Conversation
precedente ou
suivante
Page: 1 sur 2
Re: Bon firewall
Envoyé par:
Bouboul
En fait , j'ai 2 bécannes..
Une sous slackware 10.1..mais qui est en off line..( qui n'est pas connectée adsl..)
Une deuxième qui connecté en adsl mais sous xp ...( c'est à partir de celle - ci que je suis entrain d'écrire..)
Or cette deuxième je vients d'installer la slack. 10.1 sous partitionement avec noyau 2.4...car je possède un modem usb olitec v3...
Le problème c'est que le pilote n'est pas mis à jour par le constructeur pour les noyaux supérieur à 2.4... à mon grand désespoir..
M'enfin bref..., pour résumer , j'ai réussi à faire fonctionner mon modem et je souhaiterais un firewall du style norton, c'est à fire que les règles puissent se définir graphiquement.
Ce firewall fonctionnerais sous utilisation d'internet, d'amule, de téléchargements..
Une sous slackware 10.1..mais qui est en off line..( qui n'est pas connectée adsl..)
Une deuxième qui connecté en adsl mais sous xp ...( c'est à partir de celle - ci que je suis entrain d'écrire..)
Or cette deuxième je vients d'installer la slack. 10.1 sous partitionement avec noyau 2.4...car je possède un modem usb olitec v3...
Le problème c'est que le pilote n'est pas mis à jour par le constructeur pour les noyaux supérieur à 2.4... à mon grand désespoir..
M'enfin bref..., pour résumer , j'ai réussi à faire fonctionner mon modem et je souhaiterais un firewall du style norton, c'est à fire que les règles puissent se définir graphiquement.
Ce firewall fonctionnerais sous utilisation d'internet, d'amule, de téléchargements..
Poste le Monday 23 May 2005 17:36:16
Re: Bon firewall
Envoyé par:
bobitavu
[www.lea-linux.org]
Vaut pour ta question sur la prise de commande à distance.
Suffit de chercher, c'est ça qu'est bien avec l'internet.
Vaut pour ta question sur la prise de commande à distance.
Suffit de chercher, c'est ça qu'est bien avec l'internet.
Poste le Monday 23 May 2005 23:39:05
Re: Bon firewall
Envoyé par:
merlin8282
Pour ça, tu peux essayer Webmin qui fait office d'interface (somme toute très limitée) à iptables.
Comme le dit Perramus, le mieux est encore de configurer iptables à la main. C'est pas si compliqué que ça, surtout si tu as un script de départ. Je te mets le mien ici, regarde les quelques commentaires que je te mets en bout de ligne, avec "//" (tiens, je te le mets entre "
" ;-)):
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Comme le dit Perramus, le mieux est encore de configurer iptables à la main. C'est pas si compliqué que ça, surtout si tu as un script de départ. Je te mets le mien ici, regarde les quelques commentaires que je te mets en bout de ligne, avec "//" (tiens, je te le mets entre "
" ;-)):
Bon, il ressort pas très bien ici (quoique ça passe encore, àmha) mais sers t'en, il te suffit de coller ce script dans ton /etc/rc.d/rc.firewall, de dé/commenter ce qu'il te faut pour ta config, de rendre le fichier exécutable et roulez jeunesse...Citation
/etc/rc.d/rc.firewall
#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:
firewall_start() {
echo "[Démarrage du firewall]"
############################### REGLES PAR DEFAUT ###########################
echo "[Initialisation de la table filter]"
iptables -F
iptables -X
echo "[Politique par défaut de la table filter]"
# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP
# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT
# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
############################### LOCAL-INTERNET ###########################
echo "[On autorise les clients à accéder à internet]"
#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet
# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT
#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :-)
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT
# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet
############################### LES TABLES NAT ET MANGLE #############################
echo "[Initialisation des tables nat et mangle]"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
#################################### LE MASQUERADING ########################################
# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo "[Mise en place du masquerading]"
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
################################# ACTIVATION DE LA PASSERELLE ##################
echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward
################################# PAS DE SPOOFING ############################
echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
########################## PAS DE SYNFLOOD ####################
echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
################################## PAS DE PING ###############################
# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi
############# Priorisation de la bande passante et des connections - QoS ############
echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay
echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput
echo "[priorisation des connections Diablo 2 ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Minimize-Delay
# Maximum de débit à Diablo 2
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Maximize-Throughput
############################ Fonctionnalités serveurs #####################################
echo "[Etude des fonctionalités serveurs, visibles depuis internet]"
# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.
# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.
#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT
#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT
echo "[autorisation du serveur http(80) ...]"
iptables -A INPUT -p tcp --dport www -j ACCEPT
echo "[autorisation du serveur https(443) ...]"
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT
#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT
#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT
#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT
# Ports visibles depuis l'extérieur pour Freenet :
echo "[autorisation du serveur Freenet (23050/tcp) ...]"
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT
echo "[autorisation du serveur aMule (4662/tcp) ...]"
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT
echo "[firewall activé !]"
}
firewall_stop() {
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
echo " [firewall descativé!]"
}
firewall_restart() {
firewall_stop
sleep 2
firewall_start
}
case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Monday 23 May 2005 23:52:33
Re: Bon firewall
Envoyé par:
madko
oh un script blindé de fautes (d'orthographes)
et pas top le fait d'autoriser tout en sortie, mais bon ça simplifie
pour la QoS c'est interessant
sinon Bouboul sache que a part Netfilter sous linux (kernel recent) ya pas grand chose
donc tu dois plutot chercher un outil d'administration, dommage un bon script avec iptables c'est tellement plus simple qu'un GUI, surtout que slackware c'est pas le royaume des gui
(d'orthographes)
et pas top le fait d'autoriser tout en sortie, mais bon ça simplifie
pour la QoS c'est interessant
sinon Bouboul sache que a part Netfilter sous linux (kernel recent) ya pas grand chose
donc tu dois plutot chercher un outil d'administration, dommage un bon script avec iptables c'est tellement plus simple qu'un GUI, surtout que slackware c'est pas le royaume des gui
Poste le Tuesday 24 May 2005 00:06:03
Re: Bon firewall
Envoyé par:
merlin8282
?-( où ça ?Citation
madko
oh un script blindé de fautes
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Tuesday 24 May 2005 07:30:55
Re: Bon firewall
Envoyé par:
merlin8282
Ah oui, ok. C'est vrai que ce mot est "faux ami"... Mais pas parce-que je suis informaticien. J'ai fait la faute parce-que l'on dit "je me connecte" et pas "je me connexe" (#%b) voilà tout.
[v]c'est bon, correction intégrée dans ma ROM[/v]
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
[v]c'est bon, correction intégrée dans ma ROM[/v]
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Tuesday 24 May 2005 11:54:11
Re: Bon firewall
Envoyé par:
Bouboul
ok, merci merlin8282 pour le script d'iptable..
J'y avais pensé...bon la commande en ligne ne me rebute pas ..par contre je me posais la question sur l'efficacité des alertes...
Ou plutot sur l'aspect informatif des alertes ou des attaques..
En fait je suppose que les attaques, les stats, etc... sont inscrites dans un fichier de log, qu'ils faut consulter à l'aide d'un éditeur de texte.
Ou par exemple est ce qu'iptable va me poser la question si par exemple en cas d'oubli d'ouverture d'un port ou d'une adresse si je concède à l'accepter... un peu à la style norton...
J'avait un peu consulté la rubrique des logiciels proposé par le site de léa..
Mais aucun d'entre vous ne cite firestarter...
mais webmin me semble une bonner alternative
a+
J'y avais pensé...bon la commande en ligne ne me rebute pas ..par contre je me posais la question sur l'efficacité des alertes...
