[quote=“ricardo”]Tu n’as pas dû lire les 3 premières lignes du tuto :

[quote]Voici une sorte de ‘tuto’ destiné à l’installation primaire d’un pare-feu (ou parefeu) sous Debian.
Ce qui suit n’a pas pour objectif de renseigner les utilisateurs accomplis, qui n’y apprendront rien de plus que ce qu’ils savent mais est plutôt dirigé vers les débutants, avec un maximum d’explications.[/quote]

Mais rien ne t’empêche d’écrire un tuto plus complet. [/quote]

avec mes fautes de français …
sinon je pense que placer ce lien serai peut être un compromis:
inetdoc.net/guides/iptables-tutorial/

Ignorer ipv6 reviens aux meme que d’ignorer ipv4…

Après avoir installé une Debian pour mon desktop (utilisation très basique), je ne configure jamais iptables…C’est grave ?

Quand tu sors, tu fermes la porte. A clef ou pas ?

Ça dépend. Iptables n’est pas forcément utile.

panthere > Pas toujours !

Seulement, c’est vrai qu’hormis sur ce sujet, je ne vois pas vraiment l’intérêt de configurer iptables. Enfin, je cherche à comprendre.

Il y a beaucoup de débutants qui se mettent à Debian, on ne trouve que rarement des gens qui disent : Une fois que tu as installé ta Debian, configure correctement iptables.

Pareil sur Ubuntu (quoiqu’il est peut-être déjà configuré).

C’est un peu problématique. J’utilise Debian depuis 4 ans sur plusieurs PC et jamais je n’ai configuré iptables, en fait…

Iptables n’est pas le seul parefeu, je crois, donc ptet en utilises-tu un autre.
Le parefeu, quel qu’il soit, est surtout recommandé pour un serveur qui est ouvert sur l’extérieur. Pour une machine qui n’est que rarement en liaison web, e-mails, etc. il y a beaucoup moins de risques d’être attaqué par des malveillants.
Je dis ptet des conneries mais dans ce cas, Pascal saura corriger.

[quote=“ricardo”]Iptables n’est pas le seul parefeu, je crois, donc ptet en utilises-tu un autre.
Le parefeu, quel qu’il soit, est surtout recommandé pour un serveur qui est ouvert sur l’extérieur. Pour une machine qui n’est que rarement en liaison web, e-mails, etc. il y a beaucoup moins de risques d’être attaqué par des malveillants.
Je dis ptet des conneries mais dans ce cas, Pascal saura corriger.[/quote]

1.- Les attaque ddos son constituer en grand partie d’ordinateur particulier…

2.- je confirme iptables n’est pas le seul par feux, debian est très bien sécuriser par défaut. et donc iptables n’est pas forcement utile…

3.-la majorité des utilisateur ne filtre pas la sorties. sa reviens a dire je suis intouchable… et pour moi le problème est là
Un pirate qui cherche a faire du ddos va chercher être le moins visible pour l’utiliser aux bon moment… bon je parle ddos mai il y a pas que ça, y compris celle qu’on ne connaît pas … laisser les clef sur la voitures et la fermer avec la “télécommande” n’empêchera pas d’entrer sans laisser de trace …

Concrètement, quels sont les risques pour un ordinateur connecté à Internet qui n’est pas un serveur ? Des attaques DDOS ? Quel intérêt ?

Pour faire du spoofing : fr.wikipedia.org/wiki/Usurpation_d’adresse_IP

EDIT : je cite :

Ca ne fonctionne pas chez moi

[quote]ls /etc/rcS.d | grep S**networking
S14networking
[/quote]

[quote]ls /etc/rc0.d | grep K**networking
K06networking
[/quote]

[quote]update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
update-rc.d: warning: start runlevel arguments (s) do not match mon_parefeu Default-Start values (2 3 4 5)
update-rc.d: warning: stop runlevel arguments (0 6) do not match mon_parefeu Default-Stop values (0 1 6)
[/quote]

[quote=“vger”]Ca ne fonctionne pas chez moi

[quote]ls /etc/rcS.d | grep S**networking
S14networking
[/quote]

[quote]ls /etc/rc0.d | grep K**networking
K06networking
[/quote]

[quote]update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
update-rc.d: warning: start runlevel arguments (s) do not match mon_parefeu Default-Start values (2 3 4 5)
update-rc.d: warning: stop runlevel arguments (0 6) do not match mon_parefeu Default-Stop values (0 1 6)
[/quote][/quote]
Ce n’est qu’un warning .
C’est Pascal qui m’avait demandé d’ajouter ça.
je crois qu’il y a un blocage avec ce qui est déclaré dans le script.
Perso, je ne m’en suis jamais occupé et ça ne m’a pas créé de problème.

En effet, je suis allé voir le script :
[mono]# Default-Start: 2 3 4 5

Default-Stop: 0 1 6[/mono]

Je suppose qu’en supprimant ces deux lignes, il n’y aura plus de warning
Ptet que Pascal passera par là ???

Je recommande de mettre “S” en start au lieu de “2 3 4 5” pour le script iptable afin qu’il soit démarré le plus tôt possible.

Idéalement il faudrait une prise en compte avant le montage des interfaces réseaux, non ?

C’est ce qu’avait préconisé Pascal et que j’avais ajouté au script :

[quote]update-rc.d mon_parefeu start XX S . stop YY 0 6 .
(Respectez bien les espacements et les points)

(Remplacez XX par le nombre immédiatement inférieur à celui qui indique la priorité de ‘networking’ dans /etc/rcS.d.
($ ls /etc/rcS.d | grep Snetworking
(renvoie chez moi “S15networking”. Il conviendra donc de remplacer XX par 14
(Remplacez YY par le nombre immédiatement supérieur à celui qui indique la priorité de ‘networking’ dans /etc/rc0.d
($ ls /etc/rc0.d | grep Knetworking
(renvoie chez moi “K07networking”. Il conviendra donc de remplacer YY par 08

(Ainsi, le parefeu sera actif avant l’activation des interfaces réseau configurées en auto dans /etc/network/interfaces et le restera jusqu’à leur désactivation)[/quote]

Oui.

Mais depuis qu’insserv gère l’ordre des scripts d’init ça ne marche plus, il faut utiliser les en-têtes LSB avec X-Start-Before ou approchant.

Sinon les programmes comme iptables-persistent, ils le démarrent avant les interface réseaux ou c’est pas vraiment ca?

Je ne sais pas. Il faut vérifier.

J’ai modifié le tuto pour cette partie.
Il est maintenant rédigé comme l’a expliqué Pascal.

J’ai vu que tu avais mis ton T&A à jour, @ricardo, mais deux petites questions :

• Pourquoi ne pas avoir mis à jour le lien vers cette discussion ?
• Pourquoi ne pas avoir inclus l’IPv6, suite au fil récent avec notamment Pascal Hambourg ?