[réglé] firewall nécessaire pour les clients??

[Franck78]

Il en va de même pour les ports d'entrée du client: comment savoir quel port fermer? Comment être sûr de ne pas avoir fermé un port sur lequel le client va attendre une réponse? Est-ce que le port sur lequel la réponse est attendue est automatiquement ouvert le temps de la réception de cette dernière?

Mais un serveur écoute toujours sur le même port ! C'est la base du client/serveur. Il n'y a donc aucune ambiguité sur le port à laisser 'sortir/passer/entrer'. Quand à la réponse sur un port 'aléatoire', c'est géré par IPTABles, 'state ESTABLISHED / RELATED'.

[Franck78]

je pense que le client se fiche de la différence car tout arrive au sme. Vrai?

Le client oui. IPTables(sme) NON. Car dans un cas c'est du FORWARD et dans l'autre c'est du INPUT. Et comme les règles peuvent être différentes, c'est pas forcément pareillement traité!

[arnaud056]

Mais un serveur écoute toujours sur le même port !

le serveur, oui d'accord, mais le client? Si j'ai bien pigé les tutos, il émet sur des ports définis aléatoirement. Non?
Pour les réponses sur les pots aléatoires, je vais relire les chapitres iptables...

je pense que le client se fiche de la différence car tout arrive au sme. Vrai?

Le client oui. IPTables(sme) NON. Car dans un cas c'est du FORWARD et dans l'autre c'est du INPUT. Et comme les règles peuvent être différentes, c'est pas forcément pareillement traité!

Oui, c'est ce que j'ai compris, mais là aussi ça concerne le serveur et non le client.

[jibe]

Salut,

Tu progresses, arnaud056 ! Continue

Concernant ton analyse des flux, je dirais que c'est déjà bien. En regardant rapidement, je dirais qu'il manque HTTPS et je suis surpris de ne rien voir concernant les mails. Tu traites tout en webmail ?

Le mieux pour mettre ça au point, c'est encore l'expérimentation : c'est de cette manière que tu arriveras le mieux à comprendre et maitriser les choses. Tu commences par tout fermer, puis à chaque fois que tu vois qu'un service te manque, tu recherches le ou les ports concernés, et tu les ouvres. En commençant par des services simples, tu piges assez vite comment ça fonctionne, et une fois les services simples mis en place, tu es prêt pour aborder les services un peu plus compliqués avec des ports multiples et variables.

Je préfère conseiller à des débutants en firewall cette méthode à celle que préconise jdh. Non que celle de jdh ne soit pas supérieure à celle-ci, mais elle est plus difficile pour un débutant et moins "pratique". Je pense qu'au début, l'expérimentation compte beaucoup (enfin, je fonctionne ainsi. Je suis plutôt comme Newton, à bâtir la théorie de la gravitation à partir d'une pomme que j'ai reçue sur la tête plutôt qu'à réfléchir à ce qui pourrait m'arriver si je fais la sieste sous un pommier !)

Bien sûr, après, quand on fait des réalisations plus professionnelles, il faut bien sûr faire comme préconise jdh : on ne bâtit pas une maison sans avoir préalablement fait un plan. Mais avant cela, on construit des cabanes, ce qui permet d'expérimenter et comprendre beaucoup de choses

Allez, courage : tu vas y arriver !

[jibe]

Croisement de posts...

le serveur, oui d'accord, mais le client? Si j'ai bien pigé les tutos, il émet sur des ports définis aléatoirement. Non?
Pour les réponses sur les pots aléatoires, je vais relire les chapitres iptables...

Commence par expérimenter avec des services simples. Tu auras les idées bien plus claires pour le reste ensuite. Ne cherche pas à tout avaler d'un coup, procède par étapes

[EDIT]Réponse un peu trop incomplète
Si ton téléphone est le 01-23-45-67-89 et que tu es serveur, me répondras-tu si je t'appelles sur un numéro aléatoire et me serviras-tu ?

Ex : Si tu veux tester un envoi de mail en ligne de commande, que fais-tu ? Tu contactes le serveur sur le port 25, c'est à dire le port sur lequel un serveur SMTP écoute, pas sur n'importe quel port !

Code: Tout sélectionner

telnet 111.222.333.444 25
ehlo...
etc.

[jdh]

Ce fil est intéressant.

D'abord la question est une question vraiment importante : doit on équiper les PC derrière un firewall d'antivirus et de firewall ?

Ensuite, parce que l'initiateur écoute les réponses de tous et construit réellement une réponse personnelle.
Et en plus cette réponse s'appuie sur une définition par écrit.


Concernant le filtrage, il faut savoir quelques petites choses :
- on parle de service http (80/tcp) : cela signifie que le serveur écoute sur CE port, donc le client peut utiliser n'importe quel port source.
- suivi de connexion : la nouveauté de Netfilter/Iptables a été d'apporter le suivi de connexion (contrack) : on ne parle donc que de l'initialisation d'une session.

On entend par session tout le flux C->S, S->C, C-S, S->C, .... Mais on ne s'intéressera pas aux paquets retour : ceux-ci sont gérés par le module conntrack.
Donc on peut écrire :
- émettre une requête HTTP vers un serveur quelque part sur internet et recevoir la réponse de cette requête (pour pourvoir aller sur ce forum par ex.)
- émettre une requête HTTP vers mon sme (je pense que le client se fiche de la différence car tout arrive au sme. Vrai?) et en recevoir la réponse
- émettre une requête FTP vers un serveur (internet ou sme) et en recevoir la réponse
- émettre une requête samba vers mon sme et en recevoir la réponse
- émettre une requête NTP vers un serveur horloge et en recevoir la réponse
- émettre une requête ssh vers mon sme et en recevoir la réponse
- émettre une requête FTP vers mes autres clients et en recevoir la réponse (pour communication directe entre les PC's lors d'un arrêt de sme par ex.)
- attendre la requête de mes autre clients FTP cités + haut et leur envoyer la réponse --> mode serveur FTP
- attendre la requête FTP de mon sme qui aimerait effectuer une sauvegarde (si j'ai bien compris, mais je n'en suis pas encore là) ou recharger quelque chose de sauvegardé --> mode serveur là aussi.

(J'ai mis en bleu ce qu'il est inutile de mentionner)

La première règle va s'écrire :
ufw allow out http

et ainsi de suite ("in" et "out" signifie "en entrée" et "en sortie")

NB : je ne suis pas sur que la dernière ligne soit exacte ...

Voir le site https://wiki.ubuntu.com/UncomplicatedFirewall

[arnaud056]

Merci bien pour les encouragements C'est très .......... encourageant!

J'ai donc commencé ma cabane... cad mes expérimentations de config et j'ai de ce fait un peu avancé. Je me limite volontairement à l'http pour commencer. Ce que j'ai remarqué:
- je ferme entrées et sorties

Code: Tout sélectionner

arnaud@compaq-portable:~$ sudo ufw default deny outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
arnaud@compaq-portable:~$ sudo ufw default deny incoming
La stratégie par défaut pour le sens « incoming » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)


--> plus rien de passe, ce qui est normal

- maintenant j'autorise toutes les sorties (les entrées étant encore toutes bloquées)

Code: Tout sélectionner

arnaud@compaq-portable:~$ sudo ufw default allow outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « allow »
(veillez à mettre à jour vos règles en conséquence)


--> l'accès aux sites internet fonctionne normalement, j'ai accès à mon compte bancaire en https ainsi qu'à mon sme en ftp, aux web radios...
Donc apparemment, mon client cré tout seul une exception aux règles entrantes du firewall pour le port sur lequel il attend les infos du serveur. Vrai?

- maintenant je rebloque toutes les sorties et autorise le http sortant comme indiqué par jdh:

Code: Tout sélectionner

arnaud@compaq-portable:~$ sudo ufw default deny outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
arnaud@compaq-portable:~$ sudo ufw allow out http
La règle a été ajoutée
arnaud@compaq-portable:~$ sudo ufw status
État : actif

Vers                       Action      Depuis
----                       ------      ------
80/tcp                     ALLOW OUT   Anywhere


--> et là... ça bloque! et je là ne comprends plus:!

Qui peut m'expliquer???

En ce qui concerne les flux, effectivement j'en ai oublié quelques uns et en plus fait un lapsus entre FTP et NFS...
Voici donc ma version remodelée:
- émettre une requête HTTP vers un serveur quelque part sur internet et recevoir la réponse de cette requête (pour pourvoir aller sur ce forum par ex.)
- émettre une requête HTTP vers mon sme (je pense que le client se fiche de la différence car tout arrive au sme. Vrai?) et en recevoir la réponse
- émettre une requête HTTPs vers un serveur quelque part sur internet et recevoir la réponse de cette requête (pour pourvoir aller sur ce forum par ex.)
- émettre une requête FTP vers un serveur (internet ou sme) et en recevoir la réponse
- émettre une requête samba vers mon sme et en recevoir la réponse
- émettre une requête NTP vers un serveur horloge et en recevoir la réponse
- émettre une requête ssh vers mon sme et en recevoir la réponse
- émettre une requête NFS vers mes autres clients et en recevoir la réponse (pour communication directe entre les PC's lors d'un arrêt de sme par ex.)
- attendre la requête de mes autre clients NFS cités + haut et leur envoyer la réponse --> mode serveur FTP
- attendre la requête NFS de mon sme qui aimerait effectuer une sauvegarde (si j'ai bien compris, mais je n'en suis pas encore là) ou recharger quelque chose de sauvegardé --> mode serveur là aussi.
- recevoir ces emails --> pop3 entrant
- envoyer des emails --> smtp sortant

Si ton téléphone est le 01-23-45-67-89 et que tu es serveur, me répondras-tu si je t'appelles sur un numéro aléatoire et me serviras-tu ?

non, bien sûr. Le serveur doit être contacté sur le "bon" port et peut l'être à partir de n'importe quel téléphone. Ça je l'ai bien compris.
L'exemple du téléphone est très bon!

