACCEPT -A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT -A ufw-before-input -m state --state INVALID -j ufw-logging-deny -A ufw-before-input -m state --state INVALID -j DROP -A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT -A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT -A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT -A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT -A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT -A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A ufw-before-input -j ufw-not-local -A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT -A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT -A ufw-before-input -j ufw-user-input -A ufw-before-output -o lo -j ACCEPT -A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT -A ufw-before-output -j ufw-user-output -A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] " -A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] " -A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN -A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN -A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN -A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny -A ufw-not-local -j DROP -A ufw-skip-to-policy-forward -j DROP -A ufw-skip-to-policy-input -j DROP -A ufw-skip-to-policy-output -j ACCEPT -A ufw-track-output -p tcp -m state --state NEW -j ACCEPT -A ufw-track-output -p udp -m state --state NEW -j ACCEPT -A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT -A ufw-user-input -p udp -m udp --dport 22 -j ACCEPT -A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT -A ufw-user-input -p udp -m udp --dport 80 -j ACCEPT -A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] " -A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable -A ufw-user-limit-accept -j ACCEPT

#13

une page qui m’a bien aidé:

http://www.commentcamarche.net/faq/1317-linux-installation-d-un-firewall

#14

l’impasse :
j’ai:

  • lu plusieurs tutoriels de iptables et c’est vraiment complexe et me parait long à assimiler pour une mise en fonction rapide
  • chercher un ensemble de règles toutes prêtes pour iptables , mais j’ai rien trouvé de simple et utilisable “vite fait bien fait”

-installer ufw et gufw ,puis :systeme/administration/ firewall configuration ;me demande mon password mais l’interface ne se lance pas

Est il prudent que je continue à me connecter au net ; car
j’ai cru comprendre que iptable par defaut autorise tout ?

#15

Salut,

[quote=“visio”]l’impasse :
j’ai:

  • lu plusieurs tutoriels de iptables et c’est vraiment complexe et me parait long à assimiler pour une mise en fonction rapide
  • chercher un ensemble de règles toutes prêtes pour iptables , mais j’ai rien trouvé de simple et utilisable “vite fait bien fait”

-installer ufw et gufw ,puis :systeme/administration/ firewall configuration ;me demande mon password mais l’interface ne se lance pas

Est il prudent que je continue à me connecter au net ; car
j’ai cru comprendre que iptable par defaut autorise tout ?[/quote]

Tu es derrière une “box” qui intègre déjà un pare-feu, tu es déjà protégé.
Pour gufw, lance-le dans une console pour voir les éventuels messages en arrière plan:

#16

oui si je fait “gufw” dans le terminal administrateur,son interface vient ,toute vierge.
si je peut lancer guft par ce moyen ,c’est pas grave que l’icone ne fonctionne pas
merci
Bon je" vais pouvoir me pencher sur sa configuration

je commence à me demander sérieusement à quoi me sert un pare feu :
soit
la maison est bien fermée
soit
je laisse portes et fenêtres ouvertes; mais j’enlève tous ce que l’on pourrait voler

#17

Salut,
Je n’ai pas parlé de terminal administrateur:
$ signifie simple utilisateur. # signifie root

Le parefeu, quand tu l’ouvre est évidemment vide de toutes règles “persos”. Il faut les ajouter…
Il suffit de l’activer puis d’ajouter tes propres règles. Par défaut, il bloque tout le trafic entrant, mais laisse tout le trafic sortant (en laissant ouvert le retour du trafic sortant, évidemment).
La configuration par défaut est suffisante.

#18

[quote=“visio”]Est il prudent que je continue à me connecter au net ; car
j’ai cru comprendre que iptable par defaut autorise tout ?[/quote]
Bof, depuis que je tourne sous Debian (et avant même avec Ubuntu si ma mémoire est fiable) je n’ai jamais utilisé de pare-feu alors que je suis connecté à Internet en permanence… Et je n’ai toujours eu ni méchants Anonymous, ni méchants agents fédéraux à venir me piquer ma musique ou mes CVs !

PS : Je remarque tout de même que par défaut mon routeur intègre un pare-feu qui bloque tout le trafic entrant sans distinction.

#19

avoir un pare-feu configuré sur chaque machine, ça peut être utile dans le cas ou une machine de ton réseau serait compromise, pour éviter que l’intrus éventuel ne puisse se balader de machine en machine (ce qui ne dispense pas de configurer les services de chaque machine de façon sécurisée -accès ssh, etc…)

l’idéal étant d’avoir un pare-feu dédié et configurable (pfSense, MonoWall ou autre…) derrière le modem adsl.

#20

Le mieux est bien sur de faire ton propre firewall via iptables car pour certains logiciels les ports à ouvrir son obscure.

Le gros avantages de le faire toi meme est de le cnfigurer exactement comme tu le veux (plus ou moins permissif). Au début c’est compliqué mais aprés ca se fait super bien.

J’essayerais de poster ce soir mon fichier de conf’ et le firewall.

En espérant avoir aider…

Edit: quand j’avais fais le mien je m’étais pris la tête alors que j’aurais dû venir ici. Tant pis pour moi