je suis plutot gauche avec Debian, j’ai une série de serveurs a installer et je recherche pas mal d’info, la principale comment ouvrir le firewall pour mettre en DMZ le PC serveur par exemple
merçi
Quand tu installes une debian il n’y a pas à proprement parler de firewall, c’est à toi de le faire avec iptables.
Je t’invite donc à lire de la doc sur le sujet, tu trouveras de nombreux fils ici-même.
iptable c’est presque le larousse? quelle commande pour iptables pour qu’il n’y ai plus de protection du tout
merçi
Netfilter en mode passoire :
# Test et initialisation de la table FILTER
if grep -q filter /proc/net/ip_tables_names
then
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -F # Supression de toutes les règles existantes
iptables -t filter -X # Supression de toutes les chaines existantes
fi
# Test et Initialisation de la table NAT
if grep -q nat /proc/net/ip_tables_names
then
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t nat -X
fi
# Test et Initialisation de la table MANGLE
if grep -q mangle /proc/net/ip_tables_names
then
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -F
iptables -t mangle -X
fi
# Test et Initialisation de la table RAW
if grep -q raw /proc/net/ip_tables_names
then
iptables -t raw -P PREROUTING ACCEPT
iptables -t raw -P OUTPUT ACCEPT
iptables -t raw -F
iptables -t raw -X
fiEDIT : script modifié (ajout du test de chargement de la table filter)
Quel firewall ? Sur le serveur lui-même ou sur un routeur ? Si c’est sur un routeur cela ne concerne pas Debian, à moins que ce routeur soit lui-même sous Debian.
Sur le serveur, le plus simple, c’est de ne pas installer de firewall. Iptables est inactif par défaut, même s’il est installé.
Le filtre de paquets IP c’est iptables, pas netfilter.
PS : pourquoi ne pas tester la présence de la table filter comme les autres tables puisque le but est de tout ouvrir ?
Ben, le filtre à proprement parler, c’est netfilter. iptables n’est que la commande dans l’espace utilisateur permettant de le configurer…
Non et non.
Pour faire court, iptables se compose de deux parties : une en userland (le programme iptables), qui permet de gérer les règles, et une dans le noyau (le module ip_tables), qui applique les règles aux paquets IP. Netfilter n’est “que” l’infrastructure dans laquelle s’inscrit la partie noyau d’iptables (mais pas que lui).
J’avais toujours entendu (même de mes profs…) que netfilter était le pare feu, et iptables le prog pour lui passer les instructions. Je me rappelle m’être fait reprendre dans l’autre sens, en appelant iptables “le pare feu”, donc j’ai retenu la leçon…
Le filtre de paquets IP c’est iptables, pas netfilter.
PS : pourquoi ne pas tester la présence de la table filter comme les autres tables puisque le but est de tout ouvrir ?[/quote]
Parce que contrairement aux autres tables (mangle, nat, raw), elle n’est pas facultative pour le fonctionnement du pare feu, donc elle est forcément présente, donc à quoi bon la tester ? Enfin c’est ce que j’en avais déduis d’une de tes interventions sur un autre post (Lenny routeur).
La table filter est nécessaire quand on veut filtrer (proprement). Si au contraire on veut tout laisser passer (“mode passoire”) avec des politiques par défaut ACCEPT, elle devient complètement facultative au même titre que les autres tables.
Ok, je pensais, à tort manifestement, que dés lors que le pare feu était actif, la table filter était chargée d’office (avec des politiques par défaut à ACCEPT, certes, mais chargée quand même).
Ok, je pensais, à tort manifestement, que dés lors que le pare feu était actif, la table filter était chargée d’office (avec des politiques par défaut à ACCEPT, certes, mais chargée quand même).[/quote]
donc si je comprend bien par défaut il n’y a aucun port de fermer sur une Debian ?
n’y a t’il pas un fichiers que l’on peut éditer car pour moi cette commande est imbuvable!!
merçi
La table filter est une table optionnelle comme les autres, elle n’est pas systématiquement chargée quand iptables est chargé (par exemple si on veut juste une règle MASQUERADE dans la table nat). Tout le problème est dans ce qu’on entend par “le pare-feu est actif”, et notamment “pare-feu”. Généralement “pare-feu” cela implique “filtrage”, et “filtrage” implique table filter.
Dans le cas précédent, ton script d’initialisation fixait les politiques par défaut de chaînes de la table filter à DROP, donc au final la table filter devait forcément être chargée si elle ne l’était pas déjà auparavant, et il n’était pas nécessaire de vérifier si elle l’était ou pas. Dans le cas présent, il n’est pas nécessaire de définir les politiques par défaut à ACCEPT et de vider les chaînes si la table n’est pas déjà chargée.
Si : tous les ports sur lesquels aucun processus n’écoute sont fermés (il est rare que des processus écoutent sur tous les 65535 ports). Tu confonds peut-être ports fermés et ports dont l’accès est bloqué par le pare-feu ?
Si : tous les ports sur lesquels aucun processus n’écoute sont fermés (il est rare que des processus écoutent sur tous les 65535 ports). Tu confonds peut-être ports fermés et ports dont l’accès est bloqué par le pare-feu ?[/quote]
j’utilise depuis quelques années une Mandriva (avant c’étais Mandrake)et il semble que cette société est en cessation de paiement je vais donc devoir changer de distribution aussi j’ai lancer sur le même PC en double boot la Debian 5.0.4
lancer mon serveur Apache sur le port 80 a été facile mais déja le serveur FTP proftpd bien qu’ installé ne répond pas j’ai aussi plusieurs programme radioamateurs qui me donne des soucis dont celui lancer a partir /etc/inittab qui ne veut pas se lancer par cette voie
mais tourne pourtant si le le lance depuis son répertoire ou il est installé
pour confondre je ne sais pas mais simplement j’ai divers port qui doivent être connectable depuis Internet 20,21,25,93,94,95,96,97,98,99,110,119,8021,8025,8119,8123 je ne parle pas évidement du pare feu sur le routeur qui lui permet l’accès
Ces ports sont ouverts si un processus écoute dessus : apache pour le port 80, proftpd pour le port 21, etc.
Si tu es habitué à Mandriva, tu aurais pu envisager la transition vers une distribution comme openSUSE, plus proche que Debian : basée sur RPM, environnement de bureau KDE, outil de configuration système global…