Pare-feu sous Sarge : aide [RÉSOLU]


#1

Pour essayer d’obtenir une connexion correcte avec mon modem, on m’avait conseillé de sésactiver les pare-feux.
Quand j’ai rechargé ma sarge, c’est ce que j’ai fait mais je ne pense pas que ça soit sage et je voudrais votre avis sur ce domaine.
S’il faut réactiver : comment faire (simplement, svp)
Merci à ts.

[quote]debian:/home/ricardod# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
debian:/home/ricardod#
[/quote]


#2

sous linux, à part si tu laisse un serveur telnet, ntfs, apache, ou samba actifs sur ton interface “internet”, l’absence de pare feu ne fait pas de ta machine une passoire (on est pas sous windows :wink: ). Les autres services sont plutot securisés, ou bien n’offrent pas trop de fonctionnalités en cas de cassage avèré.
Quoi qu’il arrive, même si un casseur dépose des choses sur ta machine, si tu n’abuse pas de l’usage du compte superuser, tu es relativement tranquille: même si qqu’un obtient un login, il ne peut pas faire grand chose, c’est quand même difficile d’obtenir celui de ton superuser.
Pas d’inquietude à trainer pour corriger le probléme, donc.
ensuite, concernant l’administration d’iptables, si tu ne te sens pas à l’aise avec la ligne de commande, utilises le module webmin. Un seul inconvénient: une fois installé, il ecrase les modifs que tu pourrait faire par la ligne de commande à chaque reboot: il ne sauve que ce que tu fais sous webmin. il faudra faire un
iptables-save >/etc/webmin/firewall/iptables.save
pour sauver la config dans webmin si tu fais des modifs sans passer par l’interface.
bon, voila avec ce préambule. Sinon je te donne déja un fichier minimal de config iptables:

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
#-A INPUT -p udp -m udp --dport 110 -j ACCEPT
#-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

c’est une config minimale qui, telle quelle, bloque tout ce qui rentre, sauf le port 22 (ssh) et les retours de connections que tu as toi meme demandées.
J’ai laissé en commentaire les éléments pour ouvrir les ports smtp, webmin, etc, ainsi que la config du masquerading entre l’eth1 (mon lan) et l’eth0 (le net).
c pour t’inspirer ds ta config.

Comment utiliser ca ?
pour sauver ta config vierge afin de la restaurer si besoin, c’est
iptables-save >iptables.acceptall
ensuite, pour restaurer une config, c’est
iptables-restore < nomdefichier
vala.
éditer le fichier de sauvegarde, c’est parfois plus simple que d’ajouter les règles une à une à la main…
bonne chance.


#3

ah et sinon, il existe des “wrappers” qui te configurent plein de règles iptables d’un coup, mais je ne les ai jamais utilisé (jamais eu de nombreuses règles à gèrer)…


#4

Merci MattOtop, je ferai ça demain.


#5

la vie de ce forum m’a démenti: les vandales existent, et nous en avons été victimes ici même. :laughing:


#6

Je n’ai donc pas pu suivre tes indications et je ne le ferai que ce soir si tu me réponds à tps :laughing:
J’ai bien apt-get install webmin mais comment m’en servir ?
Quand je tape 'webmin, il ne connait pas ???


#7

tu fais pointer un navigateur vers
localhost:10000/


#8

Ok Matt mais je découvre complètement ce module.
Il faut que je commence à apprendre à quoi il sert car j’ai l’impression que ce n’est pas qu’à editer un pare-feu.
Si j’ai bien compris, on peut l’ouvrir sans connexion ?
J’ai vu qu’il y avait une config pour la langue, ce qui est déjà formidable pour moi .
Où aller pour apprendre ‘webmin’ avant ttes choses ?
Merci encore de ton aide à un éternel débutant.