En général:
- j'ai discuté de ces histoires de ports et de firewall avec un gars du service info de ma boîte: il n'a pas été capable de me répondre ..... mais m'a assuré que le client devait avoir un firewall.
- ma doc ufw: http://doc.ubuntu-fr.org/ufw est en français

@+
Arnaud

[arnaud056]

Je viens de remarque (encore!) quelque chose que je ne comprends pas :

Je ferme tout:

Code: Tout sélectionner

arnaud@compaq-portable:~$ sudo ufw default deny outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
arnaud@compaq-portable:~$ sudo ufw default deny incoming
La stratégie par défaut pour le sens « incoming » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)


Je teste avec nmap à partir de CE client (192.168.2.104):

Code: Tout sélectionner

arnaud@compaq-portable:~$ nmap 192.168.2.104

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-28 17:33 CEST
Interesting ports on 192.168.2.104:
Not shown: 998 closed ports
PORT     STATE SERVICE
111/tcp  open  rpcbind
2049/tcp open  nfs

Nmap done: 1 IP address (1 host up) scanned in 13.09 seconds


Question: si tout est fermé, pourquoi est-ce que mes 2 ports NFS sont apparemment ouvert???

Autorisons http en sortie et vérifions avec ufw:

Code: Tout sélectionner

arnaud@compaq-portable:~$ sudo ufw allow out http
Omission de l'ajout de la règle existante
arnaud@compaq-portable:~$ sudo ufw status
État : actif

Vers                       Action      Depuis
----                       ------      ------
80/tcp                     ALLOW OUT   Anywhere


Et voici ce que me donne nmap:

Code: Tout sélectionner

arnaud@compaq-portable:~$ nmap 192.168.2.104

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-28 17:34 CEST
Interesting ports on 192.168.2.104:
Not shown: 998 closed ports
PORT     STATE SERVICE
111/tcp  open  rpcbind
2049/tcp open  nfs

Nmap done: 1 IP address (1 host up) scanned in 13.09 seconds


--> pas de changement malgré l'autorisation donnée! Pourquoi?



Arnaud

[arnaud056]

sur mon autre client, c'est la même chose: même en fermant tout avec ufw, j'obtiens ça avec nmap:

Code: Tout sélectionner

arnaud@KCNAthlon:~$ nmap 192.168.2.103

Starting Nmap 5.00 ( http://nmap.org ) at 2010-10-28 20:32 CEST
Interesting ports on 192.168.2.103:
Not shown: 997 closed ports
PORT     STATE SERVICE
111/tcp  open  rpcbind
2049/tcp open  nfs
4000/tcp open  remoteanything


Quand tout est ouvert, la réponse vient immédiatement. Quand tout est fermé, ça prend 5-6 sec.

????????????????

[Franck78]

Question: si tout est fermé, pourquoi est-ce que mes 2 ports NFS sont apparemment ouvert???

Parceque IPTables ne gére en aucun cas les programmes! Il n'agit que comme filtre.

[jdh]

Ce qui est logique :

# politique default
ufw default deny incoming
ufw default deny outgoing

# sortie minimale
ufw allow out dns

# mise à jour par http
ufw allow out http

# mail (smtp + imap)
ufw allow out smtp
ufw allow out imap

...

Si dns ne fonctionne pas, il n'y aura pas beaucoup de services qui vont fonctionner !

Il est possible que, nfs étant souvent actif par défaut, les règles par défaut l'acceptent ...

On pourraient sans doute autoriser le flux local par "ufw allow from 192.168.1.0/24" et "ufw allow to 192.168.1.0/24" ...

Il y a beaucoup de possibilités ...

[arnaud056]

J'ai honte.......
Encore ce service DNS qui me pourrit la vie! Vu qu'il fonctionne sans qu'on n' en ait conscience, je l'oublie volontiers. Il n'était en effet pas dans ma liste des flux entrants/sortants.....
Effectivement, quand on a les bons paramètres, ça marche beaucoup mieux.......
Merci jdh pour ce coup de pouce qui ramène la bonne humeur .

Je continue maintenant le paramétrage des différents services.

@+
Arnaud

[arnaud056]

salut,
bon, et bien j'ai quasiment tout qui fonctionne grâce à vos indications. --> réglé.

Merci.
@+
Arnaud