Flux rss
Ils ont besoin de votre aide
Collection CommentÇaMarche.net

[Sécurité] Mandriva - Paramétrage Shorewall

Bookmark Ajouter aux favoris / Partager
Dernière mise à jour le 19 septembre 2008 à 22:44 par Nilou17
Publié par teutates

Shorewall - Le pare-feu par défaut chez Mandriva





Même le système GNU/Linux a besoin d'un pare-feu ! Remerciez les tordus malfaisants ! D'ailleurs, chaque distribution en installe un automatiquement. Chez Mandriva, c'est Shorewall et son accès direct passe par drakfirewall dans une console en mode super-utilisateur.

Encore faut-il le paramétrer et connaître quelques astuces.

1 - Paramétrage


1.1 - Vérification du démarrage du service


Sous GNU/Linux, les services s'appellent des daemons ; appelons-les donc ainsi désormais ;-)

- Ouvrez le Centre de Contrôle de Mandriva Linux (vous aurez besoin du mot de passe Root),
- Dans l'onglet Système : cliquez sur Activer ou désactiver les services systèmes,
- Cherchez le daemon shorewall (vers la fin de liste) qui devrait être noté actif et coché au démarrage,
- Si tel n'est pas le cas, démarrez-le avec le bouton adéquat et cochez l'option au démarrage puis validez par OK.

1.2 - Paramétrage du pare-feu


- Soit vous passez dans une console en mode super-utilisateur pour entrer drakfirewall pour un accès direct,
- Soit toujours dans le Centre de Contrôle de Mandriva Linux,
- Allez dans l'onglet Sécurité
- Cliquez sur le seul et unique choix : Configurer un pare-feu personnel pour protéger l'ordinateur et le réseau,
- Décochez .la case Tout car en laissant en l'état vous n'avez pas de pare-feu correct. Pour le moment, tout passe !

Plusieurs choix à cocher sont désormais disponibles :
- Serveur Web : Vous hébergez un site web et/ou un blog ? Cochez. Sinon, c'est inutile.
- Serveur de nom de domaine : A cocher uniquement si votre machine permet d'associer un nom de machine réseau à une adresse IP. Ce n'est vraisemblablement pas votre cas.
- Serveur SSH : Il permet de se connecter de façon sécurisée sur une autre machine (prise de contrôle à distance).
- Serveur FTP : Les transferts FTP ne seront pas sécurisés et un pirate peut récupérer vos login et mot de passe. Ce type de serveur FTP n'est valable qu'au sein d'un réseau interne.
- Serveur POP et IMAP : Si votre machine fait fonction de serveur de courriels uniquement, vous pouvez cocher ce filtre.
- Partage de fichier Windows : Si vous avez installé SaMBa, activez pour pouvoir être en réseau avec des machines sous système Windows. Notez qu'il est fort dangereux d'activer ce filtre si la machine est directement connectée au Web !
- Serveur Cups : Si l'imprimante est au sein d'un réseau local, activez. Mais notez qu'il est fort dangereux d'activer ce filtre si la machine est directement connectée au Web !
- Requête d'écho (ping) : Envoyer un ping permet de savoir si une machine existe au bout d'une adresse IP. Pour être visible, cochez. Même s'il y a peu de risque, j'ai cependant préféré laisser l'option décochée.

En cliquant sur le bouton Avancé (en bas de la fenêtre), vous pouvez affiner le paramétrage. Vous devez en fait passer par là pour ajouter les autorisations pour les cas "spéciaux" tel que le transfert BitTorrent. Soyez vigilant en utilisant cette faculté ! Le mode d'emploi est assez simple.

Supposons que vous vouliez ajouter les ports 6881 à 6889 en TCP. Vous entrerez alors 6881:6889/tcp. Si en plus vous ajoutez le port 8080 en TCP, ce sera
6881:6889/tcp 8080/tcp. Vous l'avez compris :
- 6881:6889 pour les ports 6881 à 6889
- /tcp ou /udp selon le cas directement accolé au numéro du port
- un espace entre deux ports différents.

2 - Cas du BitTorrent


Mandriva, comme beaucoup de distributions de Gnu/Linux, utilise beaucoup le protocole BitTorrent. Comme j'ai bien du passer deux heures avant de pouvoir faire du BitTorrent, je vous livre mes astuces !

- J'ai d'abord autorisé les ports 6881 à 6889 en TCP, via le bouton Avancé.
Ce qui donne 6881:6889/tcp
- Ensuite, j'ai du éditer le fichier /etc/services en mode super-utilisateur. Ce qui donne avec Kate :
kate /etc/services
- Après une recherche dans ce fichier (menu Édition / Chercher), il s'est avéré qu'aucune autorisation n'existait pour les ports BitTorrents 6881 à 6889.
- J'ai donc dû ajouter les lignes suivantes
BitTorrent	6881/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6882/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6883/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6884/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6885/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6886/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6887/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6888/tcp	BitTorrent	# Transferts BitTorrent
BitTorrent	6889/tcp	BitTorrent	# Transferts BitTorrent


Pour explication :
- le premier BitTorrent nomme le service,
- ensuite vient chaque port l'un après l'autre,
- le second BitTorrent est un alias,
- enfin un court commentaire pour ne pas être perdu 3 mois plus tard ;-)

Notez que si vous avez effectué ses paramétrages alors que votre client BitTorrent était en fonctionnement (ou tentative de fonctionnement), vous devrez le redémarrer.

