Pour la sortie mais pas pour l’entrée quand meme non ?[/quote]
Non non: comme la plupart des paquets debian, le paquet de configuration “iptables” ne modifie rien, et fournit juste les moyens de faire du pare feu. Le fait de l’installer n’a donc aucun effet sur la machine.
Ca évite les surprises des installs windows: quand on installe un soft sous debian, tant qu’on a rien configuré, aucune chance que ca casse la machine.
Je crois que les paquets d’antivirus déroge à ce principe hérité des BSD, et que ca arrive tout bien configuré (par contre, il reste à l’activer tout de même).
[quote]Mais la loi n’est pas la pire ennemie de l’anarchie. La république et la démocratie sont même des chemins qui préparent l’utopie anarchiste, et il faut bien en passer par des réglementations, tant que l’individu n’a pas tous les outils pour juger de quand il empiète sur la liberté de son voisin.
Simplement le pouvoir du legislateur ne doit pas être entre les mains de representants, ou de quelque personne physique que ce soit d’ailleurs.
Seulement le peuple sans intermèdiaire.
Et ca, avant l’anarchie, ca s’appelle la démocratie participative/la démocratie directe.
Evidemment, l’attitude collective à adopter face à certaines questions est difficile à déterminer pour un libertaire.
Par exemple, le droit de chaque homme à disposer de son propre corps (qui pour moi devrait etre inscrit avant bien d’autres) justifie de fait la pratique de l’euthanasie, mais l’alienation du suicidé est elle respectable pour autant ?
L’anarchie necessite une conscience absolue de chaque individu (autant dire que ce n’est qu’un idéal), mais en attendant, il faut bien en passer par la loi pour poser les limites.[/quote]
J’arrive un peu tard dans le post surtout qu’il s’est recentré mais bon, s’il y avait eu la démocratie directe, l’esclavage, la peine de mort serait toujours d’actualité (dans tous les cas l’opinion publique était massivement pour conserver ces… pratiques), de même, les femmes ne pourraient toujours pas voter, avorter, je ne suis pas sûr que la contraception se serait imposée. Bref, la démocratie directe semble être le meilleur atout du conservatisme et de la réaction. D’accord pour ta vision de l’anarchie…
Pour la sortie mais pas pour l’entrée quand meme non ?[/quote]
Non non: comme la plupart des paquets debian, le paquet de configuration “iptables” ne modifie rien, et fournit juste les moyens de faire du pare feu. Le fait de l’installer n’a donc aucun effet sur la machine.
Ca évite les surprises des installs windows: quand on installe un soft sous debian, tant qu’on a rien configuré, aucune chance que ca casse la machine.
Je crois que les paquets d’antivirus déroge à ce principe hérité des BSD, et que ca arrive tout bien configuré (par contre, il reste à l’activer tout de même).[/quote]
Aie il va faloir que je me penche sérieusement sur le probleme alors! Ca passe en 1er sur ma todo list du coup
[quote=“fran.b”][quote]Mais la loi n’est pas la pire ennemie de l’anarchie. La république et la démocratie sont même des chemins qui préparent l’utopie anarchiste, et il faut bien en passer par des réglementations, tant que l’individu n’a pas tous les outils pour juger de quand il empiète sur la liberté de son voisin.
Simplement le pouvoir du legislateur ne doit pas être entre les mains de representants, ou de quelque personne physique que ce soit d’ailleurs.
Seulement le peuple sans intermèdiaire.
Et ca, avant l’anarchie, ca s’appelle la démocratie participative/la démocratie directe.
Evidemment, l’attitude collective à adopter face à certaines questions est difficile à déterminer pour un libertaire.
Par exemple, le droit de chaque homme à disposer de son propre corps (qui pour moi devrait etre inscrit avant bien d’autres) justifie de fait la pratique de l’euthanasie, mais l’alienation du suicidé est elle respectable pour autant ?
