Derniers messages sur Zeste de Savoirhttps://zestedesavoir.com/forums/2019-09-09T16:34:08+02:00Les derniers messages parus sur le forum de Zeste de Savoir.Raspberry Pi et iptables, message #2084482019-09-09T16:34:08+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12979/raspberry-pi-et-iptables/?page=1#p208448<p>Je crois qu’on peut sauvegarder les commandes que l’on a fait avec la commande que j’ai cité ou utiliser un fichier. Je ne vois pas l’avantage de l’un par rapport à l’autre et dans quels cas.</p>Raspberry Pi et iptables, message #2084362019-09-09T08:12:57+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12979/raspberry-pi-et-iptables/?page=1#p208436<p>iptables ne sauvegardes pas de base au redémarrage, il faut donc le configurer pour</p>Raspberry Pi et iptables, message #2084332019-09-09T00:49:02+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12979/raspberry-pi-et-iptables/?page=1#p208433<p>J’ai trouvé la commande avec <code>save</code> sur d’autres sites aussi.</p>
<p>En fait, je ne comprends pas l’intérêt d’avoir deux méthodes de configuration.</p>Raspberry Pi et iptables, message #2083882019-09-07T13:52:18+02:00anonyme/@anonymehttps://zestedesavoir.com/forums/sujet/12979/raspberry-pi-et-iptables/?page=1#p208388<p>Le package qui rend les règlent persistant est un bon outil. Sur Discord j’avais dis iptables-save mais il me semble que c’est iptables-persistent. Je n’ai plus le nom en tête du package qui automatise la sauvegarde des règles.</p>Raspberry Pi et iptables, message #2083702019-09-07T02:22:18+02:00Helmasaur/@Helmasaurhttps://zestedesavoir.com/forums/sujet/12979/raspberry-pi-et-iptables/?page=1#p208370<p>Bonsoir,</p>
<p>J’essaie de me renseigner concernant la configuration d’iptables. Je viens d’apprendre qu’il était possible de le configurer via de commandes puis d’effectuer <code>iptables-save</code> où via un fichier de configuration. Est-ce qu’une des deux méthodes est à conseillé ?</p>
<p>Je suis tombé sur <a href="https://www.fanjoe.be/?p=1003">ce tutoriel</a> et mais n’y connaissais rien, je ne sais pas si le fichier de configuration est correct.</p>
<p>De mon point de vue, je trouve le système de fichier plus simple car il est facile à lire et à revenir dessus. Je ne sais pas si c’est aussi simple de départager. Si l’autre manière existe, j’imagine que c’est pour une bonne raison.</p>
<p>Merci d’avance <img src="/static/smileys/smile.png" alt=":)" class="smiley"> !</p>Bloquer les ports sur l'eth0, message #1204902016-08-17T00:29:21+02:00Dryusdan/@Dryusdanhttps://zestedesavoir.com/forums/sujet/6731/bloquer-les-ports-sur-leth0/?page=1#p120490<p>Le problème venait de la configuration docker et des iptab!es qui s'entrechoquant.
Maintenant je bloques tout, docker ouvre ses ports (les autres sont ouvert en local avec -p 127.0.0.1:3306:3306 (par exemple ☺)
Il faut juste modifier légèrement le deamon <img alt=";-)" src="/static/smileys/clin.png"></p>Bloquer les ports sur l'eth0, message #1203922016-08-15T23:47:02+02:00Dryusdan/@Dryusdanhttps://zestedesavoir.com/forums/sujet/6731/bloquer-les-ports-sur-leth0/?page=1#p120392<p>Bonsoir <img alt=":)" src="/static/smileys/smile.png"><br>
Après m'être lancé sur l'aventure DOcker, je me suis lancé sur l'aventure sécurité sur un serveur (car par défaut, je crois pas que les paramètres Iptables de docker sont… Juste enfin bon <img alt="^^" src="/static/smileys/hihi.png"><br>
Je suis depuis cette après midi (15h) sur un problème, comment bloquer les ports extérieurs (sur l'interface eth0) sans affecter les autres réseaux docker ?
