Je profite de ce fil pour poser ma question (dsl pour l’auteur de polluer un peu…). Quelle différence y-a-t-il entre ufw et iptables ?
[quote=“jul”]Je profite de ce fil pour poser ma question (dsl pour l’auteur de polluer un peu…). Quelle différence y-a-t-il entre ufw et iptables ?
le sujet est complexe, en gros parce que , iptables est configurable a shouait ,donc beaucoup de possibiliter.
pour comprendre il faut un vrai tuto et c’est plutôt de ce coter.
inetdoc.net/guides/iptables-tutorial/
Sinon tu peux essayer ça : formation-debian.via.ecp.fr/firewall.html
Il y’a un fichier d’exemple dans les fichiers de configuration, et l’article explique comment tout cela fonctionne.
C’est le fichier que j’utilise chez moi (adapté, of course) : est-ce que les grands gourous d’iptables peuvent me dire si il est pourri/déconseillé/autre, et si oui pour quelle raison?
[quote=“jul”]- ufw se substitue-t-il complètement à iptables ? Une couche supplémentaire en quelque sorte ?
Pas très clair…
Netfilter et iptables sont des exemples de polysémie, ce qui ne facilite pas la compréhension.
On lit souvent que netfilter est la partie dans le noyau qui réalise le filtrage alors qu’iptables est la partie en espace utilisateur qui permet de manipuler les règles de filtrage. La réalité, de mon point de vue, est plus nuancée.
Netfilter est une infrastructure générique intégrée à la pile IP du noyau qui permet la manipulation des paquets IP. Iptables s’appuie sur cette infrastructure pour réaliser le filtrage, le NAT et d’autres manipulations des paquets IP. Iptables est composé de deux parties :
On peut noter qu’iptables n’est pas obligatoirement l’unique façon de faire du filtrage au sein de netfilter : ainsi dans le noyau 2.4 qui a vu l’apparition du couple netfilter/iptables, il y avait aussi un module dans netfilter pour ipchains, le filtre de paquets du noyau 2.2. Si iptables ne vous convient pas, rien n’empêche de développer votre propre module de filtrage intégré dans netfilter.
[quote=“lol”]Salut,
Je n’ai pas parlé de terminal administrateur:
$ signifie simple utilisateur. # signifie root
en terminal simple et
1)mon mot de passe utilisateur :Impossible de lancer /usr/share/gufw/gufw.py en tant qu’utilisateur root.
Le mécanisme d’autorisation sous-jacent (sudo) ne vous autorise pas à lancer ce programme. Contactez votre administrateur.
2)mon mot de passe root 
gksudo:2935): GLib-CRITICAL **: g_str_has_prefix: assertion `str != NULL’ failed
ça doit être mal installé !
merci Jul de poser les bonnes questions ; je commence à comprendre
Netfilter / iptables / ufw / gufw
moi , il me faudrait d’abord une interface pour configurer gufw …
Salut,
Non, c’est bien installé.
Tu lance avec l’utilisateur normal, puis tu débloque avec le mot de passe “root”.
Une fois activé, le pare feu est fonctionnel. C’est tout ce qu’il y a à faire.
Salut,
Il a déjà installé gufw. Il est très simple et fonctionne très bien.
Inutile de se perdre dans 50.000 installations…
[quote=“lol”]Salut,
Non, c’est bien installé.
Tu lance avec l’utilisateur normal, puis tu débloque avec le mot de passe “root”.
non ! pass root donne gksudo:2935): GLib-CRITICAL **: g_str_has_prefix: assertion `str != NULL’ failed
je n’arrive à gufw que si je lance en “terminal administrateur”.
Les autorisations du mot de passe utilisateur sont mal installées?
[quote=“visio”]
non ! pass root donne gksudo:2935): GLib-CRITICAL **: g_str_has_prefix: assertion `str != NULL’ failed
je n’arrive à gufw que si je lance en “terminal administrateur”.
Les autorisations du mot de passe utilisateur sont mal installées?[/quote]
Pas grave.
Lance le en root, active-le, et c’est bon… 
Vérification avec
Pendant une période, gufw me faisait un truc du genre aussi, je ne me souviens plus de trop… Mais je crois que je lançais gufw avec :
Ensuite tu entres ton passwd root ; et là ça passait bien.
pour l’heure j’arrive à installer gufw 9.10.2-1 par gestionnaire paquets synaptic ; mais pas à forcer d’installer la version 12.0.4.
et en téléchargeant 12.0.4. et essayant de l’installer avec GDebi :
Erreur : Dependency is not satisfiable: python2.7
[quote=“visio”]pour l’heure j’arrive à installer gufw 9.10.2-1 par gestionnaire paquets synaptic ; mais pas à forcer d’installer la version 12.0.4.
et en téléchargeant 12.0.4. et essayant de l’installer avec GDebi :
Erreur : Dependency is not satisfiable: python2.7[/quote]
Ça sert à rien d’avoir la 12.0.4… 
Contente toi de ce qui est dans stable, ça fonctionne parfaitement.
Ça donne quoi ?
Lol a ecrit
Ça sert à rien d’avoir la 12.0.4…
Contente toi de ce qui est dans stable, ça fonctionne parfaitement.
