[pare-feu] Question

[Beber]

Bonjour a tous,
j ai voulu il y a quelques temps sécurisé mon pc avec un pare feu, j avais repéré ufw et son interface gufw, tout simple et vraiment pratique, mais j ai repéré aussi firewalld, quelquechose qui me parait etrange, sur ufw j ai mis refuser en entrant et autorisé en sortant, malgré tout quand je fais un ping d un autre pc vers celui la, le ping trouve, alors que dans mon pare feu ya aucune regle
a contrario sur firewalld, quand tu selectionne une interface en drop, là si tu tente un ping ça marchera pas, quand tu regardes le tuto, c'est le rendu qui est souhaité, alors ma question, est ce que ya des pare feu meilleurs que d autres ou c est une histoire de configuration

[benjarobin]

Bonjour,
Ce que tu listes ne sont que des interfaces (graphique ou non) à la même interface du kernel, qui est géré via iptables.
Donc oui ce n'est qu'une histoire de configuration.
Après de ce que je comprends de https://wiki.archlinux.org/title/firewalld c'est que cela permet d'appliquer une configuration dynamiquement.
Personnellement j'ai toujours tout fait à "la main" via iptables.

[Beber]

ok parceque, ufw, ça prete a confusion, c'est bien marqué refuser en entrant, pourtant ça ping, par contre firewalld quand ils disent que ça refuse, ça refuse vraiment pour le coup

[benjarobin]

Tu peux donner la configuration de ufw qui génère ce problème ainsi que la sortie de iptables-save ?

[Beber]

bah en fait, c est dans l interface graphique d ufw, j ai coché refuser en entrant, autoriser en sortant, pour moi ça me paraissait clair, dans l onglet regle, yavait rien donc, pour moi aucun ping pouvait passer, je me suis fier à l interface graphique, sinon voici la sortie de iptables-save :

Code : Tout sélectionner

# Generated by iptables-save v1.8.10 on Wed Jan 10 23:17:23 2024
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Jan 10 23:17:23 2024

[Beber]

sinon l interface graphique de firewalld, c est firewall-config, dans le wiki c est marqué mais il n est pas dans les dépots, ptete dans l aur, c est pas précisé

[benjarobin]

Voir le wiki pour bloquer le ping, par défaut c'est autorisé : https://wiki.archlinux.org/title/Uncomp ... emote_ping

Cela correspond à ces lignes de configuration :

Code : Tout sélectionner

-A ufw-before-input -p icmp -m icmp --icmp-type ... -j ACCEPT

Il y a aussi la découverte du PC sur le réseau qui est autorisé via ces règles :

Code : Tout sélectionner

-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT

Sinon, rien de choquant, les connections TCP sortantes sont autorisées, et le flux entrant d'une connexion déjà établi est autorisé

[Beber]

salut benja, merci a toi, c est gufw qui induit en erreur je trouve, sur une interface, on refuse et ya pas de regle, pour moi tout est refusé, mais merci de ta recherche je comprends mieux

[benjarobin]

C'est pour cela que je préfère rédiger moi-même les règles iptables, après si tu ne maîtrises pas ce qui est fait réellement tu peux créer d'énormes trous de sécurité. D'où la présence du projet ufw