3 - Plusieurs parefeux


Comme avec Windows, il est strictement inutile de cumuler plusieurs pare-feu. Logique, ils se bloquent !

Il est donc inutile d'installer en plus, par exemple, Firestarter car, même sans avoir paramétré Firestarter, il vous sera impossible d'accéder alors au Net ! Vous devrez, au moins, désactiver le daemon Firestarter sinon le désinstaller.

D'ailleurs, vous devrez faire un choix entre Shorewall et ses concurrents ;-)

4 - Liens complémentaires


- Liste des ports
www.frameip.com/liste-des-ports-tcp-udp/
www.frameip.com/news/2004-10-23-liste-des-ports-tcp-udp.php
www.fr.ixus.net/modules.php?name=Ixus_Nettools&d_op=PortsIP
www.securiteinfo.com/conseils/portstroyens.shtml
en.wikipedia.org/wiki/List_of_well-known_ports_%28computing%29

- FAQ sur le BitTorrent
www.commentcamarche.net/faq/sujet-533-le-protocole-bittorrent

- Des explications sur les parefeux
fr.wikipedia.org/wiki/Firewall
olivieraj.free.fr/fr/linux/information/firewall/

- Alternatives à Shorewall
fr.wikipedia.org/wiki/Iptables
www.commentcamarche.net/faq/sujet-1317-linux-installation-d-un-firewall
Avec ses interfaces graphiques :
[Mandriva 2008] Pare-feu Shorewall / Guarddog Bonjour, J'ai installé le pare-feu Shorewall par défaut sous Linux Mandriva 2008 /sbin/shorewall => 3.4.4-2mdv2008.0 Il n'existe pas de paquetage RPM pour Shorewall 4.0 pour Linux Mandriva 2008, 1°) Shorewall Mise à jour de la version existante ?... www.commentcamarche.net/forum/affich-5323468-mandriva-2008-pare-feu-shorewall-guarddog
Mandriva 2006: paramètres installation SATA (Résolu) slt, comme débutant, je dois installer Mandriva 2006 DVD avec deux disques SATA I. Par défaut Mandriva ne s'installe pas. Il bloque et afiche un message comme si les SATA n'étaient pas détectés. Quels sont les paramètres d'installation que je dois... www.commentcamarche.net/forum/affich-2080300-mandriva-2006-parametres-installation-sata
[Mandriva] Kernel 2.6.14-2 et Shorewall Salut, j'ai installé le noyau 2.6.14-2 sous Mandriva 2006 (sources cooker). Mais, sous ce noyau, shorewall ne journalise et ne m'avertit de plus aucun événements, pourtant il est actif. Est ce que c'est un problème connu et si oui, quelqu'un sait-il... www.commentcamarche.net/forum/affich-2247784-mandriva-kernel-2-6-14-2-et-shorewall
Paramètres GPRSSi vous possédez un téléphone mobile fonctionnant sous Windows Mobile (smartphone du type HTC, Qtek, etc.), voici les paramètres GPRS pour les trois principaux opérateurs français Orange Orange GSM Orange GPRS Orange MMS Orange... www.commentcamarche.net/faq/sujet-7324-parametres-gprs
Sauvegarde des paramètres de Mozilla ThunderbirdSauvegarde manuelle Pour sauvegarder le contenu du carnet d'adresses, les comptes de courrier, les paramètres des comptes ou les extensions installées, il suffit de sauvegarder le dossier suivant :C:\Documents and Settings\Utilisateur*\Application... www.commentcamarche.net/faq/sujet-2161-sauvegarde-des-parametres-de-mozilla-thunderbird
[Mozilla Firefox] Sauvegarder les paramètresSauvegarder / Restaurer les paramètres de Firefox, les marque-pages, historique et les extensions installées Commencez par afficher les fichiers cachés. Sous Vista, il faut s'approprier le dossier C:\users\Utilisateur*\Application Data pour... www.commentcamarche.net/faq/sujet-2166-mozilla-firefox-sauvegarder-les-parametres
Résultats pour Mandriva Paramétrage Shorewall
Mandriva one ne boote pas... (Résolu)Bonjour ! J'ai besoin d'aide pour débuter, j'ai téléchargé Mandriva one et j'ai gravé le fichier iso sur cd, j'ai paramétré mon BIOS pour booter sur le cd-rom, mais hélas rien ne se passe ! C'est toujours le disque dur et windows qui démarre....... www.commentcamarche.net/forum/affich-2533150-mandriva-one-ne-boote-pas
[Mandriva] resolv.conf à refaire (Résolu)Bonjour, Afin de pouvoir installer OpenOffice.org 2, j'ai du réinstallé la Mandriva à partir d'un nouveau DVD. (Je tournais en rond sans résultat, donc obligé à force.) Depuis, je dois sans cesse reparamétrer mes paramètres DNS, alors que j'ai procédé... www.commentcamarche.net/forum/affich-2174959-mandriva-resolv-conf-a-refaire
[Shorewall 2.4.1] Parefeu intégré Mandriva ? (Résolu)Bonjour, Je posède le parefeu shorewall 2.4.1, est-que celui-ci surveille les fux entrants et sortants ? Ce pare-feu est en mode console, eb exist-til en mode graphique ? shorewall status : j'ai des tas de renseigenment, ce type de par-feu crée-t-il... www.commentcamarche.net/forum/affich-2282329-shorewall-2-4-1-parefeu-integre-mandriva
Résultats pour Mandriva Paramétrage Shorewall