Ça change que ma version ,sous “activé” , n’a pas “entrant” et “sortant” mais seulement “par défaut” …ça change tout , non !
Ça donne quoi ?[/quote]
c’est mieux :dans le terminal utilisateur + pass root, ça ouvre
l’interface gufw.
Fwbuilder fonctionne , mais la configuration n’est pas forcement plus intuitive.
Bon je désinstalle tout ça et repart avec iptables :
je veux juste pouvoir utiliser le navigateur ;la box étant en mode routeur avec dhcp actif/ping inactif/redirection de ports tcp et udp déjà configuré dans Squeeze.
je bloque tout et je n’autorise que ça .
je va chercher des petits bouts de commande adéquats
Si j’arrive même pas à faire ça ,il vaut mieux que j’aille faire du jardinage.
non,tout s’apprend, certaines choses peut être avec une tête plus reposée…
Salut,
Ça change que ma version ,sous “activé” , n’a pas “entrant” et “sortant” mais seulement “par défaut” …ça change tout , non ![/quote]
C’est là ou tu te trompes…
Tu n’as pas l’option sur le trafic sortant car il est autorisé par défaut.
Et le trafic entrant qui correspond aux retour des paquets du trafic sortant est autorisé.
[code]iptables-save
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [61:3032]
…
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
…
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
…[/code]
La protection est bonne. Tu commence par bloquer tout ce qui entre.
Il te suffit ensuite d’autoriser sur les ports ou tu as des services qui écoutent le trafic entrant (Serveur Web, ssh, ftp, etc.).
Tu as moins d’options, c’est vrai, mais je ne pense pas que tu vas t’amuser à bloquer le trafic sortant… Si ?
Dans ce cas là, il te faut un outil plus pointu.
Maintenant…
Tu as quand même la possibilité d’installer la version wheezy de gufw; Il faut juste savoir comment le faire.
Tu ajoute testing à ton sources.list:
Tu crée un fichier preferences qui te permettra de rester en stable, quoi qu’il arrive:
/etc/apt/preferences
[code]Package: *
Pin: release a=stable
Pin-Priority: 900
Package: *
Pin: release a=squeeze-updates
Pin-Priority: 1001
Package: *
Pin: release a=testing
Pin-Priority: -10[/code]
Tu met à jour et tu installe la version de testing:
apt-get update
apt-get install gufw/testing
apt-cache policy gufw
gufw:
Installé : 11.04.2-1
Candidat : 11.04.2-1
Table de version :
*** 11.04.2-1 0
-10 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
100 /var/lib/dpkg/status
9.10.2-1 0
900 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages
Tu as quand même la possibilité d’installer la version wheezy de gufw; Il faut juste savoir comment le faire.
Tu ajoute testing à ton sources.list:
OUI
Tu crée un fichier préférences qui te permettra de rester en stable, quoi qu’il arrive:
/etc/apt/preferences
[code]Package: *
Pin: release a=stable
Pin-Priority: 900
Package: *
Pin: release a=squeeze-updates
Pin-Priority: 1001
Package: *
Pin: release a=testing
Pin-Priority: -10[/code]
ça j’ai pas su ,“préférences” c’est un fichier texte.
à la place aprés avoir telecharger la version wheezy de gufw, j’ai
arreté : ftp.fr.debian.org/debian/ testing
Tu met à jour et tu installe la version de testing:
apt-get update
apt-get install gufw/testing
apt-cache policy gufw
gufw:
Installé : 11.04.2-1
Candidat : 11.04.2-1
Table de version :
*** 11.04.2-1 0
-10 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
100 /var/lib/dpkg/status
9.10.2-1 0
900 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages[/quote]
bon ça le fait j’ai maintenant Gufw 11.04.2 ,
juste qu’il semble ne pas vouloir rester “activé”
suis content que ça avance un peu quelque part quand même
[quote=“visio”]ça j’ai pas su ,“préférences” c’est un fichier texte.
à la place aprés avoir telecharger la version wheezy de gufw, j’ai
arreté : ftp.fr.debian.org/debian/ testing[/quote]
Le fichier est à créer.
Mais si tu as viré testing de ton sources.list après l’installation, ça le fait aussi: (c’est juste un peu moins “propre”, tu te retrouves avec un paquet installé qui n’a plus de dépôt; En cas de MAJ de ce paquet dans testing tu ne seras pas averti).
Qu’est ce qui te fais dire que gufw ne reste pas actif ?
Tu l’as bien débloqué (“unlock”) puis activé ?
Que donne ceci:
[quote=“lol”][quote=“visio”]ça j’ai pas su ,“préférences” c’est un fichier texte.
à la place aprés avoir telecharger la version wheezy de gufw, j’ai
arreté : ftp.fr.debian.org/debian/ testing[/quote][/quote]
Le fichier est à créer.
c’est un fichier texte qu’il faut faire pour "preferences ??
Mais :impossible , autorisation refusée ; malgré que je soit obligé de rentrer mon pass root toutes les 2 minutes…
Étonnant…
En console avec sudo : sudo editor /etc/apt/preferences
En console avec su : su -c 'editor /etc/apt/preferences’
En graphique (Gnome) avec gksudo : gksudo gedit /etc/apt/preferences
En graphique (Gnome) avec gksu : gksu gedit /etc/apt/preferences