[Résolu] Configuration parefeu ?!

pierrotlalune · 17/12/2021 00:37:24

Bonjour à tous:-),
je dois partir en déplacement bientôt, et je cherche donc à configurer correctement le pare-feu de mon ordi portable afin qu'il passe le test "all Service ports" de ShieldsUp.
Pour vérifier, j'ai mis la machine concernée en DMZ sur ma Box, pour pouvoir tester "firewalld". Après plusieurs tentatives de réglage, je n'arrive à rien et je patauge:-?.
Voici ma config après beaucoup de bidouilles:

$ firewall-cmd --list-all 
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlp6s0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
$

Comment dois je faire ? Merci.
pll

Nicosss · 17/12/2021 07:44:57

Tu veux faire quoi en fait ?

pierrotlalune · 17/12/2021 12:11:05

Nicosss a écrit :

Tu veux faire quoi en fait ?

Bonjour Nicosss:-),
en fait, j'obtiens ceci:

et je voudrais que tout soit vert. L'ordi est bien en DMZ.
Merci.
Je précise que j'y étais déjà parvenu, mais avec F35 pas moyen. J'ai du loupé quelque chose.
a+.
pll

Nicosss · 17/12/2021 14:19:13

C'est assez étrange tes ports ouverts.

Le service tourne ?

$ systemctl status firewalld.service

pierrotlalune · 17/12/2021 14:33:53

Oui, c'est assez étrange !

$ systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
     Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor>
     Active: active (running) since Fri 2021-12-17 13:27:59 CET; 3min 43s ago
       Docs: man:firewalld(1)
   Main PID: 1253 (firewalld)
      Tasks: 2 (limit: 4644)
     Memory: 40.8M
        CPU: 1.969s
     CGroup: /system.slice/firewalld.service
             └─1253 /usr/bin/python3 -s /usr/sbin/firewalld --nofork --nopid

Warning: some journal files were not opened due to insufficient permissions.
lines 1-12/12 (END)

Le service tourne bien. Merci pour ton aide.
a+
pll

Refuznik · 17/12/2021 16:46:39

Juste comme ça ce ne serait pas les ports ouvert de ta box ?

Nicosss · 17/12/2021 18:27:06

Refuznik a écrit :

Juste comme ça ce ne serait pas les ports ouvert de ta box ?

En effet, l'outil se base par rapport à une IP internet donc il regarde tout ce qui est à côté aussi aussi.

Le mieux est d'utiliser nmap sur ton réseau.

pierrotlalune · 17/12/2021 18:50:21

Bonne idée,
J'ai lancé nmap vers la cible depuis un autre ordi sur le même réseau local.

$ nmap 192.168.1.xx
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-17 17:42 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.06 seconds
$

Que peut on conclure de ce résultat ?
Bonne soirée.
pll

pierrotlalune · 17/12/2021 19:10:32

La même chose sans le parefeu:

$ nmap 192.168.1.xx
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-17 18:04 CET
Nmap scan report for gypsy.home (192.168.1.22)
Host is up (0.033s latency).
All 1000 scanned ports on gypsy.home (192.168.1.22) are closed

Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds
$

Nicosss · 17/12/2021 21:14:41

Tu n'as aucun service réseau qui tourne sur ta machine ?

Tu peux tenter

$ sudo nmap -v -O --osscan-guess 192.168.1.22

pierrotlalune · 17/12/2021 23:47:47

Nicosss a écrit :

Tu n'as aucun service réseau qui tourne sur ta machine ?

Si, SpiderOakOne.

# nmap -v -O --osscan-guess 192.168.1.22
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-17 22:39 CET
Initiating ARP Ping Scan at 22:39
Scanning 192.168.1.22 [1 port]
Completed ARP Ping Scan at 22:39, 0.10s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:39
Completed Parallel DNS resolution of 1 host. at 22:39, 0.00s elapsed
Initiating SYN Stealth Scan at 22:39
Scanning gypsy.home (192.168.1.22) [1000 ports]
Completed SYN Stealth Scan at 22:39, 13.92s elapsed (1000 total ports)
Initiating OS detection (try #1) against gypsy.home (192.168.1.22)
Retrying OS detection (try #2) against gypsy.home (192.168.1.22)
Nmap scan report for gypsy.home (192.168.1.22)
Host is up (0.018s latency).
All 1000 scanned ports on gypsy.home (192.168.1.22) are filtered
MAC Address: 00:22:5F:8E:A7:xx (Liteon Technology)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

Read data files from: /usr/bin/../share/nmap
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.07 seconds
           Raw packets sent: 2022 (92.084KB) | Rcvd: 27 (2.580KB)
#

Un diagnostic Docteur ?:roll:
a+
pll

Nicosss · 18/12/2021 14:46:40

Tu n'as rien d'ouvert en écoute.

pierrotlalune · 18/12/2021 19:05:23

Nicosss a écrit :

Tu n'as rien d'ouvert en écoute.

Merci Nicosss, j'en déduit que les tous ports sont masqués.

Nicosss · 18/12/2021 19:52:06

pierrotlalune a écrit :

Nicosss a écrit :
Tu n'as rien d'ouvert en écoute.
Merci Nicosss, j'en déduit que les tous ports sont masqués.

J'dirais plus fermés comme il n'y a pas de réponse.

Tu peux toujours en ouvrir 1 et tu verras.

Sinon tu peux faire pleins d'autres tests

$ man nmap

pierrotlalune · 18/12/2021 20:53:11

Bonsoir Nicosss,

# nmap -sS 192.168.1.22
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-18 19:42 CET
Nmap scan report for gypsy.home (192.168.1.22)
Host is up (0.0017s latency).
All 1000 scanned ports on gypsy.home (192.168.1.22) are filtered
MAC Address: 00:22:5F:8E:A7:0B (Liteon Technology)

Nmap done: 1 IP address (1 host up) scanned in 5.24 seconds
[root@tales ~]#

Dans le man nmap il est écrit ceci:

.........................................................................................................
filtré (filtered)
           Nmap ne peut pas toujours déterminer si un port est ouvert car les
           dispositifs de filtrage des paquets empêchent les paquets de tests
           (probes) d'atteindre leur port cible. Le dispositif de filtrage
           peut être un pare-feu dédié, des règles de routeurs filtrants ou un
           pare-feu logiciel. Ces ports ennuient les attaquants car ils ne
           fournissent que très peu d'informations. Quelques fois ils
           répondent avec un message d'erreur ICMP de type 3 code 13 («
           destination unreachable: communication administratively prohibited
           »), mais les dispositifs de filtrage qui rejettent les paquets sans
           rien répondre sont bien plus courants. Ceci oblige Nmap à essayer
           plusieurs fois au cas où ces paquets de tests seraient rejetés à
           cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti
           terriblement les choses.
...................................................................................................................

Je pense que la protection est satisfaisante.;-). Merci à toi.
Bonne soirée.
pll

Nicosss · 18/12/2021 21:40:44

Parfait, et puis comme ça tu pourras faire d'autres tests en déplacement.

Fedora-Fr - Communauté francophone Fedora - Linux

#1 17/12/2021 00:37:24

[Résolu] Configuration parefeu ?!

#2 17/12/2021 07:44:57

Re : [Résolu] Configuration parefeu ?!

#3 17/12/2021 12:11:05

Re : [Résolu] Configuration parefeu ?!

#4 17/12/2021 14:19:13

Re : [Résolu] Configuration parefeu ?!

#5 17/12/2021 14:33:53

Re : [Résolu] Configuration parefeu ?!

#6 17/12/2021 16:46:39

Re : [Résolu] Configuration parefeu ?!

#7 17/12/2021 18:27:06

Re : [Résolu] Configuration parefeu ?!

#8 17/12/2021 18:50:21

Re : [Résolu] Configuration parefeu ?!

#9 17/12/2021 19:10:32

Re : [Résolu] Configuration parefeu ?!

#10 17/12/2021 21:14:41

Re : [Résolu] Configuration parefeu ?!

#11 17/12/2021 23:47:47

Re : [Résolu] Configuration parefeu ?!

#12 18/12/2021 14:46:40

Re : [Résolu] Configuration parefeu ?!

#13 18/12/2021 19:05:23

Re : [Résolu] Configuration parefeu ?!

#14 18/12/2021 19:52:06

Re : [Résolu] Configuration parefeu ?!

#15 18/12/2021 20:53:11

Re : [Résolu] Configuration parefeu ?!

#16 18/12/2021 21:40:44

Re : [Résolu] Configuration parefeu ?!

Pied de page des forums