La sécurité que j'ai mis en place c'est: tout bloquer puis ouvrir les ports un à un, sauf que cela bloque les ports en interne. Enfin je n'arrive pas à communiquer avec mes machines ^^' et les tutoriels sur ça ne sont plus d'actualité (docker et ses réseaux interne, ça c'est vite mis à jour).<br>
Il est possible (plus que probable) que je m'y prennes comme un pied (je crois qu'une option comme ça existait sur docker mais j'arrive pas à remettre la main dessus).</p>
<p>En résumé (car j'ai encore du partir dans tout les sens x) )
Je ne veux pas que docker viennent casser mes iptables, donc j'ai défini les miennes, hors celle ci bloquent bien tout les ports sauf le 80,443,53 mais sur toute les interfaces (ou juste sur l'interface eth0 donc le problème viendrait (encore) d'un routing) et sur les interfaces créé par docker j'utilise le port 3000, 3306…</p>
<p>Voici mes différentes configuration:
iptables : </p>
<table class="codehilitetable"><tr><td class="linenos"><div class="linenodiv"><pre> 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99</pre></div></td><td class="code"><div class="codehilite"><pre><span></span><span class="ch">#!/bin/sh </span>
<span class="c1"># Réinitialise les règles</span>
iptables -t filter -F
iptables -t filter -X
<span class="c1"># Bloque tout le trafic</span>
iptables -t filter -P INPUT DROP
<span class="c1">#iptables -t filter -P FORWARD DROP </span>
iptables -t filter -P OUTPUT DROP
<span class="c1"># Autorise les connexions déjà établies et localhost</span>
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
<span class="c1"># ICMP (Ping)</span>
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
<span class="c1"># SSH</span>
iptables -t filter -A INPUT -p tcp --dport <span class="m">22</span> -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport <span class="m">22</span> -j ACCEPT
<span class="c1"># DNS</span>
iptables -t filter -A OUTPUT -p tcp --dport <span class="m">53</span> -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport <span class="m">53</span> -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport <span class="m">53</span> -j ACCEPT
iptables -t filter -A INPUT -p udp --dport <span class="m">53</span> -j ACCEPT
<span class="c1"># HTTP</span>
iptables -t filter -A OUTPUT -p tcp --dport <span class="m">80</span> -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport <span class="m">80</span> -j ACCEPT
<span class="c1"># HTTPS</span>
iptables -t filter -A OUTPUT -p tcp --dport <span class="m">443</span> -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport <span class="m">443</span> -j ACCEPT
<span class="c1"># NTP (horloge du serveur) </span>
iptables -t filter -A OUTPUT -p udp --dport <span class="m">123</span> -j ACCEPT
<span class="c1"># CONNEXION BRIDGE DOCKER0 AND ETH0</span>
iptables -A FORWARD -i docker0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o docker0 -j ACCEPT
iptables -A FORWARD -i br-55a5691432fc -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o br-55a5691432fc -j ACCEPT
iptables -A FORWARD -i br-55a5691432fc -o docker0 -j ACCEPT
iptables -A FORWARD -i docker0 -o br-55a5691432fc -j ACCEPT
iptables -A FORWARD -i br-55a5691432fc -o br-975d8918ff58 -j ACCEPT
iptables -A FORWARD -i br-975d8918ff58 -o br-55a5691432fc -j ACCEPT
iptables -A FORWARD -i br-975d8918ff58 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o br-975d8918ff58 -j ACCEPT
iptables -A FORWARD -i br-975d8918ff58 -o docker0 -j ACCEPT
iptables -A FORWARD -i docker0 -o br-975d8918ff58 -j ACCEPT
iptables -A FORWARD -i br-ec12cf5ed535 -o br-975d8918ff58 -j ACCEPT
iptables -A FORWARD -i br-975d8918ff58 -o br-ec12cf5ed535 -j ACCEPT
iptables -A FORWARD -i br-ec12cf5ed535 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o br-ec12cf5ed535 -j ACCEPT
iptables -A FORWARD -i br-ec12cf5ed535 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o br-ec12cf5ed535 -j ACCEPT
<span class="c1"># CONNEXION IPV6</span>
ip6tables -A FORWARD -i docker0 -o eth0 -j ACCEPT
ip6tables -A FORWARD -i eth0 -o docker0 -j ACCEPT
