Le parefeu est par des règles nftables gérées par iptables, nftables ou xptables, il s’agit juste de faire une mise à jour ponctuelle. Donc ici les iptables -F suppriment toutes règles, les iptables -P mettent les politiques par défaut à ACCEPT et les iptables -F *ROUTING suppriment toutes les redirections possibles. L’étonnant est qu’il y ait encore des règles iptables.
Démolir une configuration pour un seul accès occasionnel, c’est quand même excessif, donc oui la ligne de commande me parait idéale
Peut être, je ne peux pas te le confirmer.
Ce que je peux te confirmer c’est que je n’ai rien modifié, la distrib est entièrement d’origine.
Mais finalement ça ne m’étonne pas tant que ça, quand j’installe falkon ou chromium, impossible de surfer, toutes les requêtes sont refusées, ça ressemble beaucoup à mon problème de mise à jour.
Pour ma part, je n’ai touché à rien.
sudo iptables -I OUTPUT --dport 443 -j ACCEPT
[sudo] Mot de passe de amnesia :
iptables v1.8.11 (legacy): unknown option "--dport"
Try `iptables -h' or 'iptables --help' for more information.
Apparement, ça continu à coincer.
Si je comprends bien, tu me propose de « démolir » toute la config du pare-feu pour voir si la maj peut fonctionner ?
C’est temporaire, d’accord, mais est-ce bien prudent, même pour quelques minutes ?
Je t’avoue que ça me fout un peu les jetons de faire ça.
J’ai oublier le -p tcp:
sudo iptables -I OUTPUT -p tcp --dport 443 -j ACCEPT mais c’est curieux que les preières commandes n’aient rien fait. Tu as la sortie lors des commandes
sudo iptables -F INPUT
sudo iptables -F OUTPUT
sudo iptables -F FORWARD
sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -F PREROUTING
sudo iptables -F POSTROUTINGSinon, ce que tu peux faire si tu as la trouille:
Avant:
sudo iptables-save > regles_de_la_mort_qui_tuepuis les manips diverses (tu en profites pour nous donner le fichier obtenu, ça precisera la config de Tails
et lorsque tu as fini
iptables-restore < regles_de_la_mort_qui_tueÇa remet tout en place, mais n’exagerons rien, je doute que ta machine héberge un serveur ouvert sur l’exterieur. Je pense que les règles sont faites pour rendre la machine non visible sur le réseau (non réponse aux pings via -j DROP par exemple) et doit redirigé les requetes pour l’extérieur vers Tor ou autre. Je me demande ce qu’elle fait pour le DNS?
La même, ce genre d’outils est réellement pas fait pour être modifier mais utiliser tel quel … je dit pas que ça ne conviens pas pour consulter un forum, juste que prendre le temps de préparer une clé usb avec Debian live et une persistance ce serait exactement pareil à l’utilisation mais nettement plus simple à la maintenance 
Mais pourquoi ne pas faire la mise à jour du bios et des firmwares depuis un live Ubuntu ou Debian ?
Et pourquoi ne pas faire une image du disque d’installation du PC pour conserver une copie du Windows que t’as payé mais que tu ne veux sans doute pas utiliser sur un disque USB, ça te permettrai de pouvoir installer ce que tu veux et utiliser sans prise de tête ton PC
Et en finalité pourquoi ne pas utiliser selon ton matériel un utilitaire directement embarqué sur clé usb pour mettre à jour ?
Pour info, la mise à jour du bios, dans la plupart des bios, se fait aussi directement à partir du bios; ce qui signifie qu’il n’y a pas besoin d’une clef d’OS pour le faire; juste une clef usb pour mettre le fichier de mise à jour du bios (ou sur le disque local si celui-ci n’est pas chiffré).
1 J'aime
Bonjour,
les réponses aux commandes sont bien maigres :
amnesia@amnesia:~$ sudo iptables -F INPUT
[sudo] Mot de passe de amnesia :
amnesia@amnesia:~$ sudo iptables -F OUTPUT
[sudo] Mot de passe de amnesia :
amnesia@amnesia:~$ sudo iptables -F FORWARD
[sudo] Mot de passe de amnesia :
amnesia@amnesia:~$ sudo iptables -P INPUT ACCEPT
[sudo] Mot de passe de amnesia :
amnesia@amnesia:~$ sudo iptables -P OUTPUT ACCEPT
[sudo] Mot de passe de amnesia :
amnesia@amnesia:~$ sudo iptables -P FORWARD ACCEPT
[sudo] Mot de passe de amnesia :
amnesia@amnesia:~$ sudo iptables -F PREROUTING
[sudo] Mot de passe de amnesia :
iptables: No chain/target/match by that name.
amnesia@amnesia:~$ sudo iptables -F POSTROUTING
[sudo] Mot de passe de amnesia :
iptables: No chain/target/match by that name.
amnesia@amnesia:~$
Par contre, celle-ci donne des résultats plus intéressants :
sudo iptables -I OUTPUT -p tcp --dport 443 -j ACCEPT
amnesia@amnesia:~$ sudo fwupdmgr refresh
[sudo] Mot de passe de amnesia :
Metadata is up to date; use --force to refresh again.
amnesia@amnesia:~$ sudo fwupdmgr refresh --force
[sudo] Mot de passe de amnesia :
Mise à jour lvfs
Téléchargement… [ \ ]
Successfully downloaded new metadata: Updates have been published for 1 local device
Si je comprends bien, ça fonctionne.
Par contre, j’aimerai bien savoir où sont stockées les metadata, çe n’est pas précisé.
Histoire de savoir exactement ce que je vais faire.
Merci.
De souvenir :
-
/var/lib/fwupd/→ base de données + métadonnées (donc en ram vue que tu es sur un système live) -
/var/cache/fwupd/→ fichiers téléchargés (donc en ram vue que tu es sur un système live) -
/boot/efi/→ mises à jour UEFI (temporaires) (sur le disque dans la partition efi dédié)
Ok, que les commandes de répondent pas c’est normal. Tu n’as pas de chaine PREROUTING, ça dépend juste de ta configuration. Bref tout va bien. Il ne te reste qu’à faire
sudo fwupdmgr get-updates
sudo fwupdmgr update Alors, comment dire, ça avance, grâce à toi et grâce à vous tous.
Toutefois la récolte d’infos est bien maigre.
Voilà ce que j’ai pu récupérer en ligne de commande :
amnesia@amnesia:~$ sudo iptables -I OUTPUT -p tcp --dport 443 -j ACCEPT
amnesia@amnesia:~$ sudo fwupdmgr refresh
[sudo] Mot de passe de amnesia :
Mise à jour lvfs
Téléchargement… [************************************** ]
Successfully downloaded new metadata: Updates have been published for 1 local device
amnesia@amnesia:~$ sudo fwupdmgr get-updates
[sudo] Mot de passe de amnesia :
Devices with no available firmware updates:
• HP UEFI Secure Boot DB
• HP UEFI Secure Boot KEK
• KEK CA
• SBAT
• System Firmware
• UEFI CA
• UEFI dbx
• WD PC SN740 SDDPNQD-256G-1006
• Windows Production PCA
HP HP Laptop 17-cn0xxx
│
└─Integrated Webcam™:
│ Identifiant de l'appareil: 08d460be0f1f9f128413f816022a6439e0078018
│ Résumé: Fake webcam
│ Version actuelle: 1.2.2
│ Version minimum: 1.2.0
│ Version du chargeur d’amorçage: 0.1.2
│ Fournisseur: ACME Corp. (USB:0x046D)
│ GUID: b585990a-003e-5270-89d5-3705a17f9a43
│ Drapeaux de périphérique: • Mise à jour possible
│ • Le système nécessite une source d'alimentation externe
│ • Supported on remote server
│ • Cryptographic hash verification is available
│ • Unsigned Payload
│ • Can tag for emulation
│ Device Requests: • Message
│
├─Mise à jour de FakeDevice Firmware:
│ Nouvelle version: 1.2.4
│ Remote ID: fwupd-tests
│ Résumé: Firmware for the ACME Corp Integrated Webcam
│ Licence: GPL-2.0+
│ Taille: 17 octets
│ Created: 2017-06-15
│ Urgence: Moyenne
│ Fournisseur: ACME Corp
│ Release Flags: • Trusted payload
│ • Trusted metadata
│ • Is upgrade
│ Description:
│ Fixes another bug with the flux capacitor to prevent time going backwards.
