web-dev-qa-db-fra.com

Comment ouvrir un pare-feu tout en le protégeant?

Depuis que j'ai installé Firestarter, j'ai rencontré des problèmes de connectivité qui sont tous résolus en désactivant le pare-feu. Je préférerais que le pare-feu fonctionne et autorise tout le trafic que j'utilise normalement:

  1. Réseau filaire + réseau sans fil, selon ce que je suis connecté à, ou les deux (1)
  2. OpenVPN
  3. Réseau interne de VirtualBox
  4. Samba (pour accéder aux dossiers Windows partagés et partager des dossiers avec Windows) (2)
  5. BitTorrent
  6. Et tout ce que j'utilise, je n'y pense pas :)

Tout ce qui précède fonctionne sans pare-feu.

(1) J'ai utilisé l'assistant Firestarter et sélectionné wlan0 comme connexion principale. Désormais, chaque fois que je branche un câble réseau, je perds toute connectivité. Devrais-je simplement refaire le magicien pour eth0, ou vais-je alors perdre wlan0?

(2) Si cela fait une différence, je partage un répertoire que je partage entre des utilisateurs locaux à l'aide de bindfs. Voir ma réponse à bon et facile moyen de partager des fichiers sur une machine locale

2
david.libremone

Voici un moyen facile de le faire. Ma réponse va supposer que vous avez désactivé toutes les autres règles/packages de pare-feu que vous avez essayés.

Ubuntu a une interface en ligne de commande très simple avec Nice pour "iptables" (pare-feu Linux), appelée UFW pour Uncomplicated FireWall.

faites simplement ceci:

Sudo ufw status

vous verrez que votre pare-feu est actuellement inactif:

"Statut: inactif"

si vous exécutez ensuite la commande suivante:

Sudo ufw enable

vous obtiendrez alors ce message s'il a fonctionné:

"Le pare-feu est actif et activé au démarrage du système"

Réflexions finales/Conclusion:

Honnêtement, c’est tout ce dont vous aurez probablement besoin, car la politique ufw par défaut autorise tout le trafic sortant (c’est-à-dire que vous surfez, téléchargez, etc.) et bloque tout le trafic entrant dans votre boîte.

Si vous vouliez autoriser par exemple ... les connexions ssh/scp à votre ordinateur de bureau/ordinateur portable pour une raison quelconque, vous pouvez simplement ajouter une règle telle que celle-ci:

Sudo ufw allow proto tcp from 192.168.1.0/24 to any port 22

À mon avis, la syntaxe/les commandes sont très simples et une application ou une superposition d'interface graphique n'est pas mauvaise, mais n'est pas nécessairement nécessaire pour ce que vous semblez vouloir réaliser.

Pour plus d'informations, consultez la documentation de la communauté sur UFW ici: https://help.ubuntu.com/community/UFW

J'espère que cela a été utile. =)

##### EDIT ##### (en ajoutant ceci au cas où les gens ne verraient pas ma réponse au commentaire ci-dessous et pour ajouter un lien vers une ressource)

Si vous souhaitez ouvrir certains ports, cliquez sur ce lien et recherchez tous les ports dont vous avez besoin (tcp et/ou udp) pour les services que vous avez répertoriés: --- http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

Ensuite, pour ouvrir ce port de n'importe où sur votre machine, procédez comme suit:

Sudo ufw allow proto tcp from any to any port __

ou

Sudo ufw allow proto udp from any to any port __

Si vous voulez seulement l'ouvrir jusqu'à SEULEMENT votre réseau domestique 192.168.1.x, vous pouvez le faire:

Sudo ufw allow proto tcp from 192.168.1.0/24 to any port __

ou

Sudo ufw allow proto udp from 192.168.1.0/24 to any port __
3
Chad Stovern

Premièrement, je désinstallerais complètement Firestarter. Je ne crois pas qu'il soit encore en développement (c'est peut-être faux), mais peu importe, il a été remplacé par le "officiel" Uncomplicated Firewall (ufw) qui a déjà une belle interface utilisateur. Alors :

Sudo apt-get remove firestarter

Ensuite, installez gufw:

Sudo apt-get install gufw

Puis réinitialisez vos IPTables (sur lesquels est basé UFW):

Sudo ufw reset

(vous pouvez aussi le faire en utilisant gufw, dans le menu Edition)

Et enfin, gérez votre pare-feu à l'aide de cet outil. Démarrez GUFW à partir de la configuration système/administration/pare-feu.

GUFW Interface

2
Scaine

le problème rencontré lors de l'installation de Firestarter signifie que vous n'avez pas ouvert les ports appropriés. Après avoir activé le pare-feu, vous devez ouvrir tous les ports nécessaires pour que les services de commande fonctionnent.

Samba utilise les éléments suivants:

UDP/137    - used by nmbd
UDP/138    - used by nmbd
TCP/139    - used by smbd
TCP/445    - used by smbd

OpenVPN utilise

port 1194
1
jet

J'ai eu un problème similaire lors de l'utilisation d'une connexion filaire et USB.

Il s'est avéré que quelque chose créait des règles iptables lorsque je me connectais, je me connectais également à l'aide d'un périphérique USB, ce qui m'a fait perdre ma connexion Internet.

Je ne suis pas sûr que ce soit la cause du feu, mais je l'ai fait installer

0
matt

Si vous utilisez un passerelle (routeur wlan ou autre) dans ce cas, vous n'avez pas besoin d'un pare-feu supplémentaire sur votre poste de travail, car ce n'est pas le point de contact avec Internet. Votre routeur gérez les filtres vers le réseau privé (votre poste de travail).

0
schneehase

Non, vous n'avez pas besoin de pare-feu. Eteignez-le et ne vous inquiétez pas. Assurez-vous simplement de ne pas installer de services de serveur, puis de les configurer de manière à ce qu’ils ne soient pas sécurisés.

0
psusi

Je suis d'accord avec quoi schneehase déjà écrit: considérant que Linux est relativement sûr car il ne laisse pas trop de ports ouverts, la meilleure solution en termes de gestion facile consiste à mettre tous les protections nécessaires sur votre routeur/passerelle qui vous donne accès à Internet, et à Désactivez le pare-feu pour un PC installé sur votre réseau local. Si vous le souhaitez, vous pouvez peut-être faire fonctionner un système de détection d'intrusion (IDS) sur votre Ubuntu ou un autre PC.

0
bitwelder