Ou plutot sur l'aspect informatif des alertes ou des attaques..
En fait je suppose que les attaques, les stats, etc... sont inscrites dans un fichier de log, qu'ils faut consulter à l'aide d'un éditeur de texte.
Ou par exemple est ce qu'iptable va me poser la question si par exemple en cas d'oubli d'ouverture d'un port ou d'une adresse si je concède à l'accepter... un peu à la style norton...
J'avait un peu consulté la rubrique des logiciels proposé par le site de léa..
Mais aucun d'entre vous ne cite firestarter...
mais webmin me semble une bonner alternative
a+
Poste le Tuesday 24 May 2005 19:12:51
Re: Bon firewall
Envoyé par:
madko
non iptables n'est pas un truc norton, c'est bien plus puissant mais ça intervient au niveau du noyau, pas vraiment au niveau des applications. donc si tu t'attend a voir un truc genre tel application veut acceder au net, l'autoriser ou pas, c'est mort
iptables fait des logs, mais il ne va pas te dire tiens ça c'est une attaque, c'est pas son role
si tu veux avoir ce genre de stats il faut installer un IDS du genre snort
si tu veux tester ton firewall de l'exterieur, il y a des outils comme nmap ou nessus
tcpdump en local te permet aussi de voir ce qui arrive sur ta machine
iptables fait des logs, mais il ne va pas te dire tiens ça c'est une attaque, c'est pas son role
si tu veux avoir ce genre de stats il faut installer un IDS du genre snort
si tu veux tester ton firewall de l'exterieur, il y a des outils comme nmap ou nessus
tcpdump en local te permet aussi de voir ce qui arrive sur ta machine
Poste le Tuesday 24 May 2005 19:36:02
Re: Bon firewall
Envoyé par:
Bouboul
ok, madko pour les précisions sur iptables...comme quoi..je pense que beaucoup de personnes font un parallèle entre ce genre d'appli et l'équivalence de norton...
Par contre toi ou vous quand vous "surfez" sur internet ou que vous utiliser amule ou bittorent etc... vous utilisez en dehors d'iptable, snort (qui d'après ce que tu décrits ne fait que les stats), quel type de locigiels pour prévenir les attaques...?
shorewall ?
firestarter ?
shorewall ?
Par contre toi ou vous quand vous "surfez" sur internet ou que vous utiliser amule ou bittorent etc... vous utilisez en dehors d'iptable, snort (qui d'après ce que tu décrits ne fait que les stats), quel type de locigiels pour prévenir les attaques...?
shorewall ?
firestarter ?
shorewall ?
Poste le Tuesday 24 May 2005 20:01:15
Re: Bon firewall
Envoyé par:
madko
qu'appel tu prevenir les attaques? snort fait des stats mais c'est surtout un IDS donc s'il trouve qqchose qui ressemble d'apres ces regles a une tentative d'intrusion d'attaque tu peux etre prevenu par mail. Mais ça n'a pas vraiment d'interet car tu va vitte te rendre compte qu'internet c'est vraiment le bordel
tu as aussi des ptits outils comme portsentry qui en cas de scan de ports sur ta machine bannit l'ip de l'attaquant.
Le gros inconvinient de ce que tu cherches c'est que c'est tres long a configurer car en general rien ne peut juger de maniere fiable si l'attaque est pertinente, et si elle a été dangereuse ou pas. de plus comme cela se base sur des regles/filtres, ils font qu'ils soient souvent mis a jour sinon...
un firewall c'est juste qqchose qui ouvre ou ferme un port en fonction de certains criteres rien de tres intelligent en fait. Si tu est parano, un bon script iptables (en bloquant tout par defaut), un IDS eventuellement si tu veux avoir de la lecture, et surtout mettre a jour le plus souvent possible tes logiciels. Ne pas non plus filler de compte shell a n'importe qui et bien limiter les services ouverts sur le net.
shorewall et firestarter il me semble ne sont que des frontend graphique d'iptables ou un remplacant de celui-ci. Peut etre plus facile d'acces qu'un script, pas sur.
sinon yavait un soft assez sympa mais jarrive plus a retrouver le nom, en gros ça prenait les signatures des fichiers vitaux de ton linux et ça te prevenait par mail en cas de modif (genre un intrus qui se creer un compte dans /etc/passwd). c'est pas mal comme idée. si qqun connait ce soft
tu as aussi des ptits outils comme portsentry qui en cas de scan de ports sur ta machine bannit l'ip de l'attaquant.
Le gros inconvinient de ce que tu cherches c'est que c'est tres long a configurer car en general rien ne peut juger de maniere fiable si l'attaque est pertinente, et si elle a été dangereuse ou pas. de plus comme cela se base sur des regles/filtres, ils font qu'ils soient souvent mis a jour sinon...
un firewall c'est juste qqchose qui ouvre ou ferme un port en fonction de certains criteres rien de tres intelligent en fait. Si tu est parano, un bon script iptables (en bloquant tout par defaut), un IDS eventuellement si tu veux avoir de la lecture, et surtout mettre a jour le plus souvent possible tes logiciels. Ne pas non plus filler de compte shell a n'importe qui et bien limiter les services ouverts sur le net.
shorewall et firestarter il me semble ne sont que des frontend graphique d'iptables ou un remplacant de celui-ci. Peut etre plus facile d'acces qu'un script, pas sur.
sinon yavait un soft assez sympa mais jarrive plus a retrouver le nom, en gros ça prenait les signatures des fichiers vitaux de ton linux et ça te prevenait par mail en cas de modif (genre un intrus qui se creer un compte dans /etc/passwd). c'est pas mal comme idée. si qqun connait ce soft
Poste le Tuesday 24 May 2005 20:35:58
Re: Bon firewall
Envoyé par:
Bouboul
Finalement cette discution me fait réfléchir...et peut être bien d'autres personnes ...
Ok, que l'ordinateur ne soit pas protégé à 100%..ça je m'en doute que ce n'est pas possible..
Citation :
<un firewall c'est juste qqchose qui ouvre ou ferme un port en fonction de certains criteres rien de tres intelligent en fait. Si tu est parano, un bon script iptables (en bloquant tout par defaut), un IDS eventuellement si tu veux avoir de la lecture, et surtout mettre a jour le plus souvent possible tes logiciels. Ne pas non plus filler de compte shell a n'importe qui et bien limiter les services ouverts sur le net.>
Donc finalement étant sous windows xp, le fait d'avoir un norton (ou consoeur) qui comment te dire...c'est plutôt de la poudre aux yeux, en fait ce n'est pas une sécurisation efficace (bon c'est pas trop le terme que je voudrait utiliser ..mais je n'en ait pas d'autre qui me vient à l'esprit pour l'instant..la fatigue du soir probablement...)
Effectivement norton me bloque les chevaux de trois, mais finalement lorsque quelqu'un essaie une introduction par le port 80 (internet) ou part le biais d'un port d'un logiciel de téléchargement.. l'intru pourras facilement utiliser certains "subterfuges" sans que le parefeu ne s'en rende compte...
Pour résumer : j'utilise le port x, autorisé par le parefeu, et je m'introduit dans le système et je scanne ou dépose des espions,etc...(actuellement je suis sous xp, en attendant la bascule sous linux pour ce qui concerne internet.. en fait je le suis déjà mais en off line pour des raisons de modem pas trop à jour au niveau des pilotes...marque olitec..)
je ne suis pas parano de la sécurité ou du surf sur internet , mais j'essaie juste de comprendre, e voir la subtilité....
Tu sais on te ravale sans cesse par coup de marketing de pub, d'infos..quand tu longes les rayons informatiques des grandes surfaces : protection internet, protection contre intrusion..etc..
Finalement pour essayer de résumer :
Etant donné que le noyau de linux possède son propre parefeu de base (iptables), si je me connecte sous internet en simple utilisateur n'ayant pas accès à des commandes root, je risque autant qu'en étant sous xp avec firewall..
Donc à la rigueur, d'après ce que je ressent dans la discution : l'installation d'un parefeu comme je l'entend (du style norton..) n'est pas nécessaire ou obligatoire pour "circuler" sur internet sous linux...?
a+
Ok, que l'ordinateur ne soit pas protégé à 100%..ça je m'en doute que ce n'est pas possible..
Citation :
<un firewall c'est juste qqchose qui ouvre ou ferme un port en fonction de certains criteres rien de tres intelligent en fait. Si tu est parano, un bon script iptables (en bloquant tout par defaut), un IDS eventuellement si tu veux avoir de la lecture, et surtout mettre a jour le plus souvent possible tes logiciels. Ne pas non plus filler de compte shell a n'importe qui et bien limiter les services ouverts sur le net.>
Donc finalement étant sous windows xp, le fait d'avoir un norton (ou consoeur) qui comment te dire...c'est plutôt de la poudre aux yeux, en fait ce n'est pas une sécurisation efficace (bon c'est pas trop le terme que je voudrait utiliser ..mais je n'en ait pas d'autre qui me vient à l'esprit pour l'instant..la fatigue du soir probablement...)
Effectivement norton me bloque les chevaux de trois, mais finalement lorsque quelqu'un essaie une introduction par le port 80 (internet) ou part le biais d'un port d'un logiciel de téléchargement.. l'intru pourras facilement utiliser certains "subterfuges" sans que le parefeu ne s'en rende compte...
Pour résumer : j'utilise le port x, autorisé par le parefeu, et je m'introduit dans le système et je scanne ou dépose des espions,etc...(actuellement je suis sous xp, en attendant la bascule sous linux pour ce qui concerne internet.. en fait je le suis déjà mais en off line pour des raisons de modem pas trop à jour au niveau des pilotes...marque olitec..)
je ne suis pas parano de la sécurité ou du surf sur internet , mais j'essaie juste de comprendre, e voir la subtilité....
Tu sais on te ravale sans cesse par coup de marketing de pub, d'infos..quand tu longes les rayons informatiques des grandes surfaces : protection internet, protection contre intrusion..etc..
Finalement pour essayer de résumer :
Etant donné que le noyau de linux possède son propre parefeu de base (iptables), si je me connecte sous internet en simple utilisateur n'ayant pas accès à des commandes root, je risque autant qu'en étant sous xp avec firewall..
Donc à la rigueur, d'après ce que je ressent dans la discution : l'installation d'un parefeu comme je l'entend (du style norton..) n'est pas nécessaire ou obligatoire pour "circuler" sur internet sous linux...?
a+
Poste le Tuesday 24 May 2005 21:51:39
Re: Bon firewall
Envoyé par:
Bouboul
juste une petite rectif à la dernière phrase :
Citation :
<Donc à la rigueur, d'après ce que je ressent dans la discution : l'installation d'un parefeu comme je l'entend (du style norton..) n'est pas nécessaire ou obligatoire pour "circuler" sur internet sous linux...?>
j'ai oublié le rajout d'un mot dans la phrase à la fin :
Donc à la rigueur, d'après ce que je ressents dans la discution : l'installation d'un parefeu comme je l'entend (du style norton..) n'est pas nécessaire ou obligatoire pour "circuler" sur internet sous linux...avec moins de risques d'instrusion?
Citation :
<Donc à la rigueur, d'après ce que je ressent dans la discution : l'installation d'un parefeu comme je l'entend (du style norton..) n'est pas nécessaire ou obligatoire pour "circuler" sur internet sous linux...?>
j'ai oublié le rajout d'un mot dans la phrase à la fin :
Donc à la rigueur, d'après ce que je ressents dans la discution : l'installation d'un parefeu comme je l'entend (du style norton..) n'est pas nécessaire ou obligatoire pour "circuler" sur internet sous linux...avec moins de risques d'instrusion?
Poste le Tuesday 24 May 2005 21:59:37
Re: Bon firewall
Envoyé par:
merlin8282
En fait, moi je n'ai que mis le script en place. Je n'ai même pas cherché à savoir si quelqu'un a essayé de rentrer dans mon ordi (de toute manière mon iptables le bloque...).
Ensuite, il y a un truc qu'il faut que tu comprennes: "fenêtre" (houinedauze pour les intimes) ne fait pas la différence entre (appelons ça) un port "entrant" et un port "sortant". C'est à dire que quand tu surfes sur le net (c'est un exemple), tu envoies de requêtes par le port 80, en sortant. Ce qu'on appellerait dans ce cas "une requête sur le "port 80 entrant"", ça voudrait dire que tu as un serveur web qui tourne, écoutant sur le port 80 (entrant).
iptables, lui, fait la différence; c'est à dire que toi (via le script) tu vas lui dire, par exemple: "ce qui sort par le port 80, tu l'autorises" pour surfer. "ce qui entre par le port 80, tu le bloques" pour éviter aux gens de se connecter à ton serveur web.
Après, il y a des nuances: iptables peut :
* ouvrir un port
* fermer un port (bloquer)
Il peut bloquer les ports de différentes manières: s'il reçoit une requête sur un port, il a le choix: soit répondre "c'est fermé", soit ne rien répondre (ce qu'on appelle "stealth"). Techniquement, on préfère mettre les ports en stealth car sinon un individu (ou virus par exemple) peut par exemple pinger la machine. Si elle répond "port fermé", ça donne une info à l'intrus: il existe un ordinateur à cette adresse-là. Alros que si les ports sont fermés, il aura un timeout, il ne saura pas s'il existe un ordinateur à cette adresse ou pas.
Bon, c'est peut-être mal expliqué, mais je vois pas comment l'expliquer autrement. (un volontaire ?).
Bref, il existe d'excellents tutoriaux sur le net à propos de iptables.
Pour commencer: [lea-linux.org] ;-)
Plein de liens avec des FAQs: [www.linuxguruz.com]
Merci google :-))
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Ensuite, il y a un truc qu'il faut que tu comprennes: "fenêtre" (houinedauze pour les intimes) ne fait pas la différence entre (appelons ça) un port "entrant" et un port "sortant". C'est à dire que quand tu surfes sur le net (c'est un exemple), tu envoies de requêtes par le port 80, en sortant. Ce qu'on appellerait dans ce cas "une requête sur le "port 80 entrant"", ça voudrait dire que tu as un serveur web qui tourne, écoutant sur le port 80 (entrant).
iptables, lui, fait la différence; c'est à dire que toi (via le script) tu vas lui dire, par exemple: "ce qui sort par le port 80, tu l'autorises" pour surfer. "ce qui entre par le port 80, tu le bloques" pour éviter aux gens de se connecter à ton serveur web.
Après, il y a des nuances: iptables peut :
* ouvrir un port
* fermer un port (bloquer)
Il peut bloquer les ports de différentes manières: s'il reçoit une requête sur un port, il a le choix: soit répondre "c'est fermé", soit ne rien répondre (ce qu'on appelle "stealth"). Techniquement, on préfère mettre les ports en stealth car sinon un individu (ou virus par exemple) peut par exemple pinger la machine. Si elle répond "port fermé", ça donne une info à l'intrus: il existe un ordinateur à cette adresse-là. Alros que si les ports sont fermés, il aura un timeout, il ne saura pas s'il existe un ordinateur à cette adresse ou pas.
Bon, c'est peut-être mal expliqué, mais je vois pas comment l'expliquer autrement. (un volontaire ?).
Bref, il existe d'excellents tutoriaux sur le net à propos de iptables.
Pour commencer: [lea-linux.org] ;-)
Plein de liens avec des FAQs: [www.linuxguruz.com]
Merci google :-))
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Tuesday 24 May 2005 23:33:51
Re: Bon firewall
Envoyé par:
madko
disons que norton et les firewall windows ont comme approche d'autoriser ou non l'acces a internet (ou au reseau) par application. c'est pas mal mais ça peut etre fastidieux pour l'utilisateur.
Apres savoir si ce sont de bons produit (surtout norton) là c'est un autre debat.
Sous linux on filtre au plus bas niveau et peu importe l'application. (mais windows peut aussi faire ça, aussi bien surement pas).
mais quelque soit l'OS ou le firewall, tu autorise bien certains ports a etre ouvert, ne serait-ce que pour surfer. Et un port ce n'est rien d'autre qu'une application. Et c'est la que ce joue la securité en fait, si ton application est mal programmée ou possede des failles, ton firewall ne sera pas de grande utilité. d'où le conseil de toujours mettre a jour et de limiter au max les services accessibles depuis l'exterieur.
apres la configuration d'iptables en soit est bien sur qqchose d'assez compliqué et de subtile mais la doc ne manque pas. faut avoir de bonne connaissance en reseau.
mais la ou linux a un avantage, c'est que meme si ton utilisateur est verolé, l'attaquant se retrouve avec un compte utilisateur il n'est pas encore tout puissant. donc c'est ce cloisonnement qui est interessant
donc deja un simple iptables, ne jamais surfer en tant que root, c'est deja bien tu prend moins de risque que sous windows. (parait que windows sans sp ne tient que 18min sur le net sans protection)
Apres savoir si ce sont de bons produit (surtout norton) là c'est un autre debat.
Sous linux on filtre au plus bas niveau et peu importe l'application. (mais windows peut aussi faire ça, aussi bien surement pas).
mais quelque soit l'OS ou le firewall, tu autorise bien certains ports a etre ouvert, ne serait-ce que pour surfer. Et un port ce n'est rien d'autre qu'une application. Et c'est la que ce joue la securité en fait, si ton application est mal programmée ou possede des failles, ton firewall ne sera pas de grande utilité. d'où le conseil de toujours mettre a jour et de limiter au max les services accessibles depuis l'exterieur.
apres la configuration d'iptables en soit est bien sur qqchose d'assez compliqué et de subtile mais la doc ne manque pas. faut avoir de bonne connaissance en reseau.
mais la ou linux a un avantage, c'est que meme si ton utilisateur est verolé, l'attaquant se retrouve avec un compte utilisateur il n'est pas encore tout puissant. donc c'est ce cloisonnement qui est interessant
donc deja un simple iptables, ne jamais surfer en tant que root, c'est deja bien tu prend moins de risque que sous windows. (parait que windows sans sp ne tient que 18min sur le net sans protection)
Poste le Wednesday 25 May 2005 00:15:14
Re: Bon firewall
Envoyé par:
merlin8282
Ha ! J'en ai fait l'expérience encore pas plus tard que hier soir !Citation
madko
(parait que windows sans sp ne tient que 18min sur le net sans protection)
Ayant été obligé d'installer windoze chez mon cousin qui y tenait absolument (note: il est maintenant grâce à moi en possession d'une magnifique Ubuntu :-)) ), je suis allé sur le net avec un antivirus mais sans firewall: immédiatement (après moins de 2 minutes, littéralement) l'ordi a été infecté et inutilisable. ça fout vraiment la rage de devoir installer, réinstaller, reréinstaller, etc. :-cb
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Wednesday 25 May 2005 07:34:37
Page: 1 sur 2
Ce forum !
Bon firewall
Aide aux utilisateurs de la distribution Slackware et ses dérivées : Slax, Vector
Nouveau sujet sur ce forum
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons