Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Firestarter et iptables.

[supprimé]

Re-Bonjour,
J'ai un autre petit soucis. Le firewall proposé par défaut de FC4 ne me satisfait pas pleinement car il répond au ping (cf. site de Shields Up!). Qu'en pensez-vous ? Comment corriger cela ?
J'ai essayé d'installer Firestarter mais je ne sais pas trop ce qu'il vaut. Disons que j'ai peur de passer par une interface graphique et aimerais plutôt passer par iptables...
Que me conseillez-vous ?
Merci.
Cordialement.
Guilhem.

herrib

Ping exploite le protocole ICMP; ICMP n'exploite pas un port mais fait partie des mécanismes intrinsèques d'IP (voir le RFC 792 .

Firestarter est une interface graphique permettant notamment le paramétrage d'IPTables. Il ne faut pas s'en priver!

Il permet de régler les questions concernant le traitement des requêtes ICMP dans son menu préférences -> filtrage ICMP .

llaumgui

FireStarter est un firewall proche d'iptables mais ce n'est pas un GUI pour IPTables...

La preuve est qu'il ne modifie pas le fichier de configuration d'IPTables et a son propre deamon.

[supprimé]

Répondre à un ping est dangereux, non ?

[supprimé]

Firestarter a son propre démon, ok. Mais cela veut dire quoi ? Iptables marche toujours en parallèle ?

llaumgui

Oui, et tu as alors 2 firewall...

[supprimé]

Iptables n'est pas suffisant à lui tout seul ?
Avoir 2 firewalls, augmente-t-il la sécurité du système ?

BlackDruid

Salut,

Je ne comprends pas cette histoire de double Firewall. Si double Firewall il y avait, il faudrait ajouter des règles dans l'un puis dans l'autre afin d'autoriser une connexion ?

Je veux dire par là que j'installe habituellement Linux en activant le Firewall et en interdisant tous les protocoles par défaut (politique restrictive). Ensuite, je créé petit à petit des règles en fonction de ce dont j'ai besoin. Mais je ne le fait que dans Firestarter.

Alors soit iptables ne fait pas son boulot, soit Firestarter agit également sur iptables ?

A+

herrib

Il n'y a qu'un seul Firewall actif: IPTables. Firestarter présente deux fonctionnalités essentielles:

* permettre le paramétrage d'IPTables, au travers d'une interface graphique;
* gérer son propre suivi des rejets (d'où la présence d'un daemon).

La preuve est qu'il ne modifie pas le fichier de configuration d'IPTables et a son propre deamon

.

Il a un daemon propre (voir plus haut); il est toutefois faux d'affirmer que Firestarter n'agit pas sur IPTables...

Un petit tour sur le site de Firestarter permettra de lever les équivoques.

remi

En étant un poil provocateur je dirais qu'iptables n'est pas un pare-feu (Firewall).

iptables est juste un filtre de paquet (IP).

Un pare-feu complet comprend (au minimum)
- filtre de paquet
- détection d'intrusion
- journalisation
- outil de configuration

Dans ce cadre firestarter est un vrai pare-feu qui utilise iptables comme filtre de paquet.

A+

llaumgui

Un petit tour sur le site de Firestarter permettra de lever les équivoques.

Tu peux citer la sources précisément ? Car je ne voit pas d'allusion à ipTables.

Et FireStarter modifie ton fichier /etc/sysconfig/iptables ?

remi

Cette page, par exemple : Kernel requirements (netfilter c'est le nom officiel du projet, iptables c'est juste la commande).

Le fichier /etc/sysconfig/iptables, c'est juste le fichier de configuration (sauvegarde) de Fedora. Pour connaitre les règles iptables actives et vérifier que firestarter les a modifiées, il faut utiliser la commande :

iptables -L

A+

Temet

Moi j'ai rien contre votre guéguerre, mais je trouve bien bizarre de pouvoir désinstaller iptable sans que firestarter fasse partie des dépendances...

irhemix

Guilhem a écrit:
Répondre à un ping est dangereux, non ?

en quoi cela peut t'il etre dangereux? ou alors si on tombe dans la parano si 100000 machines font un ping simulatné sur ton ip peut etre que ca peut entrainer un overflow et encore.

Perso j'administre 13 serveurs(un seul sous linux snif les autres en nt4), sachant qu'ils sont dans une salle a l'opposé de mon bureau, et qu'il y a un switch clavier/ecran pour tout faire, je suis bien content de pouvoir faire un ping sur chacun a distance pour voir si ils sont down ou non.

[supprimé]

Cela signifie que ta machine est visible sur le réseau.
De plus, pour ton réseau tu pourrais bloquer tous les pings sauf ceux en provenance de ton ordi... 😉

herrib

Temet a écrit:
Moi j'ai rien contre votre guéguerre, mais je trouve bien bizarre de pouvoir désinstaller iptable sans que firestarter fasse partie des dépendances...

Parce que Firestarter fait aussi autre chose (voir le site officiel); par exemple:

* du NAT: Enables Internet connection sharing, optionally with DHCP service for the clients,
* Support for tuning ICMP parameters to stop Denial of Service (DoS) attacks , Support for tuning ToS parameters to improve services for connected client computers)...

[supprimé]

Et que pensez-vous de "KMyFirewall" ?
(http://kmyfirewall.sourceforge.net/)

remi

Temet a écrit:
Moi j'ai rien contre votre guéguerre, mais je trouve bien bizarre de pouvoir désinstaller iptable sans que firestarter fasse partie des dépendances...

IL n'y a pas de géguerre, juste une discussion de "pinailleurs" :lol:

Tu ne peux pas vraiment désintaller netfilter qui fait partie du noyau (/lib/modules/.../kernel/net/ipv4/netfilter) mais uniquement le service iptables et quelques librairies annexes.

A+

llaumgui

remi a écrit:
Cette page, par exemple : Kernel requirements (netfilter c'est le nom officiel du projet, iptables c'est juste la commande).

Le fichier /etc/sysconfig/iptables, c'est juste le fichier de configuration (sauvegarde) de Fedora. Pour connaitre les règles iptables actives et vérifier que firestarter les a modifiées, il faut utiliser la commande :
iptables -L
A+

Effectivement... Bon alors je le reprend 🙂.
Mais pourquoi désactive t'il iptables au démarrage ?

remi

Essayons d'être précis.

netfilter est un mécanisme de filtrage implanté dans le noyau de linux. Cf http://www.netfilter.org/.

La commande iptables permet de manipuler les règles implantées. Apparue avec le noyau 2.4, elle remplace ipfwadm du noyau 2.0 et ipchains du noyau 2.2. C'est pourqquoi on parle souvent à tort d'iptables alors qu'on devrait parler de netfilter.

Le service iptables permet de charger (commande iptables-restore), lors du démarrage, un ensemble de règles prédéfinies (sauvegardées par iptables-save ou "service iptables save").

firestarter désactive le service car il charge son propre jeu de règles et ne tient pas à être parasité.

A+

Page suivante »