Plutôt /etc/rcS.d si j’en crois les en-têtes de son script.
L’action “start” se contente de charger les règles contenues dans /etc/config_parefeu. Que contient ce fichier ?
Le sript au dessus c’est ce qu’il y a dans /etc/init.d/parefeu.
/etc/config_parefeu est vide.
Normal que le jeu de règles iptables soit vide, alors. Maintenant il faut le remplir.
C’est ce que je lui ai déjà répondu, il a suivi le tuto mais il s’est arrêté au milieu.
Un tuto, ça se lit jusqu’au bout.
Alors, ce n’est pas très sympa de penser que je n’avais pas lu jusqu’au bout… Que je n’ai pas compris tout compris, c’est une évidence, mais j’avias bien tout lu…
Ensuite, c’est certainement plus facile pour ceux qui ont déjà des années de linux, mais moi je n’ai rien configurer parce que je ne savais pas que j’étais à considérer comme “hôte ou serveur non routeur”
Donc j’ai bien entré :
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Je me retrouve avec un fichier config_parefeu comme ceci :
Generated by iptables-save v1.4.8 on Tue Jul 24 15:27:51 2012
*filter
:INPUT DROP [33:3469]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [14:1311]
-A INPUT -i lo -j ACCEPT
COMMIT
Completed on Tue Jul 24 15:27:51 2012
Generated by iptables-save v1.4.8 on Tue Jul 24 15:27:51 2012
*nat
REROUTING ACCEPT [25:2470]
OSTROUTING ACCEPT [3:336]
:OUTPUT ACCEPT [3:336]
COMMIT
Completed on Tue Jul 24 15:27:51 2012
Generated by iptables-save v1.4.8 on Tue Jul 24 15:27:51 2012
*mangle
REROUTING ACCEPT [33:3469]
:INPUT ACCEPT [33:3469]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14:1311]
OSTROUTING ACCEPT [22:2310]
COMMIT
Completed on Tue Jul 24 15:27:51 2012
Generated by iptables-save v1.4.8 on Tue Jul 24 15:27:51 2012
*raw
REROUTING ACCEPT [33:3469]
:OUTPUT ACCEPT [14:1311]
COMMIT
Completed on Tue Jul 24 15:27:51 2012
Ben à vue de nez, il est déjà pas mal comme protection de base.
Par exemple, il est étonnant qu’on ne voient pas les lignes du genre :
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport XXXXX -j ACCEPT
Là, tu nous as donné une copie du fichier, il serait intéressant que tu nous donnes plutôt le résultat exact de cette commande !
iptables-save
pour une utilisation de “base” si tu n’as pas de serveur de données ou de serveur web tu peux simplement utiliser le pare feu de ta box si il y en a un,c’est efficace et suffisant et ça te laissera le temps d’étudier plus à fond le paramétrage de iptables;il y a aussi firestarter ou gufw comme interfaces graphiques à iptables.
Salut,
Pour tester rapidement ton parefeu tu peux utiliser l’outil nmap. Par défaut tu met l’IP de la machine en argument et il va tester les ports classiques.
Sinon, j’utilise personnellement et depuis peu de temps Ferm qui est un outil permettant de maintenir plus facilement un parefeu. Ca permet vraiment d’obtenir des fichiers de conf de parefeu facilement lisibles.
Le site officiel c’est ca : ferm.foo-projects.org/ et il y a un paquet dans l’archive Debian.
A+
En effet il manque la règle avec ESTABLISHED,RELATED dans le fichier alors qu’elle fait partie des règles mentionnées juste au dessus. En revanche la règle avec -i lo est bien présente, et les deux dernières sont optionnelles.
D’un autre côté, ce fichier a été créé à partir de la sortie d’iptables-save.
Oui, mais il faut le faire depuis une autre machine connectée sur le même réseau local.
D’un autre côté, ce fichier a été créé à partir de la sortie d’iptables-save…[/quote]
Tu as raison Pascal, et j’avais bien vu l’indication mais “iptable-save” est souvent plus bavard.
Chez moi, par exemple, il me donne deux lignes supplémentaires. Ok, elles ne concernent que fail2ban mais ces lignes sont absentes du fichier.
Alors le soucis est le suivant :
Si je tape : “iptables-save”, cela ne me donne rien dans la console, sauf si je tape avant : “/etc/init.d/parefeu start”, mais le problème c’est que juste après je paume la connection internet, du coup je n’arrive pas à vous postez le résultat, je ne comprend pas pourquoi.
Je pensais que le parefeu se mettait en route tout seul avec la navigateur net… ce n’est pas le cas?
C’est donc que le script n’est pas exécuté automatiquement au démarrage du système.
Commande update-rc.d à revoir ?
Normal avec le contenu du fichier /etc/config_parefeu que tu as fourni plus haut : comme déjà dit il manque la règle suivante qui accepte les paquets entrants appartenant ou liés à une connexion existante :
Sans elle, tous les paquets reçus sont bloqués, ce qui est légèrement handicapant pour communiquer avec l’extérieur.
Cela t’empêche d’enregistrer le résultat dans un fichier et de l’envoyer ensuite, après avoir arrêté le pare-feu ?
Non, quelle drôle d’idée. En quel honneur le pare-feu, qui a pour but de protéger le système entier, serait-il lié à l’exécution d’un navigateur ou de n’importe quelle autre application ?
Là, je n’ai pas le temps mais c’est donc que ton parefeu ne se charge pas au boute
Certainement ‘update-rc.d’ mal renseigné.
EDIT : grilled !
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -> je l’ai rajoutée et effectivement après avoir fait parefeu start je peux me connecter au net maintenant.
Par contre à propos d’iptables-save, je n’ai le résultat qu’après avoir fait parefeu start, donc cela confirme bien qu’il se démarre pas seul au boot le parefeu? Et ce malgré la commande update que j’ai retapée… bizarre
Bon… Il ne faut pas se voiler la face, je n’y arrive pas!
Du coup j’ai virer le dossier /etc/init.d/parefeu et /etc/config_parefeu, j’ai télécharger ufw et gufw, comme conseillé plus haut, lancer gufw dans la console et hop ça marche.
Merci pour vos conseils 
Salut,
Très bon choix pour commencer!
Tu peux regarder les règles iptables crées par ufw pour voir ce qu’il a fait…