Re: firewalld ou ufw
Bonjour, Le 2020-11-09 12:29, NoSpam a écrit : Le 09/11/2020 à 11:41, Sébastien NOBILI a écrit : (J'ai commencé à regarder nftables et j'envisage de me passer de surcouche à l'avenir, mais je n'ai pas suffisamment avancé pour avoir quelque chose de pertinent à proposer) [...] Pour ceux que cela intéresse j'ai développé sfw (SimpleFireWall, une série de scripts sh) basé sur nftables. Testé sur serveurs Debian et Ubuntu ainsi que sur Desktop et portablesDebian/Ubuntu. IPv4 et IPv6. Livré sans garantie ;) Je ne pense pas que ça m'intéresse pour l'utiliser (car, comme je l'ai écrit, je compte me passer d'intermédiaire et donc écrire mes propres scripts), mais ça m'intéresse fortement comme source d'inspiration :) C'est sur un repo public ? Si oui je veux bien l'URL. Merci. Sébastien
Re: firewalld ou ufw
Le 09/11/20 à 12h50, Belaïd a écrit : > Même sur un serveur ça sert. Faire du NAT par exemple avec des conteneurs > ou VM installées sur le serveur. Certes, mais pour ça pas besoin d'installer de surcouche à nftables (la question était firewalld ou ufw), en général c'est d'ailleurs une commande en pre-up/post-down de la vm. Dans mon cas je ne l'utilise que pour autoriser une vm à sortir vers internet, car dans l'autre sens c'est plutôt un frontal avec une ip publique qui fait suivre à la bonne vm sur son ip privée, sans nat, mais y'a sûrement plein d'autres cas où du NAT se justifie. > Même chose si tu veux par exemple router > toutes tes communications à travers un VPN personnalisé ou à travers le > réseau tor comme proxy ... Là je vois moins, ce serait pour empêcher une vm de sortir en dehors de tor|vpn ? C'est pas réglé en lui filant une interface déjà dans le vpn ? Mais si tu en parles je suppose que tu as déjà croisé ce cas d'usage et que ça se justifie. -- Daniel Je ne prendrai pas de calendrier cette année, car j'ai été très mécontent de celui de l'année dernière ! Alphonse Allais
Re: firewalld ou ufw
Bonjour, Le 09/11/2020 à 20:14, Gaëtan Perrier a écrit : Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires qui sont ouverts ? Sur le serveur utilise la commande ss ou netstat (deprecated, il faut installer le paquet net-tools). Pour test depuis une machine distante, un scan de port avec nmap (paquet éponyme). -- Manu
Re: firewalld ou ufw
salut Gaëtan, salut la liste, Le 9/11/20 à 20:14, Gaëtan Perrier a écrit : > Le lundi 09 novembre 2020 à 12:31 +0100, Daniel Caillibaud a écrit : >> Le 07/11/20 à 23h43, Gaëtan Perrier a écrit : >>> Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, >>> lequel est le plus pertinent ? >> >> As-tu vraiment besoin d'un firewall sur un serveur ? > > Euh bonne question. Je ne suis pas expert en serveur, c'est même le premier > que > je mets en route ;) > Je maîtrise plus le desktop. Perso, j'utilisais ufw (uncomplicated firewall, pas compliqué, comme dans le nom). J'ai des besoins simples aussi (tout bloquer et ouvrir juste le nécessaire http/https/ssh, à peu de chose près). Suite au remplacement progressif de iptables par nftables (nftables sera le defaut dans les prochaines versions de Debian et iptables est déjà remplacé par une façade à nftables pour assurer la transition), je me suis penché sur nftables. Et j'ai trouvé dans la doc des exemples de config assez simple à mettre en œuvre, notamment sur le wiki de nftables : https://wiki.nftables.org/wiki-nftables/index.php/Main_Page#Examples Il suffit de remplacer le fichier /etc/nftables.conf par la config' qui te convient et de démarrer le service nftables.service. Et voilà ! >> >> Ce serait pour bloquer quoi ? Car à priori, si un port est ouvert sur une >> ip publique d'un serveur, c'est pour être ouvert… > > Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires > qui sont ouverts ? Concernant les ports ouverts, tu as la commande qui te donnera tout ce qu'il faut savoir. Voici un exemple pour faire la liste de ce qui "écoute" en TCP et en UDP et quel est le process qui écoute : sudo ss -tulnp > Gaëtan Jean-Marc signature.asc Description: OpenPGP digital signature
Re: firewalld ou ufw
Je n'en suis pas encore à faire ce genre de chose. Pour l'instant c'est un usage plutôt basique. Le lundi 09 novembre 2020 à 12:50 +0100, Belaïd a écrit : > Même sur un serveur ça sert. Faire du NAT par exemple avec des conteneurs ou > VM installées sur le serveur. Même chose si tu veux par exemple router > toutes tes communications à travers un VPN personnalisé ou à travers le > réseau tor comme proxy ... > > Le lun. 9 nov. 2020 12:31, Daniel Caillibaud a écrit : > > Le 07/11/20 à 23h43, Gaëtan Perrier a écrit : > > > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, > > > lequel est le plus pertinent ? > > > > As-tu vraiment besoin d'un firewall sur un serveur ? > > > > Ce serait pour bloquer quoi ? Car à priori, si un port est ouvert sur une > > ip publique d'un serveur, c'est pour être ouvert… > > > > Il y a qq cas où ça se justifie, par ex si on utilise l'ip publique pour de > > la communication qui devrait rester privée, parce qu'on a pas d'ip privée, > > mais ça reste assez rare. > > signature.asc Description: This is a digitally signed message part
Re: firewalld ou ufw
Le lundi 09 novembre 2020 à 12:31 +0100, Daniel Caillibaud a écrit : > Le 07/11/20 à 23h43, Gaëtan Perrier a écrit : > > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, > > lequel est le plus pertinent ? > > As-tu vraiment besoin d'un firewall sur un serveur ? Euh bonne question. Je ne suis pas expert en serveur, c'est même le premier que je mets en route ;) Je maîtrise plus le desktop. > > Ce serait pour bloquer quoi ? Car à priori, si un port est ouvert sur une > ip publique d'un serveur, c'est pour être ouvert… Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires qui sont ouverts ? Gaëtan signature.asc Description: This is a digitally signed message part
Re: firewalld ou ufw
Même sur un serveur ça sert. Faire du NAT par exemple avec des conteneurs ou VM installées sur le serveur. Même chose si tu veux par exemple router toutes tes communications à travers un VPN personnalisé ou à travers le réseau tor comme proxy ... Le lun. 9 nov. 2020 12:31, Daniel Caillibaud a écrit : > Le 07/11/20 à 23h43, Gaëtan Perrier a écrit : > > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, > > lequel est le plus pertinent ? > > As-tu vraiment besoin d'un firewall sur un serveur ? > > Ce serait pour bloquer quoi ? Car à priori, si un port est ouvert sur une > ip publique d'un serveur, c'est pour être ouvert… > > Il y a qq cas où ça se justifie, par ex si on utilise l'ip publique pour de > la communication qui devrait rester privée, parce qu'on a pas d'ip privée, > mais ça reste assez rare. > > -- > Daniel > > Toute technique est mise au point, utilisée, importante, obsolète, > standardisée puis comprise. > >
Re: firewalld ou ufw
Le 07/11/20 à 23h43, Gaëtan Perrier a écrit : > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, > lequel est le plus pertinent ? As-tu vraiment besoin d'un firewall sur un serveur ? Ce serait pour bloquer quoi ? Car à priori, si un port est ouvert sur une ip publique d'un serveur, c'est pour être ouvert… Il y a qq cas où ça se justifie, par ex si on utilise l'ip publique pour de la communication qui devrait rester privée, parce qu'on a pas d'ip privée, mais ça reste assez rare. -- Daniel Toute technique est mise au point, utilisée, importante, obsolète, standardisée puis comprise.
