Journal Frugalware: Configuration du parefeu

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
-7
1
oct.
2014

Frugalware arrive avec un firewall configuré pour fonctionner out of the box (directement sans rien faire). Il autorise toutes les connections sortantes, et les paquets entrants pour les connexions établies. Il n'autorise les paquets entrants standards (NDT: comprendre hors connexion établie) pour aucun port. La configuration du firewall est placée dans `/etc/sysconfig/firewall'.

Note: Vous ne trouverez pas ce fichier si vous n'avez pas installé le paquet iptables car le pare-feu est basé sur iptables.

Voyons un exemple : vous voudriez autoriser l'accès en ssh à votre machine. Editez /etc/sysconfig/firewall, enlevez les dièses (#) du début de ligne sous la description ssh :

    # ssh
    #-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
end

ce qui nous donne :

    # ssh
    -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
end

et redémarrez le firewall :

    su -c 'service firewall restart'
end

La même chose s'applique pour Apache ou tout autre service.

Allons plus loin, on voudrait autoriser plusieurs ports qui se suivent, par exemple, 6881 a 6889 pour le torrent, il suffira de mettre une ligne a la fin avant ' commit ' :

    # torrent
    -A INPUT -p tcp -m tcp –dport 6881:6889 -j ACCEPT
    -A INPUT -p udp -m udp –dport 6881:6889 -j ACCEPT
end

On peut voir le status du firewall avec un :

    #service firewall status
    firewall.service - IPv4 firewall with iptables
    Loaded: loaded (/lib/systemd/system/firewall.service; enabled)
    Active: active (exited) since sam. 2014-09-20 10:21:29 CEST; 20min ago
    Process: 441 ExecStart=/usr/libexec/firewall start (code=exited, status=0/SUCCESS)
end

Ce qui nous permettra de voir les erreurs si il y en a :

    #service firewall status
    firewall.service - IPv4 firewall with iptables
    Loaded: loaded (/lib/systemd/system/firewall.service; enabled)
    Active: failed (Result: exit-code) since sam. 2014-09-20 10:45:56 CEST; 50s ago
    Process: 2463 ExecStop=/usr/libexec/firewall stop (code=exited, status=0/SUCCESS)
    Process: 2469 ExecStart=/usr/libexec/firewall start (code=exited, status=2)
    sept. 20 10:45:56 debiacerlinux2 systemd[1]: Starting IPv4 firewall with iptables...
    sept. 20 10:45:56 debiacerlinux2 firewall[2469]: iptables-restore v1.4.18: invalid port/service `139/145' specified
    sept. 20 10:45:56 debiacerlinux2 systemd[1]: firewall.service: main process exited, code=exited, status=2/INVALIDARGUMENT
    sept. 20 10:45:56 debiacerlinux2 systemd[1]: Failed to start IPv4 firewall with iptables.
    sept. 20 10:45:56 debiacerlinux2 systemd[1]: Unit firewall.service entered failed state.
end

Dans ce cas, le status nous rapporte l'erreur iptables-restore v1.4.18: invalid port/service `139/145' specified, en effet pour autoriser plusieurs ports qui se suivent, les ports doivent etre separé par ' :' et non par '/'.

wiki de frugalware
passiongnulinux

  • # Bienvenue en 1995 !

    Posté par  (site web personnel) . Évalué à -1.

    Pourquoi ne pas utiliser un logiciel fait pour simplifier la gestion du pare-feu !?
    (par exemple ufw)

    • [^] # Re: Bienvenue en 1995 !

      Posté par  . Évalué à 3.

      Je ne connais pas ufw, comment se positionne-t-il par rapport à Shorewall ?

      • [^] # Re: Bienvenue en 1995 !

        Posté par  (site web personnel) . Évalué à 3.

        Sauf erreur, ufw c'est juste une syntaxe plus claire et plus lisible qu'iptables. Tu es toujours à faire tes règles une à une et c'est tout.

        Shorewall, tu as un niveau d'abstraction plus grand parce que tu vas donner des noms à tes zones et tes réseaux auquels tu feras référence dans tes règles.

    • [^] # Re: Bienvenue en 1995 !

      Posté par  . Évalué à 6.

      Avec packet filter, on n'a pas besoin de logiciel pour simplifier la configuration du firewall, elle (la configuration) est limpide naturellement.

      • [^] # Re: Bienvenue en 1995 !

        Posté par  (site web personnel) . Évalué à 5.

        Tu as porté PF sous Linux? Je croyais qu'il n'existait que sous *BSD, Le OSX d'Apple et sous Windows!

        Merci pour cette contribution.

      • [^] # Re: Bienvenue en 1995 !

        Posté par  . Évalué à 5.

        Mais nous aussi ! On a nftables depuis janvier. Ça intéresse tellement de monde que le développement a était chaotique (6 ans de développement !) et que personne ne semble s'en être aperçut (et pourtant c'est vachement cool).

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Bienvenue en 1995 !

      Posté par  . Évalué à 2.

      Pourquoi ne pas utiliser un logiciel fait pour simplifier la gestion du pare-feu !?
      (par exemple ufw)

      Merci tu viens de m'expliquer instantanément le pourquoi de Gnome 3 systemd et du masquage du terminal dans de nombreuses distrib.
      (j'ai quand même inutilisé ton post parceque je suis un aigri.)

      • [^] # Re: Bienvenue en 1995 !

        Posté par  (site web personnel) . Évalué à 3.

        Quel rapport entre ufw, qui est en cli, systemd, gnome 3, et le masquage du terminal ?

        Quand tu as deux outils qui font la même chose, un avec une syntaxe claire et lisible, et l'autre avec une syntaxe absconse, il faut absolument utiliser la syntaxe compliquée ?

        • [^] # Re: Bienvenue en 1995 !

          Posté par  . Évalué à 7.

          Quand tu as deux outils qui font la même chose

          Il ne font pas la même chose. Pour être exact iptables/nftables peuvent faire tout ce que fait ufw, mais la réciproque n'est pas vraie.

          Mais le problème n'est même pas la. On a une personne (seb95) qui commence son article en disant :

          Frugalware arrive avec un firewall configuré pour fonctionner out of the box (directement sans rien faire). Il autorise toutes les connections sortantes, et les paquets entrants pour les connexions établies. Il n'autorise les paquets entrants standards (NDT: comprendre hors connexion établie) pour aucun port.

          Traduction : pour les débutants et les gens qui ne veulent pas mettre les mains dans le cambouis, on a déjà réglé le problème.
          Sous entendu : le reste de l'article est destiné à des utilisateurs avancés ou à des gens qui veulent mettre les mains dans le cambouis.

          Et là on se rend compte qu'il s'agit de règles préconfigurées, et tout ce qu'il y a à faire pour une personne qui voudrait autoriser les fonctions ssh, ou activer les téléchargements torrent, doit juste savoir lire et retirer un caractère #.
          Niveau simplicité, c'est clairement au dessus de ufw.

          En plus seb95 prend bien le temps de faire la mise en contexte, d'expliquer ce qu'il fait et ne fait aucun prosélitisme pour sa solution. C'est un tutorial rapide certes, mais tout à fait neutre de ton.

          J'en déduis donc que pour Sébastien Maccagnoni-Munch c'est l'idée même que quelqu'un puisse avoir d'autres besoins que le siens ou puisse vouloir faire autrement que lui qui est fondamentalement ridicule et méprisable. Le fait de voir une telle attitude dans un cadre simple sur un exemple isolé me permet réellement de mieux comprendre certains projets open source.

          • [^] # Re: Bienvenue en 1995 !

            Posté par  (site web personnel) . Évalué à 2.

            Traduction : pour les débutants et les gens qui ne veulent pas mettre les mains dans le cambouis, on a déjà réglé le problème.
            Sous entendu : le reste de l'article est destiné à des utilisateurs avancés ou à des gens qui veulent mettre les mains dans le cambouis.

            Il me semble qu'ouvrir un port en entrée sur sa machine est une action à laquelle tout le monde peut être confronté, débutant compris.

            J'en déduis donc que pour Sébastien Maccagnoni-Munch c'est l'idée même que quelqu'un puisse avoir d'autres besoins que le siens ou puisse vouloir faire autrement que lui qui est fondamentalement ridicule et méprisable.

            Il me semble que dans ce cas précis, il ne s'agit pas de besoin différent, puisque le script en question pourrait tout à fait utiliser ufw plutôt qu'iptables (dans les exemples montrés tout du moins). Il me semble que sa question est légitime. Quel intérêt d'utiliser iptables directement aujourd'hui quand on en a une utilisation aussi simple que d'ouvrir un port en entrée, par rapport à ufw ou nftables, ou autre ?

            Le fait de voir une telle attitude dans un cadre simple sur un exemple isolé me permet réellement de mieux comprendre certains projets open source.

            Tu n'as pas l'impression de généraliser à outrance ?

            • [^] # Re: Bienvenue en 1995 !

              Posté par  . Évalué à 3.

              Juste pour l'exercice (je n'ai pas encore essayé nftables), voici la version iptables et nftables des commande ci-dessus :

              # Accepter les connexions SSH :
              iptables -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
              nft add rule ip filter input tcp dport ssh accept
              
              # Accepter le torrent
              iptables -A INPUT -p tcp -m tcp –dport 6881:6889 -j ACCEPT
              iptables -A INPUT -p udp -m udp –dport 6881:6889 -j ACCEPT
              nft add rule ip filter input {tcp,udp} dport 6881-6889 accept

              Et il accepte directement un fichier de configuration ainsi :

              table ip filter {
                   chain input {
                        # Accept SSH
                        tcp dport ssh accept
                        # Accpet torrent
                        {tcp,udp} dport 6881-6889 accept
                        reject
                   }
              }
              

              (ce n'est pas testé)

              Il n'est pas question pour moi de remettre en cause le journal, juste de prendre ces exemples comme exercice (je ne doute pas que frugale y passera rapidement).

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Bienvenue en 1995 !

              Posté par  . Évalué à 6.

              Il me semble que dans ce cas précis, il ne s'agit pas de besoin différent, puisque le script en question pourrait tout à fait utiliser ufw

              Le fait que l'exemple qui soit donné puisse utiliser ufw, ne veut pas dire qu'il est pertinent d'utiliser ufw plutôt que iptables comme parseur pour le fichier de config système du firewall.

              Dans la configuration actuelle de Frugalware je peux mettre dans /etc/sysconfig/firewall
              - Du tagging
              - Du queuing
              - Des règles VPN
              - Des pseudos-vlans
              - Du QOS
              etc.

              Avec ufw comme parser, je ne pourrais pas (à ma connaissance). Donc utiliser iptables plutôt que ufw a du sens.
              Mais même si ca n'en avait pas, c'est à dire même si ufw était en tout point supérieur à iptables (ce qui n'est pas le cas), on aurait quand même la situation avec un outil de base, très répandu et très connu face à un outil beaucoup plus neuf et sur lequel l'auteur n'a peut être pas les mêmes facilités. Sans compter qu'il y a des centaines de personnes qui ont déjà leurs règles iptables écrites et qui n'ont pour ainsi dire qu'à les coller dans /etc/sysconfig/firewall pour que ca fonctionne.

              Tu n'as pas l'impression de généraliser à outrance ?

              Pas dout tout. Il se trouve juste que toutes les personnes qui ne sont pas d'accord avec moi sont des idiots imbus d'eux-même. Une coincidence sans doute, mais c'est un vrai calvaire pour moi.

              • [^] # Re: Bienvenue en 1995 !

                Posté par  (site web personnel) . Évalué à 1.

                Sans compter qu'il y a des centaines de personnes qui ont déjà leurs règles iptables écrites et qui n'ont pour ainsi dire qu'à les coller dans /etc/sysconfig/firewall pour que ca fonctionne.

                tout a fait et c'est mon cas, juste apres l'installation de ma base sois je remplace le fichier /etc/sysconfig/firewall par celui que j'ai dans mon home, sois apres installation de kde, je copie mes regles en copiant/coller dans ce meme fichier.

                c'est bien plus rapide que retaper mes regles

                • [^] # Re: Bienvenue en 1995 !