│
├─FakeDevice Device Update:
│ Nouvelle version: 1.2.4
│ Remote ID: lvfs
│ Release ID: 81488
│ Résumé: Firmware for the ACME Corp Integrated Webcam
│ Licence: GPL-2.0+
│ Taille: 10 octets
│ Created: 2024-01-21
│ Urgence: Moyenne
│ Tested: 2025-07-15
│ Distribution: chromeos 139
│ Old version: 1.2.2
│ Version[fwupd]: 2.0.10
│ Tested: 2025-06-10
│ Distribution: chromeos 138
│ Old version: 1.2.2
│ Version[fwupd]: 2.0.10
│ Tested: 2025-06-10
│ Distribution: chromeos 139
│ Old version: 1.2.2
│ Version[fwupd]: 2.0.10
│ Tested: 2024-03-09
│ Distribution: chromeos 124
│ Old version: 1.2.2
│ Version[fwupd]: 1.9.13
│ Source: https://github.com/fwupd/fwupd/tree/main/data/installed-tests
│ Fournisseur: LVFS
│ Release Flags: • Trusted metadata
│ • Is upgrade
│ Description:
│ Fixes another bug with the flux capacitor to prevent time going backwards.
│ Somme de contrôle: a92d4f433e925ea8e4a10d25dfa58e64ba1e68d07ee963605a2ccbaa2e3185aa
│
└─Mise à jour de FakeDevice Firmware:
Nouvelle version: 1.2.3
Remote ID: fwupd-tests
Résumé: Firmware for the ACME Corp Integrated Webcam
Licence: GPL-2.0+
Taille: 17 octets
Created: 2017-06-15
Urgence: Moyenne
Fournisseur: ACME Corp
Release Flags: • Trusted payload
• Trusted metadata
• Is upgrade
Description:
Fixes a bug with the flux capacitor to avoid year 2038 overflow.
Donc, à part une maj pour la webcam, rien pour le secure boot, les certificats windows etc …
Si les données ne sont pas disponibles sur Linux Vendor Firmware Service, comment faire pour les trouver ?
J’espère qu’il ne faut pas passer par l’installation de windows11.
Une image des répertoires où fwupd est sensé stocker les certificats :
Ces répertoires ne me semblent pas contenir grand chose.
Merci.
As-tu regardé du coté des mises à jour du bios?
Autre point, si tu utilises Tails en live, tes mises à jour disparaissent à chaque extinction/redémarrage. Car avec une live les mises à jour sont faites en mémoire.
Tu confonds la mise à jour du BIOS et la mise à jour des bases de données. Fais le
sudo fwupdmgr updateTu auras la mise à jour des bases de données et des certificats (et pas du BIOS puisque tout est àapparemment à jour de ce coté)
J’ai suivi la procédure, il n’y a qu’une maj concernant la webcam, ça confirme ce qui était éccrit précédement:
Devices with no available firmware updates:
• HP UEFI Secure Boot DB
• HP UEFI Secure Boot KEK
• KEK CA
• SBAT
• System Firmware
• UEFI CA
• UEFI dbx
• WD PC SN740 SDDPNQD-256G-1006
• Windows Production PCA
La machine n’est toujours pas à jour, le message sur les certificats revient systématiquement.
Bon, ça me confirme que HP est une boite pourrie. Je le savais déjà sur les soucis avec linux. Je ne vois pas comment tu peux faire à part la méthode téléchargement et clef USB. Je te suggère de virer Windows et d’installer un linux standard.
Bonjour,
j’ai nettement tendance à penser comme toi.
Tout ce travail et toute cette énergie à essayer de solutionner ce problème pour constater in fine que HP ne fournit pas les données à LVFS, c’est décevant.
J’ai fouillé hier dans les méandres du site hp.com pour trouver la bonne page concernant cette maj via une clef usb … apparement ça ne peut se faire qu’à partir d’une machine sous windows, ou alors je n’ai rien compris, mais comme je n’ai pas de machine windows, je vais probablement finir à la bibliothèque municipale pour récupérer les données et préparer cette clef.
C’est l’âge de pierre, piloté par microsoft et consorts !
donne le lien
Oui, sachant que probablement, il suffit de copier le fichier .exe sur une clé usb. l’efi se chargera de récuperer le fichier bios contenu dans cette archive.
C’est vrai ? Alors ça c’est puissant.