#9

[quote=“Ricardo”]Ok Matt mais je découvre complètement ce module.
Il faut que je commence à apprendre à quoi il sert car j’ai l’impression que ce n’est pas qu’à editer un pare-feu.[/quote]
Absolument, c’est une interface trés complète d’administration qui permet de configurer “en mode web” pleins de choses sur ton serveur - pardon ta machine.
Par contre, et quoi que securisé en https sous debian, il vaut mieux ne l’activer que ponctuellement, si l’on veut garantir une securité absolue, car vu sa complexité, webmin est source de nouvelles failles régulièrement avec les mises à jours.
pour avoir la liste des modules webmin:
apt-cache search webmin

[quote]Si j’ai bien compris, on peut l’ouvrir sans connexion ?
J’ai vu qu’il y avait une config pour la langue, ce qui est déjà formidable pour moi .[/quote]
En plus, c’est bien traduit la plupart du temps (parfois, ca reste en anglais).

dans webmin… il y a un systeme d’aide en ligne assez fourni.
sinon, tu as un lien vers le site en cliquant sur le logo webmin, je crois.

normal: d’eternel debutant à eternel debutant…
PS: la configuration du pare feu, c’est dans “réseau” :slightly_smiling:


#10

Merci pour tout, j’ai donc du pain sur la planche.
Pour les logos “post reply”, etc, j’y pense aussi,
Amitiés


#11

J’ai bien trouvé la page du firewall mais j’avoue que je ne sais pas quoi y entrer :blush:
localhost:10000/firewall/index.cgi?table=0
Moi je ne demande que :
– je puisse émettre des e-mails et que je puisse en recevoir.
– je puisse me promener sur le Net avec mon Firefox favori
– mon modem fonctionne bien
Qu’est-ce que je dois entrer ds cette page :question:
La doc est en anglais et pas très claire pour moi :cry:
Peut-être pourrais-tu m’indiquer un site pour apprendre à me servir d’un firewall si ça t’ennuie de me faire un cours.
Merci encore.

En fait le lien ne fonctionne pas mais je pense que celui-ci sera mieux
localhost:10000/firewall/


#12

bon, simplement, tu as quoi comme interfaces ? que donne ton ifconfig ?
je vais t’aider pour une config minimale. tu liras tranquille aprés.


#13

Merci encore

[code]debian:/home/ricardod# ifconfig
eth1 Lien encap:Ethernet HWaddr 00:60:4C:10:B2:FA
UP BROADCAST RUNNING MULTICAST MTU:65535 Metric:1
RX packets:3406 errors:0 dropped:0 overruns:0 frame:0
TX packets:2612 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:3645636 (3.4 MiB) TX bytes:319816 (312.3 KiB)

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:54 errors:0 dropped:0 overruns:0 frame:0
TX packets:54 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3656 (3.5 KiB) TX bytes:3656 (3.5 KiB)

ppp0 Lien encap:Protocole Point-à-Point
inet adr:82.64.83.73 P-t-P:192.168.254.254 Masque:255.255.255.255

      UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
      RX packets:3365 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2569 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:3
      RX bytes:3638394 (3.4 MiB)  TX bytes:267144 (260.8 KiB)

debian:/home/ricardod#

[/code]


#14

bon, sous root d’abord, tu sauves ta config actuelle:
iptables-save >iptables.date +%y%m%d
(n’oublies pas la date, tu en auras peut etre besoin plus tard :slightly_smiling: )
apres , tu enregistre le fichier qui suit:

*filter 
 :INPUT DROP [0:0] 
 :FORWARD ACCEPT [0:0] 
 :OUTPUT ACCEPT [0:0] 
 -A INPUT -i lo -j ACCEPT 
 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
 COMMIT 
 *mangle 
 :PREROUTING ACCEPT [0:0] 
 :INPUT ACCEPT [0:0] 
 :FORWARD ACCEPT [0:0] 
 :OUTPUT ACCEPT [0:0] 
 :POSTROUTING ACCEPT [0:0] 
 COMMIT 
 *nat 
 :PREROUTING ACCEPT [0:0] 
 :POSTROUTING ACCEPT [0:0] 
 :OUTPUT ACCEPT [0:0] 
 COMMIT 

cette config bloque tout ce qui peut essayer d’entrer, sauf si c’est toi qui le demande (une page web, un fichier).
Attention, si tu utilise certains logiciels de p2p, c’est une configuration “bunker”, ca peut gèner.
bon, enregistre ca mettons sous le nom iptables.essai
tu l’actives:
iptables-restore <iptables.essai
tu le teste, en visitant une page ou deux…

si ca marche, tu le copies comme config par defaut de webmin:
cp iptables.essai /etc/webmin/firewall/iptables.save
tant que webmin est actif au démarrage, il sera actif.
tu peux d’ailleurs laisser ton webmin ouvert: pas trop de danger, il n’est accessible que depuis ta machine.

pour verifier, tu redemarres, et tu regardes le resultat d’un
iptables -L

ah et si tout se passe mal, tu peux restaurer la situation à l’état “passoire absolue” comme tu es actuellement, avec
iptables-restore <iptables.:slight_smile:


#15

Merci, je fais ça ce soir.


#16

Bon, ben c’est pas gagné :cry:

[quote]bon, sous root d’abord, tu sauves ta config actuelle:
iptables-save >iptables.date +%y%m%d
(n’oublies pas la date, tu en auras peut etre besoin plus tard Smile )
apres , tu enregistre le fichier qui suit: [/quote]
fait mais où va-t-il ?
Fichier qui suit : je l’ai écrit , appelé iptables.essai mais où le sauver ?
Au hasard, je l’ai sauvé ds /etc/webmin/firewall mais ça n’a pas l’air de convenir car quand je tape

debian:/home/ricardod# iptables-restore <iptables.essai bash: iptables.essai: Aucun fichier ou répertoire de ce type
J’ai fait wheris ipatbles et j’ai comme réponses

iptables: /sbin/iptables /lib/iptables /usr/share/man/man8/iptables.8.gz
Je suppose que c’est ds un ce ces dossiers que je dois sauver mon iptables.essai mais lequel ?
Je préfère attendre ta réponse pluitôt que de faire une conn…


#17

tu l’enregistre simplement la ou tu va l’utiliser… d’aprés ce que je vois de ton prompt “debian:/home/ricardod”, tu es sur ta machine qui s’appelle ‘debian’, dans ton répertoire perso en tant qu’utilisateur ricardod (soit le chemin /home/ricardod).
Ben c’est là que tu peux enregistrer le tout :slightly_smiling:
c’est juste un fichier temporaire, pour l’instant, que tu va tester. et aprés seulement, tu le mettra en place dans webmin.


#18

Décidément, pas facile la vie avec moi :confused:
J’ai l’impression qu’il n’aime pas la ligne 2 :
:INPUT DROP [0:0]

[quote]debian:/home/ricardod# iptables-restore <iptables.essai
Bad argument `:INPUT’
Error occurred at line: 2
[/quote]
EDIT :
Rectification : j’ai trouvé tout seul (si :laughing: ) l’erreur. : j’avais copié/collé ton post et, à part la première, les lignes commençaient à la deuxième colonne.
J’ai quand m^ cherché pendant 1 heure :cry:
Une fois rectifié ce “décallage”, c’est très bien passé.
J’ai fait l’essai et il était concluant.
J’ai copié sur webmin et j’ai vérifié le fichier = OK !
Maintenant il ne me manque plus que l’astuce pour que webmin soit actif au démarrage car ce n’est pas le cas et bien sûr, je suis tjrs comme une “passoire” :wink:
Webmin actif au boot : comment :question:


#19

si tu n’as pas changé sa config, webmin démarre au boot tout seul. Par contre, l’activation du pare feu au boot se fait dans webmin, dans la page sur le pare feu.


#20

Si tu peux m’indiquer comment, ça m’arrangerait car c’est vraiment pas explicite du tout.
J’ai essayé un peu tout mais rien ne fonctionne
:cry: