Re: firestarter derrière un proxy
Bonjour Jeremy,python2.3 (tu es donc sous warty ?, si tu es sous hoary, tu peux l'enlever puisqu'il y a python2.4) c'est un langage très utilisés pourles scripts, donc pas de soucis... je suis sous hoary, mais après migration de warty ... openssh-client, ssh-aspack-gnome et telnet sont les clients pour ssh ettelnet, donc toujours pas de soucis... En fait, tous ces pacquets ne t'ouvrent pas de ports sur ta machine. Ilfaut vérifier postfix, mais si tu n'y a pas toucher, ça doit être bon. la mailing list de firestarter s'est réveillée, et on m'a proposé une solution d'attente : mettre ALL: ALL dans /etc/hosts.deny voilà où j'en suis, ça ne règle pas le pb du firewall ! merci, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Salut, ftp et lftp sont des clients, donc pas de soucis... ils sont installés par défaut, enfin je crois... postfix c'est comme sendmail, il est installé par défaut, mais il est configuré pour écouter sur la boucle locale (à vérifier), donc pas de soucis. python2.3 (tu es donc sous warty ?, si tu es sous hoary, tu peux l'enlever puisqu'il y a python2.4) c'est un langage très utilisés pour les scripts, donc pas de soucis... openssh-client, ssh-aspack-gnome et telnet sont les clients pour ssh et telnet, donc toujours pas de soucis... En fait, tous ces pacquets ne t'ouvrent pas de ports sur ta machine. Il faut vérifier postfix, mais si tu n'y a pas toucher, ça doit être bon. JV Isabella a écrit : ça c'est intéressant. J'ai d'installé : ftp, lftp postfix, postfix-tls python2,3 samba, samba-common openssh-client, ssh-askpack-gnome telnet bon, si je veux désinstaller tout celà, il faut aussi désinstaller ubuntu-desktop (ça doit le faire) et ubuntu-base ??? vous en pensez quoi ? merci, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
ça c'est intéressant. J'ai d'installé : ftp, lftp postfix, postfix-tls python2,3 samba, samba-common openssh-client, ssh-askpack-gnome telnet bon, si je veux désinstaller tout celà, il faut aussi désinstaller ubuntu-desktop (ça doit le faire) et ubuntu-base ??? vous en pensez quoi ? merci, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Salut Jeremy,Pour vérifier que tu n'as aucun ports ouverts, tu peux faire un 'netstat -l'. ça me donne toute une palanquée de trucs. Et pour vérifier que tu n'as pas installé samba ou un autre serveur ftp,mail ou telnet, utilise 'synaptic' et cherche dans les packages installés. Les serveurs "courants" sont telnet, ssh, sendmail (ou postfix, ouexim...), ftp (ou proftpd, ou vsftp...), samba (partage windows), apache... ça c'est intéressant. J'ai d'installé : ftp, lftp postfix, postfix-tls python2,3 samba, samba-common openssh-client, ssh-askpack-gnome telnet Aucun n'est installé par défaut, donc si tu n'as rien rajouter, t'asmachine doit être plutôt blindée... bon, soit j'ai installé celà à l'install générale d'ubuntu (mauvaise option de ma part ?), soit c'est venu autrement Tu risques d'avoir besoin de samba pour partager tes fichiers ou tesimprimantes. (tu n'en as pas besoin pour accéder à un partage ou une imprimante surle réseau) ben, je partage pas , ni même les imprimantes (j'en ai un vieille encore OK) Si tu veux mon avis, tu n'as pas besoin d'une forteresse... et leprincipal danger sur Linux ce n'est pas les "virus / vers", mais bien l'administrateur ou pires les administrateurs... moi mauvaise administrateuse de ma machine ! Je vire tous les paquets précités ? merci encore, Isabella --ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.comhttp://lists.ubuntu.com/mailman/listinfo/ubuntu-fr -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
L'install laptop, c'est la même que l'install desktop. Pour vérifier que tu n'as aucun ports ouverts, tu peux faire un 'netstat -l'. Et pour vérifier que tu n'as pas installé samba ou un autre serveur ftp, mail ou telnet, utilise 'synaptic' et cherche dans les packages installés. Les serveurs "courants" sont telnet, ssh, sendmail (ou postfix, ou exim...), ftp (ou proftpd, ou vsftp...), samba (partage windows), apache ... Aucun n'est installé par défaut, donc si tu n'as rien rajouter, t'as machine doit être plutôt blindée... Tu risques d'avoir besoin de samba pour partager tes fichiers ou tes imprimantes. (tu n'en as pas besoin pour accéder à un partage ou une imprimante sur le réseau) Si tu veux mon avis, tu n'as pas besoin d'une forteresse... et le principal danger sur Linux ce n'est pas les "virus / vers", mais bien l'administrateur ou pires les administrateurs... Chacun d'entre nous qui "joue" à tester tel ou tel programme, à modifier la conf de pam, ou d'un autre point un peu touchy à déjà une droit à une ré-install Pour moi, le pire ça a été des shell scripts qui font des rm... qui en font trop... JV Isabella a écrit : Salut Jeremy Il me semble avoir lu que Ubuntu avait tous les ports fermés avec une install par défaut... Donc si pas de ports ouverts, pas de problèmes d'attaque par un vers quelconque... Après si tu as un serveur Samba, ftp ou http sur ta machine et que tu veux filtrer les clients potentiels, le problème est réel... Sauf si ces serveurs s'installent seuls ou par défaut (install laptop), je n'ai besoin de rien de tel et n'ai donc rien installé volontairement. Je peux le vérifier ? merci, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Salut Jeremy > Il me semble avoir lu que Ubuntu avait tous les ports fermés avec une > install par défaut... > Donc si pas de ports ouverts, pas de problèmes d'attaque par un vers > quelconque... > Après si tu as un serveur Samba, ftp ou http sur ta machine et que tu > veux filtrer les clients potentiels, le problème est réel... Sauf si ces serveurs s'installent seuls ou par défaut (install laptop), je n'ai besoin de rien de tel et n'ai donc rien installé volontairement. Je peux le vérifier ? merci, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Salut> Vérifie que ta machine est capable de résoudre ces adresses avec par> exemple:> ping proxy.administration.fr> s'il te retourne Unknown Host, tu devras ajouter son adresse et son nom > dans le fichier /etc/hosts ou utiliser l'adresse IP de ton proxy.c'est OK, avec ou sans firewall> > Je suis obligée d'arrêter firestarter pour aller sur internet> > (firefox), envoyer des emails (evolution) et jouer avec synaptic. > Par défaut firestarter n'empêche que les entrées, pas les sorties, je> connais mal les proxy(s) mais cela me fait penser que ce dernier a> besoin d'accéder à un (plusieurs) des prots de ta machine. sans doute, mais "comment lui dire ?, comment lui dire ? comment lui faire comprendre ..."> J'imagine que 90% des 5000 "tournent" sous l'OS de Redmondsans doute plus ...> As tu autorisé les connections entrantes en provenance du proxy ? via > son adresse IP ou via son nom ?oui, sans effet :-(> Ubuntu est une GNU/Linux, les outils sont donc semblables.> En fait le proxy semblent recquierir que tu lui ouvres un(plusieurs)> port(s), cela ne se passe pas entre internet et le proxy mais entre le > proxy et toi.bah oui> Je connais mal les proxy(s), toutefois en ajoutant son adresse dans les> "hôtes de confiance" cf: http://doc.linucie.net/Admin/FireStarter#toc6 > cela devrait lui permettre de te renvoyer les données au travers de ton> parefeu.> Tu pourras ensuite affiner la configuration en n'ouvrant que le(s)> port(s) en provenance de cette machine. fait avec le point plus haut (autoriser les connections/services de la source). Marche pas (sinon, je ne vous aurais pas embêtés !> > Autre question, comment peut-on savoir quels sont les ports ouverts à> > un instant t ?> apparement la commande:> netstat -lapute > cf: http://linuxfr.org/forums/9/2568.htmlLà, à part des truc locaux sur ma machine uniquement, il n'y a que evolution qui effectue une connection vers mon serveur de messagerie (et effectivement, je peux lire les emails avec firestarter on mais pas les envoyer)tcp0 0 localhost.locald:sunrpc *:* LISTEN root 9244 6364/portmaptcp0 0 localhost.localdoma:ipp *:* LISTEN root 55714 11677/cupsdtcp0 0 localhost.localdom:smtp *:* LISTEN root 11992 8103/mastertcp0 0 mon-ordi-at-mon-administration.l:33622 x-at-mon-administration :imap2 ESTABLISHEDisabella 227066 18078/evolution-2.2tcp0 0 localhost.localdoma:ipp localhost.localdo:33136 ESTABLISHEDcupsys 55782 11677/cupsdtcp0 0 localhost.localdo:33136 localhost.localdoma:ipp ESTABLISHEDisabella 55781 8567/gnome-cups-icotcp6 0 0 localhost:smtp *:* LISTEN root 11996 8103/masterudp0 0 localhost.locald:sunrpc *:*root 9243 6364/portmap celà vous inspire ? merci encore, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Rebonjour, Jérémy Vies a écrit : [couic] Pour répondre à Jody, je ne connais aucun vers qui attaque l'os de Redmond et aussi les autres OS... Oui moi non plus Il me semble que les vers ciblent une faille sur une mauvaise implémentation... Je ne connais pas de serveur utilisant la même implémentation sous WiWi que sous Linux... ou un autre Unix... JV Ce que je voulais dire en fait: le fait d'avoir des machines wiwi dans son réseau local met en danger tout le réseau :) Un troyen sur une machine wiwi peut permettre une attaque de l'exterieur via l'intérieur. Bon aprés j'imagine que sur les 5000 machines, le pirate éventuel préferera se faire les dents sur un OS connu pour ses multiples failles "non comblées" ? :þ Jo -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Salut, Il me semble avoir lu que Ubuntu avait tous les ports fermés avec une install par défaut... Donc si pas de ports ouverts, pas de problèmes d'attaque par un vers quelconque... Après si tu as un serveur Samba, ftp ou http sur ta machine et que tu veux filtrer les clients potentiels, le problème est réel... Pour répondre à Jody, je ne connais aucun vers qui attaque l'os de Redmond et aussi les autres OS... Il me semble que les vers ciblent une faille sur une mauvaise implémentation... Je ne connais pas de serveur utilisant la même implémentation sous WiWi que sous Linux... ou un autre Unix... JV Isabella a écrit : Bonjour à tous, je me permets de vous demander de l'aide sur ce point spécifique puisque les infos trouvées sur google sont très obscures pour moi et la mailing list de firestarter pour le moment silencieuse. Au travail, je suis sur un réseau local derrière un proxy (j'ai 2 types d'adresses, un .pac et un de la forme proxy.administration.fr avec un port). Je suis obligée d'arrêter firestarter pour aller sur internet (firefox), envoyer des emails (evolution) et jouer avec synaptic. Mon administrateur réseau me dit que je n'ai pas besoin d'un firewall sur son réseau, mais il y a qd même environ 5000 ordis sur ce réseau ... A la fois parce que j'achète pas son argumentation (peut-être à tord) et parce que j'aimerais comprendre ce qui se passe (je n'y connais rien), j'aimerais utiliser un firewall. J'ai essayé de changer les règles (par défaut permissif vers la sortie et restrictif en entrée, donc en autorisant les connexion du proxy) mais sans succès. J'ai bien vu sur google des actions à mener pour router les requêtes pour l'internet (port 80 ?) vers le proxy mais ce n'était pas dédié ubuntu, et pas clair pour moi. J'ai aussi modifié un fichier non-routables dans firestarter (vu sur google), idem. Autre question, comment peut-on savoir quels sont les ports ouverts à un instant t ? J'ai un portable amd-64 avec Linux 2.6.10-5-amd64-k8 #1 Tue Jun 7 08:26:38 UTC 2005 x86_64 GNU/Linux merci pour votre aide, Isabella -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
Re: firestarter derrière un proxy
Bonjour, Isabella a écrit : Au travail, je suis sur un réseau local derrière un proxy (j'ai 2 types d'adresses, un .pac et un de la forme proxy.administration.fr avec un port). Vérifie que ta machine est capable de résoudre ces adresses avec par exemple: ping proxy.administration.fr s'il te retourne Unknown Host, tu devras ajouter son adresse et son nom dans le fichier /etc/hosts ou utiliser l'adresse IP de ton proxy. Je suis obligée d'arrêter firestarter pour aller sur internet (firefox), envoyer des emails (evolution) et jouer avec synaptic. Par défaut firestarter n'empêche que les entrées, pas les sorties, je connais mal les proxy(s) mais cela me fait penser que ce dernier a besoin d'accéder à un (plusieurs) des prots de ta machine. Mon administrateur réseau me dit que je n'ai pas besoin d'un firewall sur son réseau, mais il y a qd même environ 5000 ordis sur ce réseau ... :) A la fois parce que j'achète pas son argumentation (peut-être à tord) J'imagine que 90% des 5000 "tournent" sous l'OS de Redmond, qui même derrière un proxy sont capables de se faire véroler... Les vers sont déja dans la boîte ;) et parce que j'aimerais comprendre ce qui se passe (je n'y connais rien), j'aimerais utiliser un firewall. J'ai essayé de changer les règles (par défaut permissif vers la sortie et restrictif en entrée, donc en autorisant les connexion du proxy) mais sans succès. As tu autorisé les connections entrantes en provenance du proxy ? via son adresse IP ou via son nom ? J'ai bien vu sur google des actions à mener pour router les requêtes pour l'internet (port 80 ?) vers le proxy mais ce n'était pas dédié ubuntu, et pas clair pour moi. Ubuntu est une GNU/Linux, les outils sont donc semblables. En fait le proxy semblent recquierir que tu lui ouvres un(plusieurs) port(s), cela ne se passe pas entre internet et le proxy mais entre le proxy et toi. Je connais mal les proxy(s), toutefois en ajoutant son adresse dans les "hôtes de confiance" cf: http://doc.linucie.net/Admin/FireStarter#toc6 cela devrait lui permettre de te renvoyer les données au travers de ton parefeu. Tu pourras ensuite affiner la configuration en n'ouvrant que le(s) port(s) en provenance de cette machine. Autre question, comment peut-on savoir quels sont les ports ouverts à un instant t ? apparement la commande: netstat -lapute cf: http://linuxfr.org/forums/9/2568.html Jody -- ubuntu-fr mailing list ubuntu-fr@lists.ubuntu.com http://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