L’anarchie necessite une conscience absolue de chaque individu (autant dire que ce n’est qu’un idéal), mais en attendant, il faut bien en passer par la loi pour poser les limites.[/quote]
J’arrive un peu tard dans le post surtout qu’il s’est recentré mais bon, s’il y avait eu la démocratie directe, l’esclavage, la peine de mort serait toujours d’actualité (dans tous les cas l’opinion publique était massivement pour conserver ces… pratiques), de même, les femmes ne pourraient toujours pas voter, avorter, je ne suis pas sûr que la contraception se serait imposée. Bref, la démocratie directe semble être le meilleur atout du conservatisme et de la réaction. D’accord pour ta vision de l’anarchie…[/quote]
L’exemple de la conféderation helvetique est interressant:
entre 3 et 5 siècles de démocratie directe sur une population d’environ 1/8e de la france, ca fait une experience en réel significative.
Et donc, tu as raison d’insister sur la nécessité de “passer des caps en force”. C’est une incapacité de la démocratie directe d’évoluer rapidement, et c’est pour ça qu’il faut des “programmes” auxquels on se tient dans la durée, même quand c’est dur, et dans certains cas, même une personnalisation du pouvoir.
C’est pourquoi il me semble juste que la désignation d’un élu pour piloter un projet politique et garder une ligne directrice doit être une option de la démocratie.
Par ailleurs, on voit bien l’importance des partis et de la vie politique active pour garder encore quelques citoyens pour voter, et comme disent les suisses “trop de démocratie tue la démocratie”, et il faut bien laisser quelques joutes et débats d’idées pour stimuler l’interet du citoyen quant à la politique de son pays (ceci pour justifier l’entretien des partis).
Mais ce que je souhaiterais déjà, c’est qu’on passe d’une démocratie systêmatiquement (et faussement) représentative à une démocratie exceptionnellement représentative.
Et en attendant, la délégation de la menée de certaines politiques à des organismes, au paritarisme, ou à des instances représentatives locales ou professionnelles, et la multiplication des décisions prises par referendum, me semblent une bonne manière d’avancer dans le sens de cette dissolution des pouvoirs personnels pour laquelle je lutte (et oui, un scoop, j’ai ma carte dans un parti ! ).
Pour la sortie mais pas pour l’entrée quand meme non ?[/quote]
Non non: comme la plupart des paquets debian, le paquet de configuration “iptables” ne modifie rien, et fournit juste les moyens de faire du pare feu. Le fait de l’installer n’a donc aucun effet sur la machine.
Ca évite les surprises des installs windows: quand on installe un soft sous debian, tant qu’on a rien configuré, aucune chance que ca casse la machine.
Je crois que les paquets d’antivirus déroge à ce principe hérité des BSD, et que ca arrive tout bien configuré (par contre, il reste à l’activer tout de même).[/quote]
Aie il va faloir que je me penche sérieusement sur le probleme alors! Ca passe en 1er sur ma todo list du coup :/[/quote]
Pas d’inquiètude tout de même: on est sous linux, et à priori, ta machine, quoi que sans pare feu, n’est pas aussi dénuée de sécurité que si elle était sous win.
Mais c’est vrai qu’on peut peut être te faire un peu de mal, en cherchant bien quelques heures.
c’est seulement pour le TCP, pour l’UDP c’est simplement:
iptables -A INPUT -p tcp -m udp --dport 80 -j ACCEPT ?[/quote]
A part toi, je n’ai jamais vu utiliser le -m. De ce que je sais, "-p " => “-m protocol”, donc:iptables -A INPUT -p tcp -m [b]udp[/b] --dport 80 -j ACCEPT n’a pas de sens.
Pour passer d’une règle en tcp à une règle udp, c’est le -p qu’il faut modifier:iptables -A INPUT -p udp --dport 80 -j ACCEPT
Cela ne protége pas contre le ping, mais empêche purement et simplement tout fonctionnement du protocole ICMP en entrée. Ce n’est pas très pratique.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #(ftp)
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #(ftp)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #(ssh)
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #(web)
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT #(imprimante)
Et là, il y a un truc qui cloche. On autorise les etats RELATED et ESTABLISHED dans la première ligne. Or écrire :
revient à autoriser tous les états de connexions sur le port 80 NEW, RELATED, ESTABLISHED et INVALID. Cela fait de la redondance. Il serait plus intéressant de mettre quelque chose comme cela :
idem pour les autres. Cela autorise uniquement les nouvelles connexions à entrer. Du coup toute connexion qualifiée comme INVALID se verra droppée par la politique par défaut de la chîne INPUT.
“Pour un parefeu sur une machine serveur dhcp :”
Si le parefeu à une ip fixe, on n’utilise pas la target MASQUERADE mais la target SNAT qui consomme moins de ressources
[quote=“thialme”]http://ashgenesis.debian-fr.net/ricardo/iptables/
Je me permet quelques petites remarques :[/quote]
Pour info, plus que le contenu des règles, ce tuto (que j’ai inspiré à ricardo à la base) est destiné à montrer un script de boot exploitant iptables-save et restore pour accélèrer la mise en place du firewall en evitant une série d’iptables -A .
[quote=“thialme”]iptables -A INPUT -p icmp -j DROP
Cela ne protége pas contre le ping, mais empêche purement et simplement tout fonctionnement du protocole ICMP en entrée. Ce n’est pas très pratique.[/quote]Comment ça ? Bien sûr que si ça protège du ping.
Par contre, ça t’empêche de recevoir le pong, et il il faudrait effectivement affiner avec un truc du genre:
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type fragmentation-needed -j ACCEPT
[quote=“thialme”]iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #(ftp)
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #(ftp)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #(ssh)
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #(web)
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT #(imprimante)Et là, il y a un truc qui cloche. On autorise les etats RELATED et ESTABLISHED dans la première ligne. Or écrire :
revient à autoriser tous les états de connexions sur le port 80 NEW, RELATED, ESTABLISHED et INVALID. Cela fait de la redondance. [/quote]Non, parceque ça ne concerne pas que le port 80, mais aussi les retours de connections etablies depuis la machine vers des serveurs quel que soit le protocole.
Par exemple, tu vas attaquer un serveur ftp sur le port 21, mais depuis un port quelconque (ou presque), et ça va revenir vers ce port de ta machine en ESTABLISHED (qu’il faut bien ouvrir sinon le serveur ftp ne peut pas te répondre) et dans un deuxiême temps, quand la liaison de donnée s’établit vers le port ftp-data de ta machine, qui n’est ouvert nulle part, l’autorisation de rentrer vient alors du fait que les paquets venant du serveur son RELATED à la liaison qui s’est faite sur le port ftp. [quote=“thialme”]Il serait plus intéressant de mettre quelque chose comme cela :
idem pour les autres. Cela autorise uniquement les nouvelles connexions à entrer. Du coup toute connexion qualifiée comme INVALID se verra droppée par la politique par défaut de la chîne INPUT.[/quote]Non,. On peut effectivement limiter l’ACCEPT sur les ports qu’on ouvre aux paquets NEW, mais d’une, je ne sais pas trop comme ça si c’est suffisant, et de deux, c’est quoi ce --syn ?[quote=“thialme”]“Pour un parefeu sur une machine serveur dhcp :”
Si le parefeu à une ip fixe, on n’utilise pas la target MASQUERADE mais la target SNAT qui consomme moins de ressources[/quote]Je ne le savais pas quand j’ai mis en place le truc, et par ailleurs, il y a des outils de conntrack qui ne fonctionnent que sur du masq et pas sur du snat.
Mes remarques ne sont pas la pour faire du script quelque chose de compliquer mais simplement parce que je pense qu’il y aurait quelques petites choses à changer, en gardant donc à l’esprit que c’est plutôt un exemple
En effet, cela protège du ping mais empêche aussi d’être informé par les réponses du type, parameter-problem, time-exceeded et destination-unreachable …
[quote]
Par contre, ça t’empêche de recevoir le pong,
[/quote]aussi
Ce serait l’idée. -m icmp n’est pas nécessaire.