ip6tables -A FORWARD -i br-55a5691432fc -o eth0 -j ACCEPT
ip6tables -A FORWARD -i eth0 -o br-55a5691432fc -j ACCEPT
ip6tables -A FORWARD -i br-55a5691432fc -o docker0 -j ACCEPT
ip6tables -A FORWARD -i docker0 -o br-55a5691432fc -j ACCEPT
ip6tables -A FORWARD -i br-55a5691432fc -o br-975d8918ff58 -j ACCEPT
ip6tables -A FORWARD -i br-975d8918ff58 -o br-55a5691432fc -j ACCEPT
ip6tables -A FORWARD -i br-975d8918ff58 -o eth0 -j ACCEPT
ip6tables -A FORWARD -i eth0 -o br-975d8918ff58 -j ACCEPT
ip6tables -A FORWARD -i br-975d8918ff58 -o docker0 -j ACCEPT
ip6tables -A FORWARD -i docker0 -o br-975d8918ff58 -j ACCEPT
ip6tables -A FORWARD -i br-ec12cf5ed535 -o br-975d8918ff58 -j ACCEPT
ip6tables -A FORWARD -i br-975d8918ff58 -o br-ec12cf5ed535 -j ACCEPT
ip6tables -A FORWARD -i br-ec12cf5ed535 -o eth0 -j ACCEPT
ip6tables -A FORWARD -i eth0 -o br-ec12cf5ed535 -j ACCEPT
ip6tables -A FORWARD -i br-ec12cf5ed535 -o eth0 -j ACCEPT
ip6tables -A FORWARD -i eth0 -o br-ec12cf5ed535 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
</pre></div>
</td></tr></table>
<p>ifconfig</p>
<table class="codehilitetable"><tr><td class="linenos"><div class="linenodiv"><pre> 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84</pre></div></td><td class="code"><div class="codehilite"><pre><span></span>br-4bb1c4eeab0b Link encap:Ethernet HWaddr 02:42:9e:96:ef:1c
inet addr:172.19.255.254 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:9eff:fe96:ef1c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:100 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7428 (7.2 KiB) TX bytes:4628 (4.5 KiB)
br-55a5691432fc Link encap:Ethernet HWaddr 02:42:44:d4:6f:39
inet addr:172.18.0.1 Bcast:0.0.0.0 Mask:255.255.0.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
br-5d86bba2f2e9 Link encap:Ethernet HWaddr 02:42:9e:4b:8d:bf
inet addr:172.20.255.254 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:9eff:fe4b:8dbf/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1072 (1.0 KiB) TX bytes:648 (648.0 B)
docker0 Link encap:Ethernet HWaddr 02:42:20:40:44:26
inet addr:172.17.0.1 Bcast:0.0.0.0 Mask:255.255.0.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
eth0 Link encap:Ethernet HWaddr 00:07:cb:0b:0f:57
inet addr:163.172.58.7 Bcast:163.172.58.255 Mask:255.255.255.0
inet6 addr: fe80::207:cbff:fe0b:f57/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2670 errors:0 dropped:0 overruns:0 frame:0
TX packets:488 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:177979 (173.8 KiB) TX bytes:45439 (44.3 KiB)
Memory:80000000-8001ffff
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:300 (300.0 B) TX bytes:300 (300.0 B)
veth2b3c286 Link encap:Ethernet HWaddr 36:6c:1a:1a:60:9d
inet6 addr: fe80::346c:1aff:fe1a:609d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:648 (648.0 B) TX bytes:1388 (1.3 KiB)
veth60f1416 Link encap:Ethernet HWaddr be:fa:b7:0e:3a:b6
inet6 addr: fe80::bcfa:b7ff:fe0e:3ab6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:648 (648.0 B) TX bytes:1428 (1.3 KiB)
veth804d1ec Link encap:Ethernet HWaddr 16:5b:32:c5:01:cd
inet6 addr: fe80::145b:32ff:fec5:1cd/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:92 errors:0 dropped:0 overruns:0 frame:0
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8180 (7.9 KiB) TX bytes:5416 (5.2 KiB)
veth8c60634 Link encap:Ethernet HWaddr 0e:8a:dc:af:09:bc
inet6 addr: fe80::c8a:dcff:feaf:9bc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:648 (648.0 B) TX bytes:1944 (1.8 KiB)
</pre></div>
</td></tr></table>
<p>route : </p>
<table class="codehilitetable"><tr><td class="linenos"><div class="linenodiv"><pre>1
2
3
4
5
6
7
8</pre></div></td><td class="code"><div class="codehilite"><pre><span></span>Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 163.172.58.1 0.0.0.0 UG 0 0 0 eth0
163.172.58.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
172.18.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-55a5691432fc
172.19.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-4bb1c4eeab0b
