#!/usr/bin/bash
# Réinitialise les règles
iptables -F
iptables -X
# Bloque tous le trafic
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# On drop les scans XMAS et NULL.
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# Dropper silencieusement tous les paquets broadcastés.
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
# Permettre à une connexion ouverte de recevoir du trafic en entrée.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permettre à une connexion ouverte de recevoir du trafic en sortie.
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
# On accepte la boucle locale en entrée.
iptables -I INPUT -i lo -j ACCEPT
# On log les paquets en entrée.
iptables -A INPUT -j LOG
# On log les paquets forward.
iptables -A FORWARD -j LOG
exit 0
Et où dois-je mettre le fichier dpour que les paramètres se lancent au démarrage ?
C'est déjà bien plus logique, mais ce dernier est très restrictif : En entrée tout est bloqué et en sortie à part la navigation Web de base, rien d'autre n'est autorisé.
C'est ce que j'ai fait sur ma machine, il y a déjà une liste de règles que tu peu activé facilement, et au besoin, tu peut crée ta propre règles pour un programmes ou service bien précis.
Bonjour AchilleFraisse,
Si j'en crois tes autres posts, tu n'as pas encore fini d'installer Arch sur ton nouveau PC. Un firewall n'est pas une urgence, il y en a un d'incorporé à la box que tu utilises sûrement, en procédant par étapes tu isoleras et résoudras les problèmes au fur et à mesure.
waitnsea a écrit :Bonjour AchilleFraisse,
Si j'en crois tes autres posts, tu n'as pas encore fini d'installer Arch sur ton nouveau PC. Un firewall n'est pas une urgence, il y en a un d'incorporé à la box que tu utilises sûrement, en procédant par étapes tu isoleras et résoudras les problèmes au fur et à mesure.
Ah... Moi je voulais le paramétrer le plus vite possible pour eviter d'avoir des cochonerie sur mon PC. Je ne savais pas que ma box orange en avais un..
Euh... Un par-feu ne permet pas d'éviter d'avoir des "cochonneries"... Pour toi c'est quoi un par-feu ?
La box n'a pas réellement de par-feu, cela y ressemble, c'est ce que l'on appelle du NAT. Et on peu assez facilement faire des trous dans un NAT
benjarobin a écrit :Euh... Un par-feu ne permet pas d'éviter d'avoir des "cochonneries"... Pour toi c'est quoi un par-feu ?
Pour moi, un pere-feu permet d'éviter des intrusions extérieures sur mon PC lorsqu'il est connecté au réseau et dnc d'éviter d'avoir des programme qui viennent polluter mon Linux (les cochonneries)
Tu sais que la probabilité d'attraper des "cochonneries" avec un PC sous Linux à jour, sans aucun service en écoute, et sans toucher le PC, est proche de zero ?
Tu as bien plus de "chance" d'attraper des "cochonneries" en naviguant sur internet avec un navigateur Web et avec un par-feu ultra restrictif, que sans par-feu sans naviguer sur internet.
Les "cochonneries" ne vont pas comme par magie arriver sur ton PC, il te faut plusieurs choses : Un PC avec des failles non corrigé, ne pas avoir de chance, une personne très motivé qui devra passer le NAT de ta BOX, puis exploiter une faille de ton système (sans service qui écoute sur un port bonne chance...)
Pour moi le par-feu sert premièrement à limiter l'accès un service à un groupe de personne. Par exemple je ne veux pas que mon serveur Mysql soit accessible depuis l'extérieur mais uniquement depuis le réseau locale : le par-feu permet de rajouter une barrière de sécurité supplémentaire.
AchilleFraisse a écrit :Mais sous Windows, il y en a des "cochoneries".. Toutes les pubs et les logiciels à la con qui viennent s'installer automatiquement. .. .
C'est ce qui se passe quand tu installes un logiciel sur ta machine. Les intrusions réseau sont beaucoup moins fréquentes que les infections virales.
Aussi, de manière générale, un pare-feu, il bloque soit le traffic vers l'extérieur, soit le traffic vers l'intérieur (et la seconde méthode est plus simple à comprendre : tu laisses tout partir de ta machine et tu interdis à quiconque d'initier une conversation avec elle).
++
psycho : Latitude E6430 ; BTRFS over LUKS, UEFI & secureboot schizo : Acer 8942G ; KDE 4, BTRFS over LUKS ; W7 (prend la poussière) toxo : i5-6600K, bspwm, VM W10 en PCI-passthrough deadman : Lenovo Thinkcenter, OpenBSD 6.0-stable popho.be : Kimsufi KS-3, FreeBSD 11.0 Loi de Murphy : Le jour où tu as besoin d'une backup, tu te dis que tu aurais dû en mettre en place
Venez sur IRC en plus du forum !
AchilleFraisse a écrit :Mais sous Windows, il y en a des "cochoneries".. Toutes les pubs et les logiciels à la con qui viennent s'installer automatiquement. .. .
Cela fait maintenant plus de 5 ans que je n'ai pas eu le cas, et le vecteur de propagation était une clé USB. Sinon très récemment dans l'entreprise où je travail on a eu une petite épidémie, et le vecteur de propagation était une pièce jointe d'un émail (Il y a toujours des personnes pour ouvrir les pièces jointes même dans un émail suspicieux).
Bref, non aucune "cochoneries" ne s'installe automatique, c'est uniquement la faute de l'utilisateur, ne pas le reconnaitre est se voiler la face. Après je ne dis pas qu'en 5 ans on peut avoir 1 coup de mal chance ou d'inattention.