                  Posté par  . Évalué à 2.

                  c'est bien plus rapide que retaper mes regles

                  Et oh combien moins intéressant en journal alors…

                  Si ta réponse à chaque question sur un journal est « parce que c'est plus rapide de faire comme avant¹ », ne te pose plus de questions : les journaux sont faits pour présenter des approches nouvelles, des choses pas encore trop testées. Pour le reste, il y a par exemple le forum Astuces.divers par exemple, puisque frugalware n'est pas dans la liste des distributions mises en valeur sur linuxfr.

                  Par ailleurs, puisque ça dérive grave dans ce thread, je trouve dommage de poster texto dans un journal le contenu d'un article que tu as écrit toi-même environ un mois plus tôt. En plus en en donnant ton lien. Un journal bookmark aurait très bien pu suffir. Mais non, on a le seflie-copier/cloner-bookmarké !

                  Pas mal, chapeau :)

                  Vivement le prochain journal sur "Comment je suis devenu repackager sans en ramer une" ou "Désolé, mais j'avais fait des fôtes dans mon précédent journal brûlot sur Arch". Les paris sont tout verts².

                  Ceci était un commentaire qui dénonce grave.

                  ¹ : Enéfé, c'était mieux avant
                  ² : Si, si, tout verts, j'vous jure !

                  Matricule 23415

                  • [^] # Re: Bienvenue en 1995 !

                    Posté par  (site web personnel) . Évalué à -2.

                    tu t'enflamme tout seul, je sais meme pas pourquoi tu es aussi casse couille, j'ai dis un truc de mal? non je ne crois pas. personne t'oblige de lire ce journal, c'est comme les version papier des 20 minutes et autres metro, si je le prend je peux passer a coté des articles qui ne m'interesse pas…
                    sur ceux salue.

              • [^] # Re: Bienvenue en 1995 !

                Posté par  (site web personnel) . Évalué à 2.

                Tu aurais mis ça dans ton premier commentaire cela aurait été beaucoup plus pertinent.

                Tu n'as pas l'impression de généraliser à outrance ?

                Pas dout tout. Il se trouve juste que toutes les personnes qui ne sont pas d'accord avec moi sont des idiots imbus d'eux-même. Une coincidence sans doute, mais c'est un vrai calvaire pour moi.

                Tu m'as bien fait rire !

    • [^] # Re: Bienvenue en 1995 !

      Posté par  (site web personnel) . Évalué à -4.

      Ufw est aussi dans les depots, que dire de plus?
      Je voulais juste parler d'autre chose que ufw qui a ce que je sais n'est installer par defaut que par ubuntu et ubuntulike mais meme sur celle-ci je cite la doc ubuntu:

      L'outil UFW n'est pas activé par défaut, il vous faut donc avoir les droits administrateur en ligne de commande.

      Donc meme en l'ayant installé par defaut il ne tourne pas, alors puisque sous frug on a deja un parefeu qui fait le travail a quoi bon d'aller chercher plus loin?

      • [^] # Re: Bienvenue en 1995 !

        Posté par  . Évalué à 1.

        Warning: je ne sais pas de quoi je cause, mais j'en parle, histoire de… Évidemment, vous conviendrez, que toute erreur de traduction viendrait de termes que j'ai pioché au hasard sur l'Internet et que j'ai passé à google-translate qui ne savait pas bien comment faire avec ça.

        Moi, un jour, j'ai installé GNU/frugalware sans pile TCP/IP parce que c'était en option, et d'un coup, j'ai tapé sur entré vu que c'était proposé et j'ai plus eu de pro

        Matricule 23415

      • [^] # Re: Bienvenue en 1995 !

        Posté par  . Évalué à 1.

        Il ne fonctionne pas parce que l'empaqueteur a décidé de ne pas l'activer par défaut sous Ubuntu… L'empaqueteur de frugalware est libre de livrer ufw avec la configuration par défaut de son choix.

        Et pourquoi l'utiliser ? Simplement parce qu'il est syntaxiquement plus élégant et simple qu'iptables. Ce dernier reste très puissant car c'est un outil de bas niveau mais sur la majorité des machines, les opérations à effectuer sont tellement triviales (ouvrir un port ou un ensemble de port) qu'il convient amplement

        • [^] # Re: Bienvenue en 1995 !

          Posté par  . Évalué à 2.

          Et pourquoi l'utiliser ?

          La question c'est donc pourquoi aussi peu de distribution l'inclu dans l'installation de base ?

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.