172.20.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-5d86bba2f2e9
</pre></div>
</td></tr></table>
<p>(et mon docker compose <img alt=";)" src="/static/smileys/clin.png"> )</p>
<table class="codehilitetable"><tr><td class="linenos"><div class="linenodiv"><pre> 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104</pre></div></td><td class="code"><div class="codehilite"><pre><span></span>version: '2'
services:
mysql:
image: mysql
container_name: mysql
ports:
- "3306:3306"
volumes:
- /data/mysql:/var/lib/mysql
environment:
- MYSQL_ROOT_PASSWORD=okpwmeeou
restart: always
security_opt:
- label:user:docker
networks:
back:
ipv4_address: 172.19.200.1
git:
image: gogs/gogs
container_name: git
ports:
- "2022:22"
- "8081:3000"
volumes:
- /docker/gogs/data:/data
- /docker/gogs/public:/app/gogs/public
depends_on:
- mysql
# network 172.15.200.2 : 220 -> 225 : app back-node
networks:
front:
ipv4_address: 172.20.200.2
back:
ipv4_address: 172.19.200.2
restart: always
security_opt:
- label:user:docker
#letsencrypt:
# image: quay.io/letsencrypt/letsencrypt:latest
# command: "sleep 6 && letsencrypt certonly --standalone -d git.dryusdan.fr --text --agree-tos --email contact@dryusdan.fr --server https://acme-v01.api.letsencrypt.org/directory --rsa-key-size 4096 --verbose --renew-by-default --standalone-supported-challenges http-01"
# entrypoint: ""
# volumes:
# - /etc/letsencrypt
# - /var/lib/letsencrypt
# security_opt:
# - label:user:docker
# ports:
# - "8080:80"
# - "4443:443"
# environment:
# - TERM=xterm
# networks:
# front:
# ipv4_address: 172.20.200.3
proxy:
image: wonderfall/nginx
ports:
- "80:8000"
- "443:4430"
#- /docker/proxy/certs:/certs
#links:
#- letsencrypt
volumes:
- /docker/proxy/sites-enabled:/sites-enabled
- /docker/proxy/conf:/conf.d
- /docker/proxy/log:/var/log/nginx
- /etc/letsencrypt/certificate:/certs
- /docker/proxy/passwd:/passwds
- /docker/proxy/www:/www
- /etc/ssl/private:/etc/ssl/private
#volumes_from:
#- letsencrypt
container_name: nginx-proxy
restart: always
security_opt:
- label:user:docker
networks:
front:
ipv4_address: 172.20.200.1
networks:
back:
driver: bridge
driver_opts:
com.docker.network.enable_ipv6: "false"
ipam:
driver: default
config:
- subnet: 172.19.200.0/16
ip_range: 172.19.255.0/24
gateway: 172.19.255.254
front:
driver: bridge
driver_opts:
com.docker.network.enable_ipv6: "false"
ipam:
driver: default
config:
- subnet: 172.20.200.0/16
ip_range: 172.20.255.0/24
gateway: 172.20.255.254
</pre></div>
</td></tr></table>
<p>Je crois avoir fait le tour, si vous voulez plus d'info, dites le moi <img alt=";)" src="/static/smileys/clin.png"></p>Configuration du firewall, message #956182016-01-23T08:55:06+01:00Ezenku/@Ezenkuhttps://zestedesavoir.com/forums/sujet/5071/configuration-du-firewall/?page=1#p95618<p>Je vais tenter une réponse mais ça fait longtemps que je n'ai pas fait de configuration de pare-feu.</p>
<blockquote>
<p>J'ai ouvert un port 2020 sur mon réseau externe qui pointe vers le port SSH de ma Raspberry PI. Je débute en réseau et j'aimerais savoir si il est utile de filtrer les connexions TCP entrantes sur ma PI (par exemple, n'autoriser que le SSH, HTTP, imap2 …) alors que je n'ai ouvert qu'un port UDP/TCP sur mon réseau vers ssh.</p>
</blockquote>
<p>La base d'un bon-pare-feu, c'est "j'interdis tout, dans toutes les configurations possibles et je ne laisse passer que ce qui m'intéresse."</p>
<blockquote>
<p>Pour filtrer le trafic sortant, on conseille souvent d'accepter les ports ssh, imap2, etc.. (les ports basiques et sécurisés) </p>
</blockquote>
<p>Voir ma réponse ci-dessus : on accepte ce dont on a besoin, et on rejette tout le reste.</p>
<blockquote>
<p>Pourquoi faut-il autoriser les connexions établies sans savoir si elles sont sécurisées ? </p>
</blockquote>
<p>Je commence par related, c'est plus simple : "RELATED" est un état qui signifie qu'il y a une nouvelle connexion mais qui a un rapport avec une connexion déjà existante. On va donc l'accepter. C'est comme ça que marche FTP par exemple, qui utilise 2 ports.</p>
<p>On le sait déjà en fait.