Je me suis mal exprimé :
La ligne 1 autorise toutes les connexions dont l’état est qualifié comme RELATED ou ESTABLISHED pour la chaine INPUT, et entre autre les connexions dont la destination est le port 80.
La ligne 2 autorise toutes les connexions sur le port 80 dont l’état est qualifié comme NEW, RELATED, ESTABLISHED et INVALID pour la chaine INPUT.
Il y a donc redondance entre les lignes 1 et 2 pour les connexions RELATED et ESTABLISHED pour la destination sur le port 80 pour la chaine INPUT.
J’en viens donc à proposer la règle matchant sur l’état NEW pour le port 80.
En admettant que les connexions avec un état RELATED et ESTABLISHED soient autorisées, pour la chaine INPUT, cela signifie qu’il est suffisant de filtrer suivant l’état NEW.
Du coup, pour un serveur :
[ul] web, il me suffirait d’autoriser l’état NEW pour le port 80
ftp, il me suffirait d’autoriser l’état NEW pour le port 21
ssh, il me suffirait d’autoriser l’état NEW pour le port 22
[/ul]
Les états suivants sont du point de vue Netfilter.
[ul]
1/ La demande de connexion sur mon serveur web (flag SYN), est de type NEW pour la chaine INPUT
2/ Mon serveur lui répond (flags SYN/ACK) - type ESTABLISHED pour la chaine OUTPUT
3/ Le client valide la connexion (flag ACK) - type ESTABLISHED pour la chaine INPUT
4/ Toutes les autres connexions du client sur le serveur web sont considérées comme ESTABLISHED.
[/ul]
L’option --syn permet de vérifier que seul le flasg SYN est monté, c’est l’équivalent à : --tcp-flags SYN,RST,ACK SYN
[quote]
[quote=“thialme”]“Pour un parefeu sur une machine serveur dhcp :”
Si le parefeu à une ip fixe, on n’utilise pas la target MASQUERADE mais la target SNAT qui consomme moins de ressources[/quote]Je ne le savais pas quand j’ai mis en place le truc, et par ailleurs, il y a des outils de conntrack qui ne fonctionnent que sur du masq et pas sur du snat.[/quote]
Aurais tu des exemples pour ma curiosité ?
bon en retard mais merci quand meme, s’il n’est pas exectement parfait pour les nuls, ce tuto, s’approche quand meme beaucoup de la perfection comme how-to-pour-nuls!!!
au secours j’ai commencer j’ai commencer a suivre le tutoriel pour parametré le pare feu
arriver a :
iptables -t filter -p OUTPUT ACCEPT
il mes sort la versionn iptables 1.3.6 ne connait pas le protocol output
d’essayer iptables -h
j’ai essayer mais rien il me met le menu
edit :pas tout compris j’avait plus de connection internet j’ai donc arreter mon_parefeu toujours pas d’acces j’ai redemarer le pc youpi re internet par hazard je retente et la ca fonctionne ^o)
donc ne pas tenir compte du post je poursuit désolé
merci impecable et claire (je confirm impec pour debutant) mise a part mon petit soucis cité just au dessus
Maintenant que j’ai copier “betement” le tuto me reste a comprendre a quoi serve les differente ligne que l’on ma fait ecrire copier c’est bien savoir c’est mieu (car on m’aurait fait ecrire en chinois ca aurait été la meme chose)
par contre si j’ai bien comprit j’ai ouvert un port pour jabber donc
en ce qui concerne les mise a jour de debian il n’utilise pas de port speciale ?
du coup qque je configure moi meme j’espere ne pas en oublier de port
[quote=“AigletoN”]au secours j’ai commencer j’ai commencer a suivre le tutoriel pour parametré le pare feu
arriver a :
iptables -t filter -p OUTPUT ACCEPT
il mes sort la versionn iptables 1.3.6 ne connait pas le protocole output
d’essayer iptables -h
j’ai essayer mais rien il me met le menu
[/quote]
-p c’est pour définir le protocol (TCP…), mais -P c’est pour définir la politique par défaut à l’aide d’une built-in chain, soit ACCPET ou DROP, mais pas REJECT.
