> Tous les forums > Forum Linux
 Installer Pare-feu dans Debian ?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
milou32
  Posté le 09/01/2015 @ 22:03 
Aller en bas de la page 
Astucienne

les Linuxiens

Il est bien calme le forum en ce moment

Y-a t'il un pare-feu installé d'office dans Debian ?S'il n'y en a pas faut-il en installer un ?

Publicité
hido
 Posté le 09/01/2015 à 22:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Le pare-feu est déjà intégré dans le noyau linux, c'est netfilter ou iptables je sais plus.

par défaut il bloque tout.

Si tu veux autoriser un port par exemple, tu peux installer le programme gufw qui est simple d'utilisation.

Gufw n'est pas un pare-feu, c'est un programme pour paramétrer le pare-feu

m_n
 Posté le 09/01/2015 à 23:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

tout routeur possède un pare-feu ..

perso , je n'utilise pas de pare-feu , parce que je n'aie pas de bloquage avec mes messagerie ..

et je n'utilise aucun anti-virus ..

milou32
 Posté le 09/01/2015 à 23:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonjour Hido,

Merci pour ta réponse.Je vais installer Gufw

milou32
 Posté le 09/01/2015 à 23:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

m_n

Ma freebox a un pare-feu, mais j'ai le port 80 ouvert d'office par mon FAI apparemment, et impossible de le fermer dans la box.
J'avais posé la question dans le forum internet et réseaux, aucune solution n'a été trouvée.
Donc, prudence

m_n
 Posté le 09/01/2015 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

peut-être dans :

nano /etc/init.d/parefeu

ou jette un oeil sur :

http://www.debian-fr.org/installation-parefeu-iptables-pour-les-nuls-t1901.html



Modifié par m_n le 09/01/2015 23:13
milou32
 Posté le 09/01/2015 à 23:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Non, il faut le bloquer directement dans la box, mais ça ne marche pas.
Comme Hido me dit que le pare-feu intégré dans Debian bloque tout, normalement je dois être tranquille, l'accès à mon portable est bloqué. C'est ce que je voulais savoir

milou32
 Posté le 10/01/2015 à 10:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Hido, j'ai vu dans ta configuration que tu es chez Free comme FAI

Si tu fais un test des ports ici

https://www.grc.com/x/ne.dll?bh0bkyd2

Ton port 80 il est ouvert ou fermé ?

Parce que malgré que j'ai désactivé Autoriser les connexions entrantes pour le port 80, dans la gestion des ports de la Freebox, et que la modification est bien prise en compte, il apparaît toujours ouvert chez moi

Logicien
 Posté le 10/01/2015 à 10:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Les ami(e)s,

par défaut, le pare-feu Netfilter intégré au noyau Linux ouvre tout. Il suffit de questionner les cinq tables de Netfilter, soit Filter, Mangle, Nat, Raw et Security pour se rendre compte que dans chaque table, tout est ouvert si rien n'est changé à la configuration par défaut du noyau Linux:

iptables -L -t filter

iptables -L -t mangle

iptables -L -t nat

iptables -L -t raw

iptables -L -t Security

Iptables n'est qu'une interface utilisateur permettant d'interagir avec le pare-feu Netfilter. Le pare-feu de FreeBSD lui bloque tout par défaut. C'est un ou l'autre par défaut, tout est ouvert ou tout est fermé.

En conséquence, pour être protéger sous Linux, à l'aide d'Iptables, il faut fermer tout soit même, sauf ce qui doit rester ouvert.

L'essentiel est de comprendre qu'un pare-feu ouvre tout ou bloque tout par défaut. Dans le premier cas, il s'agit de fermer des ports, des routes, etc, et dans le second d'en ouvrir.

Sinon, tout passe, même ce qu'on ne veut pas qui passe, ou rien ne passe, même ce qu'on voudrait qui passe.



Modifié par Logicien le 10/01/2015 10:46
Publicité
milou32
 Posté le 10/01/2015 à 10:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonjour Logicien

Donc il faut le configurer soi-même au risque de tout bloquer quand on ne maîtrise pas ?

Logicien
 Posté le 10/01/2015 à 10:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

On peut utiliser des programmes comme Gufw ou autres pour nous aider à configurer le pare-feu Netfiler afin que restent ouvert seulement ce qui doit l'être et fermer ce qui doit l'être.

Comme son nom le dit, Netfilter fait du filtrage IP seulement. Il ne fait pas de protection basée sur le droit d'accès ou sur l'interdiction d'accès des programmes à Internet.



Modifié par Logicien le 10/01/2015 10:57
milou32
 Posté le 10/01/2015 à 11:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Je vais donc installer Gufw et voir ce qu'il en est.

Le lien donné par m_n a l'air pas mal pour le configurer non ?

http://www.debian-fr.org/installation-parefeu-iptables-pour-les-nuls-t1901.html

hido
 Posté le 10/01/2015 à 12:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

milou32 a écrit :

Hido, j'ai vu dans ta configuration que tu es chez Free comme FAI

Si tu fais un test des ports ici

https://www.grc.com/x/ne.dll?bh0bkyd2

Ton port 80 il est ouvert ou fermé ?

Parce que malgré que j'ai désactivé Autoriser les connexions entrantes pour le port 80, dans la gestion des ports de la Freebox, et que la modification est bien prise en compte, il apparaît toujours ouvert chez moi

oui le port 80 est ouvert mais c'est normal il a été ouvert volontairement car il y a un raspberry pi avec un serveur web branché sur la freebox, donc obligé d'ouvrir le port pour avoir acces au raspberry depuis l'extérieur.

mais par défaut il est fermé sur la freebox V5, c'est celle que j'ai

milou32
 Posté le 10/01/2015 à 12:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Je comprends mieux maintenant, je me doutais que c'était pour l'accès à la Freebox depuis l'extérieur, mais vu que je ne m'en sers pas, je pensais que je pouvais fermer ce port dans ma freebox, mais ça ne marche pas.
Il ne reste donc que le configuration du pare-feu

fiche
 Posté le 10/01/2015 à 14:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Sur ma Neufbox, le port 80 apparait "stealth" avec GRC.

Pour ce qui est du parefeu, je m'étais posé la même question il y a quelques mois (https://forum.pcastuces.com/debian_et_derivees___questions_diverses-f8s14369.htm?page=2).

Maintenant, je me contente :

1) Installer l'interface graphique Gufw à partir de Synaptic

2) Executer Gufw (par "Lancer le programme" puis en tapant gufw car le parefeu n'apparait pas dans la liste des applications, déroutant, n'est-ce pas ?)

3) Dévérouiller le pare feu avec un clic sur le cadenas

4) Activer en cliquant sur le statut : le bouclier devient coloré et à Entrant : Deny ; Sortant : Allow

5) Fermer la fenêtre.

milou32
 Posté le 10/01/2015 à 14:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonjour fiche

J'ai fait comme toi, j'ai installé Gufw (c'est vrai qu'il faut le lancer en exécutant une commande), je l'ai dévérouillé, mais si on réfléchit à ce que dit Logicien, il est actif, mais ne comporte aucune règle. Donc il ne sert à rien (d'après ce que je comprends)

Je suis entrain de le configurer en suivant le tuto du lien donné par m_n

aug
 Posté le 10/01/2015 à 14:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

,

Personnellement, j'ai toujours fait comme Fiche l'indique car, chaque fois que j'ai voulu tripatouiller dans les réglages du pare-feu, je me suis retrouver avec des blocages.

Aussi, Milou32, Donnes nous le résultat de ta démarche.

Merci.

Publicité
milou32
 Posté le 10/01/2015 à 14:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Je sers de cobaye....

Pas de risque, puisque dans le tuto il y a la commande pour remettre à zéro

Pour l'instant, c'est fait, j'ai toujours accès à Internet...., j'ai réussi à me connecter au Disque Dur de ma Freebox
Peut-être que des problèmes surviendront à l'usage, je vous le dirais

aug
 Posté le 10/01/2015 à 15:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Merci pour le retour,

J'essaierai (peut-être)

milou32
 Posté le 10/01/2015 à 15:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Ahhhh ils sont pas courageux ces hommes

aug
 Posté le 10/01/2015 à 16:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Chat échaudé craint l'eau chaude.

milou32
 Posté le 10/01/2015 à 16:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

J'ai été échaudée plusieurs fois, et je ne crains toujours pas l'eau chaude , ça doit être mon côté casse-cou

fiche
 Posté le 10/01/2015 à 19:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Peux-on me confirmer que lorsque Gufw est activé et qu'à la rubrique Entrant il est choisi : Deny, par défaut (sans règle particulière à créer), toutes les connexions entrantes initiées par l'extérieur vers le PC sont bloquées ?

Si c'est bien ce que j'avais compris, n'est-ce pas suffisant comme protection (en plus de celle du pare feu de la box, s'il existe) ?



Modifié par fiche le 10/01/2015 20:48
milou32
 Posté le 10/01/2015 à 20:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Tu as raison, fiche de poser la question. J'ai peut-être mal compris.

Moi personnellement, j'avais compris que Gufw servait à configurer le pare-feu à l'aide d'une interface graphique à la place des lignes de commande, pas qu'il pouvait faire office de pare-feu.



Modifié par milou32 le 10/01/2015 21:26
milou32
 Posté le 11/01/2015 à 10:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

J'ai fait ma petite enquête, parce qu'après recherches sur le net, il est bien précisé que Gufw fait office de pare-feu

Avec mon pare-feu configuré en suivant le tuto et différents tutos trouvés sur le net à la commande iptables -L -t filter, j'ai ce retour


Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:xmpp-client
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere


Chain FORWARD (policy DROP)
target prot opt source destination


Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Chain ufw-after-forward (0 references)
target prot opt source destination


Chain ufw-after-input (0 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST


Chain ufw-after-logging-forward (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "


Chain ufw-after-logging-input (0 references)
target prot opt source destination


Chain ufw-after-logging-output (0 references)
target prot opt source destination


Chain ufw-after-output (0 references)
target prot opt source destination


Chain ufw-before-forward (0 references)
target prot opt source destination
ufw-user-forward all -- anywhere anywhere


Chain ufw-before-input (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere state INVALID
DROP all -- anywhere anywhere state INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere


Chain ufw-before-logging-forward (0 references)
target prot opt source destination


Chain ufw-before-logging-input (0 references)
target prot opt source destination


Chain ufw-before-logging-output (0 references)
target prot opt source destination


Chain ufw-before-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere


Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "


Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere state INVALID limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "


Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
DROP all -- anywhere anywhere


Chain ufw-reject-forward (0 references)
target prot opt source destination


Chain ufw-reject-input (0 references)
target prot opt source destination


Chain ufw-reject-output (0 references)
target prot opt source destination


Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere


Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere


Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere


Chain ufw-track-input (0 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere state NEW


Chain ufw-track-output (0 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere state NEW


Chain ufw-user-forward (1 references)
target prot opt source destination


Chain ufw-user-input (1 references)
target prot opt source destination


Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable


Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere


Chain ufw-user-logging-forward (0 references)
target prot opt source destination


Chain ufw-user-logging-input (0 references)
target prot opt source destination


Chain ufw-user-logging-output (0 references)
target prot opt source destination


Chain ufw-user-output (1 references)
target prot opt source destination




Après avoir remis mon pare-feu à zéro avec cette commande /etc/init.d/mon_parefeu clean
j'ai ce retour


Chain INPUT (policy ACCEPT)
target prot opt source destination


Chain FORWARD (policy ACCEPT)
target prot opt source destination


Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Chain ufw-after-forward (0 references)
target prot opt source destination


Chain ufw-after-input (0 references)
target prot opt source destination


Chain ufw-after-logging-forward (0 references)
target prot opt source destination


Chain ufw-after-logging-input (0 references)
target prot opt source destination


Chain ufw-after-logging-output (0 references)
target prot opt source destination


Chain ufw-after-output (0 references)
target prot opt source destination


Chain ufw-before-forward (0 references)
target prot opt source destination


Chain ufw-before-input (0 references)
target prot opt source destination


Chain ufw-before-logging-forward (0 references)
target prot opt source destination


Chain ufw-before-logging-input (0 references)
target prot opt source destination


Chain ufw-before-logging-output (0 references)
target prot opt source destination


Chain ufw-before-output (0 references)
target prot opt source destination


Chain ufw-logging-allow (0 references)
target prot opt source destination


Chain ufw-logging-deny (0 references)
target prot opt source destination


Chain ufw-not-local (0 references)
target prot opt source destination


Chain ufw-reject-forward (0 references)
target prot opt source destination


Chain ufw-reject-input (0 references)
target prot opt source destination


Chain ufw-reject-output (0 references)
target prot opt source destination


Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination


Chain ufw-skip-to-policy-input (0 references)
target prot opt source destination


Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination


Chain ufw-track-input (0 references)
target prot opt source destination


Chain ufw-track-output (0 references)
target prot opt source destination


Chain ufw-user-forward (0 references)
target prot opt source destination


Chain ufw-user-input (0 references)
target prot opt source destination


Chain ufw-user-limit (0 references)
target prot opt source destination


Chain ufw-user-limit-accept (0 references)
target prot opt source destination


Chain ufw-user-logging-forward (0 references)
target prot opt source destination


Chain ufw-user-logging-input (0 references)
target prot opt source destination


Chain ufw-user-logging-output (0 references)
target prot opt source destination


Chain ufw-user-output (0 references)
target prot opt source destination


qui montre bien que le pare-feu n'est pas configuré


Après installation et lancement de Gufw, j'ai ce retour


Chain INPUT (policy DROP)
target prot opt source destination


Chain FORWARD (policy DROP)
target prot opt source destination


Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Chain ufw-after-forward (0 references)
target prot opt source destination


Chain ufw-after-input (0 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST


Chain ufw-after-logging-forward (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "


Chain ufw-after-logging-input (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "


Chain ufw-after-logging-output (0 references)
target prot opt source destination


Chain ufw-after-output (0 references)
target prot opt source destination


Chain ufw-before-forward (0 references)
target prot opt source destination
ufw-user-forward all -- anywhere anywhere


Chain ufw-before-input (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere state INVALID
DROP all -- anywhere anywhere state INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere


Qui montre bien que le pare-feu est actif après lancement de Gufw.


J'en déduis donc, comme disent fiche et aug que Gufw fait bien office de pare-feu

Le problème c'est que je n'ai plus accès à internet avec les réglages de fiche (Deny sans aucune règle), ce qui me semble normal.

Je ne comprends pas comment fiche et aug vous avez accès à internet avec ce réglage. Vous avez ajouté des règles dans Gufw ?
Quelqu'un pour nous éclairer ?



Modifié par milou32 le 11/01/2015 11:03
milou32
 Posté le 11/01/2015 à 11:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Apparemment mon IP n'est pas fixe, elle est dynamique. C'est peut-être la raison de mes problèmes avec Gufw par rapport à vous deux

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
installer amule sur debian 8.0 jessie
installer debian testing pour tester quelque chose.....
Comment installer une source-list sur Debian ?
installer moodle dans CENTOS
Impossible d'installer apache2 sous Debian
installer ubuntu dans virtual box
[DEBIAN LINUX] Installer GDLIB picture librar
debian 3.1: mettre en place un pare feu
configurer le son dans la debian
installer debian sur knoppix
Plus de sujets relatifs à Installer Pare-feu dans Debian ?
 > Tous les forums > Forum Linux