Problématique des pare-feux sous Linux
une sécurité toujours aussi contestable !?
Discussions Libres
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
Je rejoins un peu cette analyse
http://www.dsfc.net/logiciel-libre/linux/linux-une-securite-toujours-aussi-contestable/
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
j'utilise ufw avec et sans son interface et je lui donne des application et autres sans sourciller...
en plus comparé les parefeu de windows et linux sert a rien:
sous windows beaucoup de truc se passe dans ton dos donc tes forcé de surveiller les entrés et les sorties sous linux c'est toi et uniquement toi qui gére tes programmes, pas de trojans et autres, donc le parefeu avec pid et application n'est pas aussi trivial!
et en plus de nos jour la plupart des connécté ont une box avec pare feu materiel integrer qui lui aussi suffit assez pour une utilisation normale...
en plus pour faire serveur web, je sais pas mais tu ferme tout les port et laisse ouvert les seules utilisées par ce service.
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
Che moi si je lance gufw , voici !! pas la main ?? Why ?
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
bon tu la lancé comment le monsieur?
je sais que parfois gufw se lance mal. as tu lancé d'abord le service ufw?
http://doc.ubuntu-fr.org/ufw
et la doc du gui
http://doc.ubuntu-fr.org/gufw
perso je le lance en tant que service au demarrage de mon archlinux en le mettant dans rc.conf et je fait tout en conseole car j'avais un fichier avec toute mes regles que je copiais collais dans la console.
le probleme c'est que suis plus sous manriva/mageia mais sous arch et que les services se lance peut etre pas de la meme façon.
Code TEXT :
/etc/rc.d/ufw start
:: Starting ufw [BUSY]
Firewall already started, use 'force-reload'
[DONE]seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
donc avec ce fameux parefeu windows ou celui de bitdefender, je pouvais donner des exceptions pour mes programme (comme ce que le gars demande pour linux et qu'il trouve si securisant), donc admettons shareaza, donc les ports utilisé par tout ce que le programme ouvres seront non verifié/bloqué par le parefeu, c'est a dire si shareaza ouvre 50ports, aucuns ne seront verifié/bloqué.
Le mieu si tu prefere, c'est que tu bloque tout et autorise seulement les port utilisé, smpt, pop, msn, jabber, p2p, http, https, ftp.
A chaque type de parefeu il y a une faiblesse.
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
Les mises à jour utilisent les meme ports sous toutes les distri linux ?
Sinon quels sont les ports que tu as autorisés en sorties ?
Édité par BlackHawk Le 16/04/2012 à 17h18
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
mes ports ouvert en sorties entree son:
995 pop securise (google et sfr)
465 smtp
587smtp
53 dns
ports 20,21/tcp ftp
ports 80 et 443 http et https
25 - smtp, 143 - imap, 110 - pop (standard)
plus quelque port perso pour mon p2p comme:
Code TEXT :
14384:14390/tcp ALLOW Anywhere #p2p mldonkey 14384:14390/udp ALLOW Anywhere #p2p mldonkey 6881:6889/tcp ALLOW Anywhere # p2p torrent 6881:6889/udp ALLOW Anywhere # p2p torrent 6346:6349/tcp ALLOW Anywhere # gnutella 6346:6349/udp ALLOW Anywhere 49152 ALLOW Anywhere #serveur de media mediatomb 1900 ALLOW Anywhere # serveur de media mediatomb
Édité par Visiteur Le 16/04/2012 à 18h29
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
http://forum.ubuntu-fr.org/viewtopic.php?pid=3513119
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
Code TEXT :
Services
You can also allow or deny by service name since ufw reads from /etc/services To see get a list of services:
less /etc/services
Allow by Service Name
sudo ufw allow <service name>
example: to allow ssh by name
sudo ufw allow ssh
Deny by Service Name
sudo ufw deny <service name>
example: to deny ssh by name
sudo ufw deny ssh
Status
IconsPage/important.png Checking the status of ufw will tell you if ufw is enabled or disabled and also list the current ufw rules that are applied to your iptables.
To check the status of ufw:
sudo ufw status
Firewall loaded
To Action From
-- ------ ----
22:tcp DENY 192.168.0.1
22:udp DENY 192.168.0.1
22:tcp DENY 192.168.0.7
22:udp DENY 192.168.0.7
22:tcp ALLOW 192.168.0.0/24
22:udp ALLOW 192.168.0.0/24BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
http://forum.ubuntu-fr.org/viewtopic.php?pid=3513119
Par contre en utilisant gufw et en mettant
Entrant :deny
sortant : deny
puis en ajoutant les règles allow pour les services que je souhaite ouvriir ( http, ftp,,...=
Cela ne fonctionne pas !! Tout reste bloquer !???
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
c'est plus rapide et plus complet.
seb95 Membre non connecté
-
- Voir le profil du membre seb95
- Inscrit le : 26/08/2007
- Site internet
- Groupes :
il y a pas incompatibilité?
BlackHawk Membre non connecté
-
- Voir le profil du membre BlackHawk
- Inscrit le : 05/02/2010
Je ne suis pas sous mageia
mais pour le moment sous Mint 11 ( j'aime pas les nouvelles versions de gnome 
)
XKomodor Membre non connecté
-
- Voir le profil du membre XKomodor
- Inscrit le : 08/01/2008
- Site internet
- Groupes :
-
Administrateur
Du même avis que passionlinux, l'article est clairement rédigé par un "Formateur / Consultant" Red Hat, CentOS, Ubuntu Server, Réseau, IPv6, Sécurité, Perl, .... j'en passe est plus qu'un brin risible surtout de la part d'un "pro", pourquoi ?
- Un vrai parefeu ne se trouve jamais sur la station de travail et/ou serveur, toujours sur une machine déportée : c'est un principe de base !!!
- Vous vous trouvez toujours ou presque derrière un routeur type "*box" qui lui office de parefeu pour un particuliers rajouter une "couche" sur votre machine n'a donc aucun intérêt.
- Vous êtes un pro, vous réalisez votre propre firewall sur la machine faisant office de routeur donc généralement cette tâche est gérée par le fournisseur dans le cas d'un service infogéré.
- Vous êtes un pro, vous réalisez une machine spécialement affectée à cette fonction par un matériel type Netasq (base FreeBSD 7.x) ou distrib. GNU/Linux ou UNIX toute faite type IPcop ou Monowall.
- Vous êtes un "pro" GeeK à tendance pilosité faciale développée et vous œuvrez sous OpenBSD avec PF et dans ce cas :
Vous pouvez tout à fait utiliser les superbes logiciels libres que sont PF ou encore IPTABLE que vous connaissez déjà.
Pour le problème spécifique que tu rencontres sur ta Linux Mint est tout simplement peut-être lié à la GUI qui déconne plein tube.
Enfin pour en revenir aux *box, je vais te donner un exemple concret. J'ai pu "manipuler" une LiveBOX (bon j'adhère pas c'est vraiment sale comme machine, bref ...) je passe par la rubrique Firewall (de souvenir), je choisis la méthode personnalisée et là .... : plus rien ne passe, même pas les requêtes HTTP vers le net, donc bien paramétré même une LiveBOX peut très bien faire ce que tu demandes : une sécurité accrue toute à fait légitime.
Merci
paradise Membre non connecté
-
- Voir le profil du membre paradise
- Inscrit le : 08/06/2011
- Groupes :
Article qui finit quand même par quelqu'un qui s'étonne grandement de cette analyse.
L'auteur croit certainement avoir eu un éclair de génie en trouvant que Linux est beaucoup moins sûr que Windows,
C'est vraiment un comble de balancer des âneries pareilles : j'aime bien le "toujours contestable" du titre : ah-là-là, Linux est toujours autant peu sûr depuis le début, tout le monde sait cela !
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie