[pare-feu] Question
[pare-feu] Question
Bonjour a tous,
j ai voulu il y a quelques temps sécurisé mon pc avec un pare feu, j avais repéré ufw et son interface gufw, tout simple et vraiment pratique, mais j ai repéré aussi firewalld, quelquechose qui me parait etrange, sur ufw j ai mis refuser en entrant et autorisé en sortant, malgré tout quand je fais un ping d un autre pc vers celui la, le ping trouve, alors que dans mon pare feu ya aucune regle
a contrario sur firewalld, quand tu selectionne une interface en drop, là si tu tente un ping ça marchera pas, quand tu regardes le tuto, c'est le rendu qui est souhaité, alors ma question, est ce que ya des pare feu meilleurs que d autres ou c est une histoire de configuration
j ai voulu il y a quelques temps sécurisé mon pc avec un pare feu, j avais repéré ufw et son interface gufw, tout simple et vraiment pratique, mais j ai repéré aussi firewalld, quelquechose qui me parait etrange, sur ufw j ai mis refuser en entrant et autorisé en sortant, malgré tout quand je fais un ping d un autre pc vers celui la, le ping trouve, alors que dans mon pare feu ya aucune regle
a contrario sur firewalld, quand tu selectionne une interface en drop, là si tu tente un ping ça marchera pas, quand tu regardes le tuto, c'est le rendu qui est souhaité, alors ma question, est ce que ya des pare feu meilleurs que d autres ou c est une histoire de configuration
- benjarobin
- Maître du Kyudo
- Messages : 17355
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [pare-feu] Question
Bonjour,
Ce que tu listes ne sont que des interfaces (graphique ou non) à la même interface du kernel, qui est géré via iptables.
Donc oui ce n'est qu'une histoire de configuration.
Après de ce que je comprends de https://wiki.archlinux.org/title/firewalld c'est que cela permet d'appliquer une configuration dynamiquement.
Personnellement j'ai toujours tout fait à "la main" via iptables.
Ce que tu listes ne sont que des interfaces (graphique ou non) à la même interface du kernel, qui est géré via iptables.
Donc oui ce n'est qu'une histoire de configuration.
Après de ce que je comprends de https://wiki.archlinux.org/title/firewalld c'est que cela permet d'appliquer une configuration dynamiquement.
Personnellement j'ai toujours tout fait à "la main" via iptables.
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [pare-feu] Question
ok parceque, ufw, ça prete a confusion, c'est bien marqué refuser en entrant, pourtant ça ping, par contre firewalld quand ils disent que ça refuse, ça refuse vraiment pour le coup
- benjarobin
- Maître du Kyudo
- Messages : 17355
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [pare-feu] Question
Tu peux donner la configuration de ufw qui génère ce problème ainsi que la sortie de iptables-save ?
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [pare-feu] Question
bah en fait, c est dans l interface graphique d ufw, j ai coché refuser en entrant, autoriser en sortant, pour moi ça me paraissait clair, dans l onglet regle, yavait rien donc, pour moi aucun ping pouvait passer, je me suis fier à l interface graphique, sinon voici la sortie de iptables-save :
Code : Tout sélectionner
# Generated by iptables-save v1.8.10 on Wed Jan 10 23:17:23 2024
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Jan 10 23:17:23 2024
Re: [pare-feu] Question
sinon l interface graphique de firewalld, c est firewall-config, dans le wiki c est marqué mais il n est pas dans les dépots, ptete dans l aur, c est pas précisé
- benjarobin
- Maître du Kyudo
- Messages : 17355
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [pare-feu] Question
Voir le wiki pour bloquer le ping, par défaut c'est autorisé : https://wiki.archlinux.org/title/Uncomp ... emote_ping
Cela correspond à ces lignes de configuration :
Il y a aussi la découverte du PC sur le réseau qui est autorisé via ces règles :
Sinon, rien de choquant, les connections TCP sortantes sont autorisées, et le flux entrant d'une connexion déjà établi est autorisé
Cela correspond à ces lignes de configuration :
Code : Tout sélectionner
-A ufw-before-input -p icmp -m icmp --icmp-type ... -j ACCEPT
Code : Tout sélectionner
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [pare-feu] Question
salut benja, merci a toi, c est gufw qui induit en erreur je trouve, sur une interface, on refuse et ya pas de regle, pour moi tout est refusé, mais merci de ta recherche je comprends mieux
- benjarobin
- Maître du Kyudo
- Messages : 17355
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [pare-feu] Question
C'est pour cela que je préfère rédiger moi-même les règles iptables, après si tu ne maîtrises pas ce qui est fait réellement tu peux créer d'énormes trous de sécurité. D'où la présence du projet ufw
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum