Bonjour tout le monde,
Je débute avec debian wheezy. J’ai installé le pare-feu selon la doc. sur cette page : https://www.isalo.org/wiki.debian-fr/Netfilter/Iptables_introduction
J’aimerais vérifier que mon pare-feu est bien installé. Pour tenter de vérifier, j’ai voulu le retrouver en écrivant dans un terminal :
chmod +x /etc/init.d/parefeu, puis :
J’ai obtenu un dossier vide. Est-ce normal ? Ou alors, comment m’assurer que le pare-feu est bien installé ?
D’avance merci.
Désolé, en regardant sur le forum dans " truc et astuce ", http://www.debian-fr.org/installation-parefeu-iptables-pour-les-nuls-t1901.html je vois que je n’avais pas terminé l’installation. Je vais reprendre l’installation du pare-feu et donnerai des nouvelles…
Je reste incertain, pour éclairer le problème, voici ce que j’obtiens en fin d’installation :
root@francois:/home/francois# /etc/init.d/parefeu clean
root@francois:/home/francois# iptables -t filter -P INPUT DROP
root@francois:/home/francois# iptables -t filter -P FORWARD DROP
root@francois:/home/francois# iptables -t filter -P OUTPUT ACCEPT
root@francois:/home/francois# iptables -A INPUT -i lo -j ACCEPT
root@francois:/home/francois# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
root@francois:/home/francois# /etc/init.d/parefeu stop
root@francois:/home/francois# update-rc.d parefeu start 12 S . stop 08 0 6 .
update-rc.d: using dependency based boot sequencing
insserv: warning: script 'K01parefeu' missing LSB tags and overrides
insserv: warning: script 'parefeu' missing LSB tags and overrides
insserv: script parefeu.save.1: service iptables already provided!
Est-ce que mon pare-feu est bien installé ?
ta configuration est bonne uniquement pour ta session en cours, voici ma configration non restrictive persistente à tout redémarrage (ne provient pas du wiki)
sudo nano /etc/init.d/firewall
[code]#!/bin/bash
echo Setting firewall rules…
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT[/code]
sudo chmod +x /etc/init.d/firewall
sudo update-rc.d firewall default
sudo /etc/init.d/firewall start
De manière plus général tu peux faire un iptables -l pour vérifier les règles en cours
Merci pour les réponses.
Cylab a écrit :
Vu que j’ai dans l’immédiat installé Firestarter (en installant d’abord “gufw” depuis synaptic, puis avec installateur de logiciel “firestarter”) je mettrai en place ta solution dès que possible.
Mimoza a écrit :
Hors, cette commande est indiquée inconnue…
Je me suis trompé c’est en majuscule.
Merci Cybab, j’ai appliqué ton script, sans avoir à vider mon dossier pare-feu qui était vide après avoir redémarré, suite à ma première activation, selon wiki : https://www.isalo.org/wiki.debian-fr/Netfilter/Iptables_introduction
J’aimerais être sûr que mon pare-feu est activé. Je suis surpris de n’avoir pas dû introduire des règles (y a-t-il un réglage par défault ?). Je désire donc, si possible un avis, sachant que j’obtiens ceci à chaque allumage de la machine :
[code]#!/bin/bash
echo Setting firewall rules…
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT[/code]
D’avance, merci !
Je modifie la définition de mon problème !
J’ai fini par porter mon choix sur une solution plus simple (interface gaphique de configuration du pare-feu). J’ai vidé le dossier : /etc/init.d/parefeu. J’ai installé gufw et firestarter. J’ai laissé les réglages par défaut de firestarter.
Mon choix d’utiliser firestarter est-il fiable ?
Déjà, le fait d’avoir installé deux gestionnaires de règles iptables est tout sauf fiable. Ils risquent d’interférer l’un avec l’autre, avec un résultat imprévisible.
C’est pourquoi j’ai commencé par vider le dossier pare-feu que j’avais créé. J’ai vérifié : nano /etc/init.d/parefeuIl est effectivement vide !
Ma question : est-ce acceptable d’avoir firestarter comme pare-feu ?
Je parlais de gufw et firestarter que tu as écrit avoir installés, pas de ton précédent script.
Concernant firestarter lui-même, je n’ai pas d’avis car je ne le connais pas. Je dirai juste qu’il est acceptable si tu sais t’en servir.
J’ai fini par comprendre que je dispose d’un pare-feu matériel c’est à dire celui installé sur mon routeur (ZyXEL P-870HN 51b).
Avec la commande " iptables -L " j’ai pu voir une série de règles qui semblent confirmer la documentation de mon routeur indiquant un pare-feu efficace !
J’ai ajouté (sans être convaincu de son utilité !) un pare-feu logiciel dont le réglage par défaut (refus du trafic entrant, acceptation du trafic sortant) soit :
root@francois:/home/francois# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
Avec ça, je pense être suffisamment protégé. A moins de recevoir un avis contraire…
Le script qui t’a été fourni au dessus fait déjà cela:
Refus de toute connexion entrante sur ta machine
Refus de forwarder les paquets à travers ta machine
Autorisation de tout ce qui sort de ta machine
Autorisation du trafic des paquets provenant de connexions déjà établies.
Merci peria pour ta réponse qui me confirme que la solution est trouvée, à savoir que mon pare-feu est en fonction. Je considère donc ma question comme résolue !