Page 1 sur 1
[kmyfirewall] bloquage KDE au démarrage
Publié : mer. 31 janv. 2007, 21:07
par marc[i1]
Bonsoir,
suite au
wiki de vincentxavier concernant la sécurité, j'ai installé kmyfirewall et iptable.
Bien qu'en anglais, l'outil est assez simple pour faire le minimum syndicale. J'ai réussi à configurer iptable et kmyfirewall, les demons s'installent dans /etc/rc.d, je modifie mon rc.conf, tout va bien.
Code : Tout sélectionner
DAEMONS=(syslog-ng network @acpid netfs gpm hal dbus atieventsd @smartd @ntpd @sshd alsa kmyfirewall kdm crond)
Hier soir, j'arrête ma machine normalement …
Ce soir, lors du démarrage, je vois bien iptable et kmyfirewall se lancer sans erreur, j'arrive à kdm, je me loggue … et là … pouf !
Il reste bloqué sur
« initialisation des services » et rien ne bouge.
Pour le moment, j'ai désinstallé iptable et kmyfirewall, j'ai donc pû me connecter à ma session sans problème, mais voilà, j'aimerais bien installer un parefeu sur mon portable.
Publié : mer. 31 janv. 2007, 21:29
par Cactus
Je n'ai pas de réponse, mais un /etc/rc.d/kmyfirewall start en console te donnera peut-être plus d'indices... ou un /etc/rc.d/kdm start en init 3 (et kmyfirewall lancé évidemment).
Publié : mer. 31 janv. 2007, 22:19
par marc[i1]
après essai, il dit rien
j'ai l'impression que c'est mon réglage qui semble trop … pointu ! car j'ai mis en route le parefeu et impossible de lancer konversation
j'ai donc désactivé le parefeu et magie ! konversation c'est connecté.
Donc je doit avoir des réglages trop violents mais alors lesquels … mystère et boule de gomme !
Publié : mer. 31 janv. 2007, 23:03
par Cactus
ben reprends tes règles une à une...
Effaces-les toutes et recommences, en testant le firewall à chaque port/application rajoutée...
Publié : mer. 31 janv. 2007, 23:38
par vincentxavier
Tu as utilisé quelle interface pour créer tes règles. Je te conseille de bien te renseigner sur les ports à ouvrir pour kde etc …
Publié : jeu. 01 févr. 2007, 00:12
par marc[i1]
J'ai utilisé l'interface de kmyfirewall ... et pour t'avouer j'y capte pas grand chose :/ donc si tu as des liens et/ou des tutos utiles et compréhensible ça m'interresse
Publié : jeu. 01 févr. 2007, 01:12
par vincentxavier
EN fait, de mémoire, tu as des modèles (template) qui te permettent de bien dégrossir tes besoins. Je te conseille d'utiliser l'interface simplifiée (ie pas l'interface iptables) c'est de loin la plus simple
Ensuite, iptables est relativement beuf …
Publié : jeu. 01 févr. 2007, 01:14
par vincentxavier
je viensd'y repenser aussi, il faut peut-être aussi que tu modifies ton kdmrc. En effet, la conf par défaut de Arch fait qu'il écoute sur le port 6000 pour des connexions entrantes. Je suppose que ton portable n'a pas pour vocation de faire serveur X (heu, sauf pe pour tes vidéos coquines)
Publié : jeu. 01 févr. 2007, 08:44
par _alexmyself
il existe firestarter comme firewall aussi, bien plus simple a manipuler et qui va créer des regles iptable a chaque démarrage, donc tu peut les recuperer et les utiliser sans firestarter, ce te fera un modeles deja bien sur mesure
Publié : jeu. 01 févr. 2007, 08:53
par marc[i1]
vincentxavier a écrit :tu as des modèles (template) qui te permettent de bien dégrossir tes besoins.
Je me suis servi du modèle Workstation puis je l'ai modifié, je vais tenté de reprendre un modèle vierge voir si mes modifs ne sont pas la cause de mes soucis.
Mais bon l'un des gros points noir de kmyfirewall, c'est la documentation inexistante !
_alexmyself a écrit :il existe firestarter comme firewall
Il semble pas mal aussi celui là
je vais regarder ça !
C'est dingue qu'il n'y ai pas de solution simple pour avoir un parefeu !
Publié : jeu. 01 févr. 2007, 09:02
par vincentxavier
marc[i1] a écrit :C'est dingue qu'il n'y ai pas de solution simple pour avoir un parefeu
Avant de sortir l'artillierie lourde du pare-feu et toussa, une bonne vérifications des services tournant et la suppression de certains entrées (genre kdm qui écoute sur le port 6000), un assainissement et un verrou dans les fichiers /etc/hosts.{deny,allow} te permettront de bien verrouiller la machine. Ensuite, si tu peux faire un scan avec netstat (en local) et nmap depuis un autre paycay, ca permet de voir les ports ouverts et de les critiquer (genre faut-il que cups écoute la terre entière alors que j'ai pas d'imprimante)
Beaucoup de configurations te permettent également de restreindre l'adresse réseau à la boucle locale.
Bon, si après tout ca, tu ressens encore le besoin d'un pare-feu (j'en ai bien un) il te reste une solution : man iptables
pour finir, un site qui m'a aidé dans la construction (à la main) de mes règles iptables
http://christian.caleca.free.fr/netfilter/iptables.htm
Publié : jeu. 01 févr. 2007, 09:16
par marc[i1]
^^
j'ai déjà tout fermé, j'ai aucun service inutile qui tourne mais je n'ai jamais mis de parefeu sur mes machines (je suis derrière un routeur qui a un parefeu sommaire) mais pour la petite histoire, c'est surtout pour la machine pro de ma femme que je test tout ça et aussi par curiosité
Mais bon ... man iptable ... je crois que je mettrais moins de temps à apprendre le Klingon que de comprendre ce ... truc !
Publié : jeu. 01 févr. 2007, 09:22
par vincentxavier
Si tu es pressé, regardes le script iptables que je propose sur le wiki !
Il te suffira de virer les parties propres au NAT. Voilà !
Publié : jeu. 01 févr. 2007, 09:39
par marc[i1]
Mici
Publié : ven. 23 févr. 2007, 12:33
par lamisere
cela ne vient sans doute pas de là mais tu n'as pas d'incohérence entre ton /etc/rc.conf et ton /etc/hosts...j'ai eu un pb similaire:
http://forums.archlinuxfr.org/viewtopic.php?id=1394