Re: firewalld ou ufw
Bonjour Le 09/11/2020 à 11:41, Sébastien NOBILI a écrit : Bonjour, Le 2020-11-08 09:31, Belaïd a écrit : Si tu veux faire les choses simplement ufw est très bien. Personnellement j'utilise shorewall qui est plus adapté à mes besoins de configuration intermédiaire Attention, Linux est en train de migrer de iptables à nftables. Shorewall ne passera pas à nftables [1]. (Je ne sais pas ce qu'il en est de ufw). Aujourd'hui, pour un nouveau besoin il vaut donc mieux aller chercher ailleurs. Quant à l'existant, il faut envisager sa migration. (J'ai commencé à regarder nftables et j'envisage de me passer de surcouche à l'avenir, mais je n'ai pas suffisamment avancé pour avoir quelque chose de pertinent à proposer) [...] Pour ceux que cela intéresse j'ai développé sfw (SimpleFireWall, une série de scripts sh) basé sur nftables. Testé sur serveurs Debian et Ubuntu ainsi que sur Desktop et portablesDebian/Ubuntu. IPv4 et IPv6. Livré sans garantie ;) -- Daniel
Re: firewalld ou ufw
Bonjour, Le 2020-11-08 09:31, Belaïd a écrit : Si tu veux faire les choses simplement ufw est très bien. Personnellement j'utilise shorewall qui est plus adapté à mes besoins de configuration intermédiaire Attention, Linux est en train de migrer de iptables à nftables. Shorewall ne passera pas à nftables [1]. (Je ne sais pas ce qu'il en est de ufw). Aujourd'hui, pour un nouveau besoin il vaut donc mieux aller chercher ailleurs. Quant à l'existant, il faut envisager sa migration. (J'ai commencé à regarder nftables et j'envisage de me passer de surcouche à l'avenir, mais je n'ai pas suffisamment avancé pour avoir quelque chose de pertinent à proposer) 1: https://sourceforge.net/p/shorewall/mailman/message/35458915/ Sébastien
Re: firewalld ou ufw
Surtout la configuration assez logique sous forme de plusieurs fichiers de conf selon les besoins et scénarios , permet le régulation de flux ... Le dim. 8 nov. 2020 14:57, Gaëtan Perrier a écrit : > Bonjour, > > Je ne connaissais pas shorewall. Qu'est-ce qui t'as fait d'orienter vers > lui ? > > Gaëtan > > Le dimanche 08 novembre 2020 à 09:31 +0100, Belaïd a écrit : > > Bonjour, > > > > Si tu veux faire les choses simplement ufw est très bien. Personnellement > > j'utilise shorewall qui est plus adapté à mes besoins de configuration > > intermédiaire > > > > Le sam. 7 nov. 2020 23:43, Gaëtan Perrier a > écrit : > > > Bonjour, > > > > > > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, > lequel > > > est > > > le plus pertinent ? > > > J'aurai tendance à dire ufw vu que si j'ai bien compris l'avantage de > > > firewalld > > > c'est de pouvoir gérer plusieurs jeux de conf ce qui est utile pour une > > > machine > > > nomade mais pas pour un serveur. Mais je me trompe peut-être ? > > > > > > Gaëtan > >
Re: firewalld ou ufw
Bonjour, Je ne connaissais pas shorewall. Qu'est-ce qui t'as fait d'orienter vers lui ? Gaëtan Le dimanche 08 novembre 2020 à 09:31 +0100, Belaïd a écrit : > Bonjour, > > Si tu veux faire les choses simplement ufw est très bien. Personnellement > j'utilise shorewall qui est plus adapté à mes besoins de configuration > intermédiaire > > Le sam. 7 nov. 2020 23:43, Gaëtan Perrier a écrit : > > Bonjour, > > > > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, lequel > > est > > le plus pertinent ? > > J'aurai tendance à dire ufw vu que si j'ai bien compris l'avantage de > > firewalld > > c'est de pouvoir gérer plusieurs jeux de conf ce qui est utile pour une > > machine > > nomade mais pas pour un serveur. Mais je me trompe peut-être ? > > > > Gaëtan signature.asc Description: This is a digitally signed message part
Re: firewalld ou ufw
Bonjour, Si tu veux faire les choses simplement ufw est très bien. Personnellement j'utilise shorewall qui est plus adapté à mes besoins de configuration intermédiaire Le sam. 7 nov. 2020 23:43, Gaëtan Perrier a écrit : > Bonjour, > > Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, > lequel est > le plus pertinent ? > J'aurai tendance à dire ufw vu que si j'ai bien compris l'avantage de > firewalld > c'est de pouvoir gérer plusieurs jeux de conf ce qui est utile pour une > machine > nomade mais pas pour un serveur. Mais je me trompe peut-être ? > > Gaëtan >