Bonjour à tous
Lubuntu dispose comme Xubuntu du pare-feu intégré au noyau Netfilter, avec iptables et ufw (back-end). En faisant un paramétrage classique sous ufw, on constate sous iptables un grand nombre de règles inutilisées, et un déclanchement chronologique de celles-ci qui est carrément nuisible à la sécurité. Autant dire une mascarade. Je ne veux pas autoriser Netbios, mon PC portable est un notebook pas un serveur de temps NTP, je n'ai donc pas besoin de laisser le port 67 ouvert, etc, etc. Toute l'architecture est complexe comportant les tables Filter mais aussi Raw, Nat, et Mangle. Dans la table Mangle il y a par example une chaîne Forward qui n'empêche lorsqu'elle est supprimée absolument rien de fonctionner ce qui démontre qu'elle ne devrait pas être là. Elle permet juste comme un tas d'autres chaînes et règles d'être détournées dans le cadre de la compromission d'un système. Je demande à mon pare-feu de filtrer ce que je lui dis or, ufw vous laisse penser que tout est en ordre, alors que en-dessous aucune sécurité véritablement digne de ce nom n'est assurée. Si je supprime une à une une trentaine de règles non pas sous ufw puisqu'elles n'y sont même pas visibles, mais sous iptables tout continue à fonctionner (internet, imaps, tout OK) et avec la commande ' sudo iptables-save -c ' rien n'est en fait sauvegardé, il faut recommencer le ménage au prochain démarrage du système. J'ai quelques idées de ce qui serait faisable, mais je pense adéquat de m'en remettre à un expert dans le but faire un paramétrage de pare-feu le plus professionnel possible. Je précise que je m'intéresse à iptables / ip6tables, mais je ne suis pas informaticien. Que me conseillez-vous ?
Pare-feu
-
Christophe
- Messages : 6
- Enregistré le : 27 juin 2013, 11:16
- Contact :
-
Christophe
- Messages : 6
- Enregistré le : 27 juin 2013, 11:16
- Contact :
Re: Pare-feu
Bonjour Pingux
1. Merci beaucoup pour la réponse !
2. Après avoir appliqué mes règles de pare-feu (test) la commande -s iptables-save -c génère le script suivant :
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [8:536]
:POSTROUTING ACCEPT [8:536]
COMMIT
# Completed on Wed Apr 29 11:12:30 2015
# Generated by iptables-save v1.4.21 on Wed Apr 29 11:12:30 2015
*mangle
:PREROUTING ACCEPT [16:1296]
:INPUT ACCEPT [16:1296]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:1296]
:POSTROUTING ACCEPT [16:1296]
COMMIT
# Completed on Wed Apr 29 11:12:30 2015
# Generated by iptables-save v1.4.21 on Wed Apr 29 11:12:30 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:1296]
[0:0] -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
[16:1296] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
COMMIT
# Completed on Wed Apr 29 11:12:30 2015
J'ai fait la même chose en ipv6. Problème, je n'ai pas de répertoire iptables dans /etc/. Je ne sais pas si la cause est ma distri (Lubuntu) ou le fait que je viens de ré-installer ce système pour l'instant qui n'a pas encore reçu de mise à jour.
En tout cas j'ai crée un fichier bash (exécutable) myrules contenant juste ce qui était généré ci-dessus en root sauvegardé dans /etc/init.d. Je l'ai rendu exécutable avec : sudo chmod +x /etc/init.d/myrules puis tout mis à jour avec la commande sudo update-rc.d myrules defaults ce qui m'a retourné :
update-rc.d: warning: /etc/init.d/myrules missing LSB information
update-rc.d: see <http://wiki.debian.org/LSBInitScripts>
Adding system startup for /etc/init.d/myrules ...
/etc/rc0.d/K20myrules -> ../init.d/myrules
/etc/rc1.d/K20myrules -> ../init.d/myrules
/etc/rc6.d/K20myrules -> ../init.d/myrules
/etc/rc2.d/S20myrules -> ../init.d/myrules
/etc/rc3.d/S20myrules -> ../init.d/myrules
/etc/rc4.d/S20myrules -> ../init.d/myrules
/etc/rc5.d/S20myrules -> ../init.d/myrules
Il y a un problème quelque-part...
Que dois-je faire ?
1. Merci beaucoup pour la réponse !
2. Après avoir appliqué mes règles de pare-feu (test) la commande -s iptables-save -c génère le script suivant :
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [8:536]
:POSTROUTING ACCEPT [8:536]
COMMIT
# Completed on Wed Apr 29 11:12:30 2015
# Generated by iptables-save v1.4.21 on Wed Apr 29 11:12:30 2015
*mangle
:PREROUTING ACCEPT [16:1296]
:INPUT ACCEPT [16:1296]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:1296]
:POSTROUTING ACCEPT [16:1296]
COMMIT
# Completed on Wed Apr 29 11:12:30 2015
# Generated by iptables-save v1.4.21 on Wed Apr 29 11:12:30 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:1296]
[0:0] -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
[16:1296] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
COMMIT
# Completed on Wed Apr 29 11:12:30 2015
J'ai fait la même chose en ipv6. Problème, je n'ai pas de répertoire iptables dans /etc/. Je ne sais pas si la cause est ma distri (Lubuntu) ou le fait que je viens de ré-installer ce système pour l'instant qui n'a pas encore reçu de mise à jour.
En tout cas j'ai crée un fichier bash (exécutable) myrules contenant juste ce qui était généré ci-dessus en root sauvegardé dans /etc/init.d. Je l'ai rendu exécutable avec : sudo chmod +x /etc/init.d/myrules puis tout mis à jour avec la commande sudo update-rc.d myrules defaults ce qui m'a retourné :
update-rc.d: warning: /etc/init.d/myrules missing LSB information
update-rc.d: see <http://wiki.debian.org/LSBInitScripts>
Adding system startup for /etc/init.d/myrules ...
/etc/rc0.d/K20myrules -> ../init.d/myrules
/etc/rc1.d/K20myrules -> ../init.d/myrules
/etc/rc6.d/K20myrules -> ../init.d/myrules
/etc/rc2.d/S20myrules -> ../init.d/myrules
/etc/rc3.d/S20myrules -> ../init.d/myrules
/etc/rc4.d/S20myrules -> ../init.d/myrules
/etc/rc5.d/S20myrules -> ../init.d/myrules
Il y a un problème quelque-part...
Que dois-je faire ?
Re: Pare-feu
Tu peux le créer ainsi que les fichiers qui vont dedans, à savoir "rules.v4" et "rules.v6"je n'ai pas de répertoire iptables dans /etc/
Apparemment lsb (Linux Standard Base) ne serait pas installé par défaut sur Lubuntu contrairement aux autres variantes d'Ubuntu, il reste donc à l'installer pour voir si cela résout ton problème. Pour cela dans un terminal :update-rc.d: warning: /etc/init.d/myrules missing LSB information
Code : Tout sélectionner
sudo apt-get install lsbDura Lex sed Lex
-
Christophe
- Messages : 6
- Enregistré le : 27 juin 2013, 11:16
- Contact :
Re: Pare-feu
Bonjour Pingux
encore merci
J'ai tenté d'installer le paquet lsb-base et voici ce qu'il me retourne :
sudo apt-get install lsb
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Certains paquets ne peuvent être installés.
L'information suivante devrait vous aider à résoudre la situation :
Les paquets suivants contiennent des dépendances non satisfaites :
lsb : Dépend: lsb-core (>= 4.1+Debian11ubuntu6)
Dépend: lsb-graphics (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-cxx (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-desktop (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-printing (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-languages (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
E: Impossible de corriger les problèmes, des paquets défectueux sont en mode « garder en l'état ».
J'ai essayé ensuite avec synaptic qui donne les détails des paquets également sans succès.
J'ai crée ensuite un repertoire iptables dans /etc/
Après avoir généré les scripts avec sudo -s iptables-save -c je les ai sauvegardés en root dans des fichiers exécutables rules.v4 et rules.v5 dans le nouveau repertoire /etc/iptables. Apparemment les règles ne sont pas prises en compte ou n'ont pas été mémorisées par le système au prochain démarrage. J'ai tenter ' réparer les paquets cassés ' du menu de synaptic. Je précise que je n'ai desactivé aucun module. Pour l'instant je ne vois pas où se cache le problème...
Que dois-je faire ?
encore merci
J'ai tenté d'installer le paquet lsb-base et voici ce qu'il me retourne :
sudo apt-get install lsb
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Certains paquets ne peuvent être installés.
L'information suivante devrait vous aider à résoudre la situation :
Les paquets suivants contiennent des dépendances non satisfaites :
lsb : Dépend: lsb-core (>= 4.1+Debian11ubuntu6)
Dépend: lsb-graphics (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-cxx (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-desktop (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-printing (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
Dépend: lsb-languages (>= 4.1+Debian11ubuntu6) mais ne sera pas installé
E: Impossible de corriger les problèmes, des paquets défectueux sont en mode « garder en l'état ».
J'ai essayé ensuite avec synaptic qui donne les détails des paquets également sans succès.
J'ai crée ensuite un repertoire iptables dans /etc/
Après avoir généré les scripts avec sudo -s iptables-save -c je les ai sauvegardés en root dans des fichiers exécutables rules.v4 et rules.v5 dans le nouveau repertoire /etc/iptables. Apparemment les règles ne sont pas prises en compte ou n'ont pas été mémorisées par le système au prochain démarrage. J'ai tenter ' réparer les paquets cassés ' du menu de synaptic. Je précise que je n'ai desactivé aucun module. Pour l'instant je ne vois pas où se cache le problème...
Que dois-je faire ?