Une connexion est "établie" (ESTABLISHED) à partir du moment ou la "poignée de main" en TCP a eu lieu sans erreur (SYN=>SYN/ACK=>ACK). On va donc automatiquement accepter les paquets qui son concernés : ça va plus vite que de devoir vérifier chaque règle.</p>
<p>Un scénario pour bien comprendre : </p>
<ul>
<li>Je souhaite consulter <a href="http://zestedesavoir.com">zestedesavoir.com</a> : </li>
<li>j'ai autorisé le DNS, je vais donc trouver qui est <a href="http://www.zestedesavoir.com">www.zestedesavoir.com</a></li>
<li>j'envoie une requête sur le port 80 de l'ordinateur : mon pare-feu trouve une règle correspondante (et laisse passer s'il est bien réglé. (flag SYN))</li>
<li>je reçois une réponse sur un port aléatoire (flag SYN/ACK). Il y a une règle qui indique de laisser passer, c'est bon.</li>
<li>je réponds sur le port 80 de <a href="http://www.zestedesavoir.com">www.zestedesavoir.com</a> (flag ACK) : la première règle s'applique à nouveau.
=> A partir de là, laz connexion est en état ESTABLISHED.
=> La règle "-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT" dit qu'en entrée, je regarde l'état et s'il est à ESTABLISHED ou RELATED, (et donc que j'ai déjà autorisé une connexion de ce type en cours) je laisse passer sans réfléchir.</li>
</ul>
<p>Ca fonctionne comme dans les congrès/réunions. Je montre ma convocation à l'entrée. On vérifie mon identité et on me fournit un badge avec mon nom et ma photo. Si je repasse la sortie et l'entrée, je n'ai qu'à montrer mon badge et pas à refaire toutes les vérifications.</p>Configuration du firewall, message #955572016-01-22T18:59:22+01:00Paul64/@Paul64https://zestedesavoir.com/forums/sujet/5071/configuration-du-firewall/?page=1#p95557<p>up. Pourquoi les gens n'aiment pas mes "up" ?<br>
C'est juste pour remettre le sujet en tête de liste sinon il n'y aura certainement pas de réponse <img alt=":(" src="/static/smileys/triste.png"></p>Configuration du firewall, message #941162016-01-13T18:28:35+01:00Paul64/@Paul64https://zestedesavoir.com/forums/sujet/5071/configuration-du-firewall/?page=1#p94116<p>up ? <img alt=":(" src="/static/smileys/triste.png"></p>Configuration du firewall, message #937422016-01-11T12:57:11+01:00Paul64/@Paul64https://zestedesavoir.com/forums/sujet/5071/configuration-du-firewall/?page=1#p93742<p>up</p>Configuration du firewall, message #934442016-01-09T12:09:01+01:00Paul64/@Paul64https://zestedesavoir.com/forums/sujet/5071/configuration-du-firewall/?page=1#p93444<p>Bonjour,</p>
<p>J'ai ouvert un port 2020 sur mon réseau externe qui pointe vers le port SSH de ma Raspberry PI.
