[Pare feu]Configuration pour utilisation desktop (résolu)

[thepierre92]

Voilà j'aimerais configurer mon pare-feu mais ça mernerve beaucoup.
Avez-vous un tuto SIMPLE pour configurer iptable / ufw.
Il me faut skype,msn,torrent,ftp,http,https,ping etc..
Merci d'avance

[benjarobin]

Code : Tout sélectionner

#!/bin/sh

###############################################################################
# Voir "Firewall et securite d'un reseau personnel sous Linux"
#  http://olivieraj.free.fr/fr/linux/information/firewall/
###############################################################################

# Configuration : Interface exemple wlan0, eth0
INTERFACE="eth0"
PLAGE_LOCAL="192.168.0.0/24"

# Suppression de toutes les chaines pré-definies de la table FILTER
iptables -t filter -F

# Suppression de toutes les chaines utilisateur de la table FILTER
iptables -t filter -X

# Par défaut, toute les paquets sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

# Autorise l'interface loopback a dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

# Autorise les connexions entrantes avec le réseau locale depuis "PLAGE_LOCAL" connecte a l'"INTERFACE"
# Optionnel, voir dangereux sur un Wifi public, uniquement à utiliser pour que tous les PC de ton réseaux
# locale aient accès à l'intégralité des ports
iptables -t filter -A OUTPUT -o $INTERFACE -s $PLAGE_LOCAL -d $PLAGE_LOCAL -j ACCEPT
iptables -t filter -A INPUT  -i $INTERFACE -s $PLAGE_LOCAL -d $PLAGE_LOCAL -j ACCEPT
   
# Torrent, ici on autorise le port 55000 en entrée / sortie
iptables -t filter -A OUTPUT -o $INTERFACE -s 0.0.0.0/0 -d 0.0.0.0/0  -p tcp --sport 55000 -j ACCEPT
iptables -t filter -A INPUT  -i $INTERFACE -s 0.0.0.0/0  -d 0.0.0.0/0 -p tcp --dport 55000 -j ACCEPT

# Autorise les connexions avec l’extérieur uniquement si elles sont initialisées par les processus locaux (skype,msn,ftp,http,https,ping...)
iptables -A OUTPUT -o $INTERFACE  -d 0.0.0.0/0 -p all -m conntrack ! --ctstate INVALID -j ACCEPT  
iptables -A INPUT  -i $INTERFACE -s 0.0.0.0/0  -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Pour plus de détail voir le lien fournit dans ce code

Attention tout de même à ne pas oublié la partie IPv6 qui doit aussi être sécurisé

Code : Tout sélectionner

# Suppression de toutes les chaines pré-definies de la table FILTER
ip6tables -t filter -F

# Suppression de toutes les chaines utilisateur de la table FILTER
ip6tables -t filter -X

# Par défaut, toute les paquets sont détruits
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP

# Autorise l'interface loopback a dialoguer avec elle-même
ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
ip6tables -t filter -A INPUT  -i lo -j ACCEPT

# Autorise les connexions avec l’extérieur uniquement si elles sont initialisées par les processus locaux 
ip6tables -A OUTPUT -o $INTERFACE -p all -m conntrack ! --ctstate INVALID -j ACCEPT
ip6tables -A INPUT  -i $INTERFACE -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Activation de icmpv6 pour tous : a améliorer ?
ip6tables -A INPUT -p icmpv6 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 -j ACCEPT

Ici on n'autorise que les connexions sortantes initiés par nous même en IPv6

[Ypnose]

J'en étais sûr que ça serai toi qui s'y collerai benjarobin. Je vais aussi regarder ça.

[thepierre92]

tout d'abord j'ai fais:

Code : Tout sélectionner

systemctl start iptables ip6tables
Job for ip6tables.service failed. See 'systemctl status ip6tables.service' and 'journalctl -xn' for details.

Donc je fais:

Code : Tout sélectionner

# systemctl status ip6tables
ip6tables.service - IPv6 Packet Filtering Framework
	  Loaded: loaded (/usr/lib/systemd/system/ip6tables.service; disabled)
	  Active: failed (Result: exit-code) since jeu. 2013-02-14 21:29:23 CET; 1min 25s ago
	 Process: 1661 ExecStart=/usr/sbin/ip6tables-restore /etc/iptables/ip6tables.rules (code=exited, status=1/FAILURE)

févr. 14 21:29:23 monordi ip6tables-restore[1661]: Can't open /etc/iptables/ip6tables.rules: No such file or directory
févr. 14 21:29:23 monordi systemd[1]: ip6tables.service: main process exited, code=exited, status=1/FAILURE
févr. 14 21:29:23 monordi systemd[1]: Failed to start IPv6 Packet Filtering Framework.
févr. 14 21:29:23 monordi systemd[1]: Unit ip6tables.service entered failed state

Alors que :

Code : Tout sélectionner

 systemctl status iptables
iptables.service - Packet Filtering Framework
	  Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled)
	  Active: active (exited) since jeu. 2013-02-14 21:29:23 CET; 2min 57s ago
	 Process: 1659 ExecStart=/usr/sbin/iptables-restore /etc/iptables/iptables.rules (code=exited, status=0/SUCCESS)

févr. 14 21:29:23 monordi systemd[1]: Starting Packet Filtering Framework...
févr. 14 21:29:23 monordi systemd[1]: Started Packet Filtering Framework.

Est-ce a cause de l'instaltion que j'ai essayé de ufw,gufw,firestarter ou peut etre a cause de network manager que je n'ai pas configuré

Pourtant l'éxécution du script 1 sur ipv4 a fonctionné mais après la conection est coupée

J'ai réinstallé iptable avec:

Code : Tout sélectionner

pacman -S iptables

mais je crois que cette comande n'efface pas les fichier de configuration

[tuxce]

Le statut te répond :

Code : Tout sélectionner

Can't open /etc/iptables/ip6tables.rules: No such file or directory

Tu l'as ce fichier ?

[thepierre92]

Je suis bete, j'ai céer le fichier j'ai tout configuré mais j'ai pas internet si le pare-feu est activé

[benjarobin]

As tu modifié la configuration du fichier ? Si tu ne l'as pas fait cela ne risque pas de fonctionner...
Tu as 2 paramètres à modifier

Code : Tout sélectionner

INTERFACE="eth0"
PLAGE_LOCAL="192.168.0.0/24"

de plus avant de lancer iptables via systemctl, il faut sauver la configuration via les commandes suivantes :

Code : Tout sélectionner

./script-de-config-donne.sh
iptables-save > /etc/iptables/iptables.rules
ip6tables-save > /etc/iptables/ip6tables.rules

[thepierre92]

Merci merci merci merci merci merci merci BEAUCOUP