Sécurité - Mandriva - Paramétrage Shorewall

Décembre 2016


Shorewall - Le pare-feu par défaut chez Mandriva



Même le système GNU/Linux a besoin d'un pare-feu ! Remerciez les tordus malfaisants ! D'ailleurs, chaque distribution en installe un automatiquement. Chez Mandriva, c'est Shorewall et son accès direct passe par drakfirewall dans une console en mode super-utilisateur.

Encore faut-il le paramétrer et connaître quelques astuces.

Paramétrage

Vérification du démarrage du service


Sous GNU/Linux, les services s'appellent des daemons ; appelons-les donc ainsi désormais ;-)

- Ouvrez le Centre de Contrôle de Mandriva Linux (vous aurez besoin du mot de passe Root),
- Dans l'onglet Système : cliquez sur Activer ou désactiver les services systèmes,
- Cherchez le daemon shorewall (vers la fin de liste) qui devrait être noté actif et coché au démarrage,
- Si tel n'est pas le cas, démarrez-le avec le bouton adéquat et cochez l'option au démarrage puis validez par OK.

Paramétrage du pare-feu


- Soit vous passez dans une console en mode super-utilisateur pour entrer drakfirewall pour un accès direct,
- Soit toujours dans le Centre de Contrôle de Mandriva Linux,
- Allez dans l'onglet Sécurité
- Cliquez sur le seul et unique choix : Configurer un pare-feu personnel pour protéger l'ordinateur et le réseau,
- Décochez .la case Tout car en laissant en l'état vous n'avez pas de pare-feu correct. Pour le moment, tout passe !

Plusieurs choix à cocher sont désormais disponibles :
- Serveur Web : Vous hébergez un site web et/ou un blog ? Cochez. Sinon, c'est inutile.
- Serveur de nom de domaine : A cocher uniquement si votre machine permet d'associer un nom de machine réseau à une adresse IP. Ce n'est vraisemblablement pas votre cas.
- Serveur SSH : Il permet de se connecter de façon sécurisée sur une autre machine (prise de contrôle à distance).
- Serveur FTP : Les transferts FTP ne seront pas sécurisés et un pirate peut récupérer vos login et mot de passe. Ce type de serveur FTP n'est valable qu'au sein d'un réseau interne.
- Serveur POP et IMAP : Si votre machine fait fonction de serveur de courriels uniquement, vous pouvez cocher ce filtre.
- Partage de fichier Windows : Si vous avez installé SaMBa, activez pour pouvoir être en réseau avec des machines sous système Windows. Notez qu'il est fort dangereux d'activer ce filtre si la machine est directement connectée au Web !
- Serveur Cups : Si l'imprimante est au sein d'un réseau local, activez. Mais notez qu'il est fort dangereux d'activer ce filtre si la machine est directement connectée au Web !
- Requête d'écho (ping) : Envoyer un ping permet de savoir si une machine existe au bout d'une adresse IP. Pour être visible, cochez. Même s'il y a peu de risque, j'ai cependant préféré laisser l'option décochée.

En cliquant sur le bouton Avancé (en bas de la fenêtre), vous pouvez affiner le paramétrage. Vous devez en fait passer par là pour ajouter les autorisations pour les cas "spéciaux" tel que le transfert BitTorrent. Soyez vigilant en utilisant cette faculté ! Le mode d'emploi est assez simple.

Supposons que vous vouliez ajouter les ports 6881 à 6889 en TCP. Vous entrerez alors 6881:6889/tcp. Si en plus vous ajoutez le port 8080 en TCP, ce sera
6881:6889/tcp 8080/tcp. Vous l'avez compris :
- 6881:6889 pour les ports 6881 à 6889
- /tcp ou /udp selon le cas directement accolé au numéro du port
- un espace entre deux ports différents.

Cas du BitTorrent


Mandriva, comme beaucoup de distributions de Gnu/Linux, utilise beaucoup le protocole BitTorrent. Comme j'ai bien du passer deux heures avant de pouvoir faire du BitTorrent, je vous livre mes astuces !

- J'ai d'abord autorisé les ports 6881 à 6889 en TCP, via le bouton Avancé.
Ce qui donne 6881:6889/tcp
- Ensuite, j'ai du éditer le fichier /etc/services en mode super-utilisateur. Ce qui donne avec Kate :
kate /etc/services
- Après une recherche dans ce fichier (menu Édition / Chercher), il s'est avéré qu'aucune autorisation n'existait pour les ports BitTorrents 6881 à 6889.
- J'ai donc dû ajouter les lignes suivantes
BitTorrent 6881/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6882/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6883/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6884/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6885/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6886/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6887/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6888/tcp BitTorrent # Transferts BitTorrent 
BitTorrent 6889/tcp BitTorrent # Transferts BitTorrent 


Pour explication :
- le premier BitTorrent nomme le service,
- ensuite vient chaque port l'un après l'autre,
- le second BitTorrent est un alias,
- enfin un court commentaire pour ne pas être perdu 3 mois plus tard ;-)

Notez que si vous avez effectué ses paramétrages alors que votre client BitTorrent était en fonctionnement (ou tentative de fonctionnement), vous devrez le redémarrer.

Plusieurs parefeux


Comme avec Windows, il est strictement inutile de cumuler plusieurs pare-feu. Logique, ils se bloquent !

Il est donc inutile d'installer en plus, par exemple, Firestarter car, même sans avoir paramétré Firestarter, il vous sera impossible d'accéder alors au Net ! Vous devrez, au moins, désactiver le daemon Firestarter sinon le désinstaller.

D'ailleurs, vous devrez faire un choix entre Shorewall et ses concurrents ;-)

Liens complémentaires


- Liste des ports
www.frameip.com
www.frameip.com
PortsIP
portstroyens
List of well known ports

- FAQ sur le BitTorrent
le protocole bittorrent

- Des explications sur les parefeux
wikipedia
olivieraj.free.fr

- Alternatives à Shorewall
Iptables
sujet commentcamarche
Avec ses interfaces graphiques :

A voir également :

Ce document intitulé «  Sécurité - Mandriva - Paramétrage Shorewall  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.