anche wrote:La zone par default c'est Workstation avec ou pas l'installation de firewalld . Ce mode est permanent au reboot du PC. En réitérant la question, y a t'il la possibilité de définir un autre mode par defaut qui ne soit pas celui de FedoraWorkstation?
Oui en changeant la zone active vers une autre et de façon permanente.
é bien pour que celà fonctionne j'ai dû le refaire cinq ou six fois car même en changeant la zone active vers une autre de façon permanente, en rechargeant le firewall ou en rebootant la même plage de ports était ouverte 1025-65535/udp 1025-65535/tcp. D'où mon message #16

Dans ce cas le post de Dannyleconte est résolu.
normalement l'option --permanent de firewall-cmd est fait pour ça. Pas eu de soucis avec.
anche wrote:é bien pour que celà fonctionne j'ai dû le refaire cinq ou six fois car même en changeant la zone active vers une autre de façon permanente, en rechargeant le firewall ou en rebootant la même plage de ports était ouverte 1025-65535/udp 1025-65535/tcp. D'où mon message #16

Dans ce cas le post de Dannyleconte est résolu.
Si tu avais été plus explicite et que tu nous disais ce que tu as fait... avec de vrais noms de commandes ou applications.
Après la plage peut encore apparaître mais si la zone n'est pas active alors c'est bon.
ben c'est simple mais ce n'est pas mon post donc je disais que la zone par default : c'est Workstation avec ou pas l'installation de firewalld puisque chez moi en changeant la zone active vers une autre et de façon permanente, rien n'était pris en compte.
(En graphique j'ai plusieurs fois supprimé la plage de ports UDP/TCP puis en rechargeant le firewall ou même en rebootant, le résultat de [#firewall-cmd --list-all] n'y changeait rien). Je ne cherchais pas à justifier des lignes de commandes.
ici : sudo systemctl status firewalld > Active: active (running) since dim. 2014-12-14 14:32:06 CET; 6h ago
(firewalld)

Il doit bien s'agir comme dit plus haut de l'interface graphique ... Me suis cru sur Ubuntu l'espace d'un instant :hammer: >>>> Je plaisante bien sur !
VINDICATORs wrote:Après dans la majorité des cas vous avez aussi un pare feu sur vos box/modem-routeur, donc il ne faut pas s'alarmer toutes les 5 minutes non plus 😉.
Merci de le rappeller VINDICATORs, mais on est pas toujours derrière une box :-P
C'est pour cela que j'ai mis "dans la majorité des cas".

Et pis bon... Utilisez su/su - parce que ça les "veaux" bien..
dannyleconte wrote:
VINDICATORs wrote:Après dans la majorité des cas vous avez aussi un pare feu sur vos box/modem-routeur, donc il ne faut pas s'alarmer toutes les 5 minutes non plus 😉.
Oui c'est bien ce que je pensais mais on a pas la main sur le parefeu de la box...
Je pense que cette descision a été prise pour simplifier l'utilsation de fedora en poste de travail au détriment d'un peu de sécurité.
Etant connecté derrière une box je pense donc laisser les choses en l'état.
Les boxes n'ont pas de firewall, elles font de la translation d'adresses. Du coup les connexions entrantes sont possibles que si l'on spécifie l'adresse de redirection. Sauf que ... c'est vrai pour IPv4, mais pas pour IPv6. Si je vous donne mon adresse IPv6 vous pouvez tous venir me faire un petit coucou :-?
Hey, fedora-fr.org fonctionne en IPv6. Vite je configure firewalld pour ne pas me faire atttaquer par un admin qui aurait repéré mon IP :-D
codo ce que tu dis pour l'ipv6 est vrai mais ne concerne que les FAI qui propose ce service. Il y a à ma connaissance que Free qui est en mode bridge ipv6 (avec les routeurs alertes sur le LAN).

par contre par curiosité, qu'est-ce qui gère la translataion d'adresses dans ta box si c'est pas son firewall? (question piège)
Ok, c'est juste une question appellation. De la part d'un firewall j'attends un peu plus de fonctionnalités comme du filtrage avancé, détection de SYN flood, autorisation de connexion par identification, etc ...
Le NAT est présent dans les routeurs sans qu'ils soient des firewall pour autant.

Après, dans la Fedora, c'est peut-être bien firewalld qui gère le NAT 😉 (dans la Freebox aussi)
Dans le plus part des routeurs se sont des noyaux linux, et donc netfilter qui est quand même pas degueux comme firewall (surement le plus utilisé au monde). et le NAT repose entierement sur netfilter et ses fonctionnalités avances de suivi de connexions (et sur pas mal de protocole). Je suis juste étonné qu'on puisse du coup faire une distinction à ce niveau.
5 mois plus tard
madko wrote:En fait la variante "workstation" étant faite pour des developpeurs, le parefeu est en effet plus permissif (on imagine pourquoi). Concrêtement les ports < 1024 sont bloqués sauf ssh et samba (peut être un autre truc mais j'ai oublié), mais les ports >1024 sont maintenant autorisés par défaut... niveau sécu c'est vraiment pas top... mais bon c'est pour les devs, ils peuvent coder ainsi leur truc, lancer leur petit démon sur un port élevé et tout le monde peut s'y connecter, pratique pour les tests.

Je n'avais pas vu passer ce post et je m'inquiétais de trouver les ports 1025-65335 ouverts....

C'est vraiment pas top et ça va à contrario des règles de sécurité élémentaires où par défaut tout est fermé et on ouvre à la demande...
titijhajha wrote:ici : sudo systemctl status firewalld > Active: active (running) since dim. 2014-12-14 14:32:06 CET; 6h ago
(firewalld)

Il doit bien s'agir comme dit plus haut de l'interface graphique ... Me suis cru sur Ubuntu l'espace d'un instant :hammer: >>>> Je plaisante bien sur !
VINDICATORs wrote:Après dans la majorité des cas vous avez aussi un pare feu sur vos box/modem-routeur, donc il ne faut pas s'alarmer toutes les 5 minutes non plus 😉.
Merci de le rappeller VINDICATORs, mais on est pas toujours derrière une box :-P
Salut,

Oui, mais : par défaut les applis locales n'écoute que sur le port local. Il n' ya aucune raison de mettre un pare feu sur un workstation : elle n'a pas de services qui devrait écouter sur le réseau .
Merci pour l'info. Par défaut Ubuntu et ses variantes n'active même par lé firewall (enfin je sais que quand je teste il me faut installer gufw pour l'aciver) pourquoi ? insouciance? ce serait étonnant non? Pas de raison pour les dev de l'activer ?