Je débute en réseau et j'aimerais savoir si il est utile de filtrer les connexions TCP entrantes sur ma PI (par exemple, n'autoriser que le SSH, HTTP, imap2 …) alors que je n'ai ouvert qu'un port UDP/TCP sur mon réseau vers ssh.</p>
<p>Pour filtrer le trafic sortant, on conseille souvent d'accepter les ports ssh, imap2, etc.. (les ports basiques et sécurisés) et également les connexions qui ont déjà été établies (état <code>ESTABLISHED</code> et <code>RELATED</code>). Pourquoi faut-il autoriser les connexions établies sans savoir si elles sont sécurisées ? Si à chaque redémarrage, les règles pare-feu se remettent automatiquement, les connexions n'ont pas le temps de s'établir non ?</p>
<p>Pouvez-vous m'aider avec ces questions ?<br>
Merci d'avance !</p>Chargement de regles iptables, message #385212015-01-07T23:36:08+01:00Eskimon/@Eskimonhttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38521<p>Tout est rentré dans l'ordre, merci à tous pour m'avoir fait douter et remettre en question, ca m'aura éclairé !</p>
<p>Solution : Problème d'interface chaise/clavier, j'avais bien fait de la merde dans mon set-up d'iptables</p>Chargement de regles iptables, message #385062015-01-07T21:49:11+01:00Natalya/@Natalyahttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38506<p>Ma référence, c'est ce tuto:</p>
<p><a href="https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html">https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html</a></p>
<p>Super complet avec de belles images. En fait, je m'en sers même quand je cherche à dépiauter du trafic IP à la main (vu que IP, TCP et UDP sont documentés dedans)</p>
<p>A à moment, je m'étais même fait un poster</p>
<p><figure><img alt="" src="http://www.frozentux.net/iptables-tutorial/images/tables_traverse.jpg"><figcaption>les chaines d'iptables</figcaption></figure></p>Chargement de regles iptables, message #384812015-01-07T17:31:30+01:00bendia/@bendiahttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38481<p>Si tu veux de la doc <img alt=":)" src="/static/smileys/smile.png"></p>
<ul>
<li><a href="https://wiki.debian-facile.org/doc%3Areseau%3Aiptables-pare-feu-pour-un-client">Pour un poste client</a></li>
<li><a href="https://wiki.debian-facile.org/doc%3Areseau%3Aiptables-pare-feu-pour-une-passerelle">Pour une paserelle</a></li>
</ul>
<p>Tous frais publié rien que pour toi puisque <a href="http://debian-facile.org/viewtopic.php?pid=99872#p99872">le grand manitou à dit</a> <em>C'est d'la bonne, mangez en !</em>, et pour ce genre de chose, on peu lui faire confiance <img alt=";)" src="/static/smileys/clin.png"></p>Chargement de regles iptables, message #384742015-01-07T15:52:05+01:00Eskimon/@Eskimonhttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38474<p>Yep je crois que j'ai biennnn nfait n'imp dans ma conf en mixant un peu tout et n'importe quoi… Je vais la reprendre doucement et voir ce que ca donne… et je vous tiens au courant !</p>Chargement de regles iptables, message #384732015-01-07T15:48:19+01:00remace/@remacehttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38473<p>bah du coup en fait c'est simple non?</p>
<p>tu fais ta config sans tenir compte de persistent (ce que du coup tu dois pouvoir faire à la main), et tu save ensuite…</p>Chargement de regles iptables, message #384692015-01-07T15:31:48+01:00Eskimon/@Eskimonhttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38469<p>hum… Ca c'est balot du coup… Va falloit que je me penche la dessus… (qu'est ce que c'est pas sympathique iptables !)</p>Chargement de regles iptables, message #384682015-01-07T15:29:23+01:00bendia/@bendiahttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38468<p>Je ne suis pas du tout un spécialiste, mais je lis ça dans le README des sources</p>
<blockquote>
<p>To save the current ruleset, use "iptables-save >/etc/iptables/rules.v4"</p>
</blockquote>
<p>Et chez moi, les règles qui sortent avec <code>iptables-save</code> ne ressemblent pas à celles écrites à la main !</p>Chargement de regles iptables, message #384672015-01-07T15:22:55+01:00Eskimon/@Eskimonhttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38467<p>a la mano (donc possible de mettre planté évidemment ^^' )</p>Chargement de regles iptables, message #384662015-01-07T15:16:25+01:00bendia/@bendiahttps://zestedesavoir.com/forums/sujet/2171/chargement-de-regles-iptables/?page=1#p38466<p>Bonjour</p>
<p>Comment as-tu créer le fichier <code>rules.v4</code> ? A la main, ou avec <code>iptables-save</code> ?</p>