Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 n'est plus maintenu

#1 17/12/2021 00:37:24

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

[Résolu] Configuration parefeu ?!

Bonjour à tous:-),
je dois partir en déplacement bientôt, et je cherche donc à configurer correctement le pare-feu de mon ordi portable afin qu'il passe le test "all Service ports" de ShieldsUp.
Pour vérifier, j'ai mis la machine concernée en DMZ sur ma Box, pour pouvoir tester "firewalld". Après plusieurs tentatives de réglage, je n'arrive à rien et je patauge:-?.
Voici ma config après beaucoup de bidouilles:

$ firewall-cmd --list-all 
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlp6s0
  sources: 
  services: 
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
$ 

Comment dois je faire ? Merci.
pll

Hors ligne

#2 17/12/2021 07:44:57

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

Tu veux faire quoi en fait ?


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#3 17/12/2021 12:11:05

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

Nicosss a écrit :

Tu veux faire quoi en fait ?

Bonjour Nicosss:-),
en fait, j'obtiens ceci:
9l7n.png
et je voudrais que tout soit vert. L'ordi est bien en DMZ.
Merci.
Je précise que j'y étais déjà parvenu, mais avec F35 pas moyen. J'ai du loupé quelque chose.
a+.
pll

Hors ligne

#4 17/12/2021 14:19:13

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

C'est assez étrange tes ports ouverts.

Le service tourne ?

$ systemctl status firewalld.service

F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#5 17/12/2021 14:33:53

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

Oui, c'est assez étrange !

$ systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
     Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor>
     Active: active (running) since Fri 2021-12-17 13:27:59 CET; 3min 43s ago
       Docs: man:firewalld(1)
   Main PID: 1253 (firewalld)
      Tasks: 2 (limit: 4644)
     Memory: 40.8M
        CPU: 1.969s
     CGroup: /system.slice/firewalld.service
             └─1253 /usr/bin/python3 -s /usr/sbin/firewalld --nofork --nopid

Warning: some journal files were not opened due to insufficient permissions.
lines 1-12/12 (END)

Le service tourne bien. Merci pour ton aide.
a+
pll

Hors ligne

#6 17/12/2021 16:46:39

Refuznik
Membre
Inscription : 31/01/2007
Messages : 8 079

Re : [Résolu] Configuration parefeu ?!

Juste comme ça ce ne serait pas les ports ouvert de ta box ?

Hors ligne

#7 17/12/2021 18:27:06

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

Refuznik a écrit :

Juste comme ça ce ne serait pas les ports ouvert de ta box ?

En effet, l'outil se base par rapport à une IP internet donc il regarde tout ce qui est à côté aussi aussi.

Le mieux est d'utiliser nmap sur ton réseau.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#8 17/12/2021 18:50:21

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

Bonne idée,
J'ai lancé nmap vers la cible depuis un autre ordi sur le même réseau local.

$ nmap 192.168.1.xx
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-17 17:42 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.06 seconds
$ 

Que peut on conclure de ce résultat ?
Bonne soirée.
pll

Hors ligne

#9 17/12/2021 19:10:32

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

La même chose sans le parefeu:

$ nmap 192.168.1.xx
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-17 18:04 CET
Nmap scan report for gypsy.home (192.168.1.22)
Host is up (0.033s latency).
All 1000 scanned ports on gypsy.home (192.168.1.22) are closed

Nmap done: 1 IP address (1 host up) scanned in 0.45 seconds
$ 

Hors ligne

#10 17/12/2021 21:14:41

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

Tu n'as aucun service réseau qui tourne sur ta machine ?

Tu peux tenter

$ sudo nmap -v -O --osscan-guess 192.168.1.22

F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#11 17/12/2021 23:47:47

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

Nicosss a écrit :

Tu n'as aucun service réseau qui tourne sur ta machine ?

Si, SpiderOakOne.

# nmap -v -O --osscan-guess 192.168.1.22
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-17 22:39 CET
Initiating ARP Ping Scan at 22:39
Scanning 192.168.1.22 [1 port]
Completed ARP Ping Scan at 22:39, 0.10s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:39
Completed Parallel DNS resolution of 1 host. at 22:39, 0.00s elapsed
Initiating SYN Stealth Scan at 22:39
Scanning gypsy.home (192.168.1.22) [1000 ports]
Completed SYN Stealth Scan at 22:39, 13.92s elapsed (1000 total ports)
Initiating OS detection (try #1) against gypsy.home (192.168.1.22)
Retrying OS detection (try #2) against gypsy.home (192.168.1.22)
Nmap scan report for gypsy.home (192.168.1.22)
Host is up (0.018s latency).
All 1000 scanned ports on gypsy.home (192.168.1.22) are filtered
MAC Address: 00:22:5F:8E:A7:xx (Liteon Technology)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

Read data files from: /usr/bin/../share/nmap
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.07 seconds
           Raw packets sent: 2022 (92.084KB) | Rcvd: 27 (2.580KB)
# 

Un diagnostic Docteur ?:roll:
a+
pll

Hors ligne

#12 18/12/2021 14:46:40

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

Tu n'as rien d'ouvert en écoute.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#13 18/12/2021 19:05:23

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

Nicosss a écrit :

Tu n'as rien d'ouvert en écoute.

Merci Nicosss, j'en déduit que les tous ports sont masqués.

Hors ligne

#14 18/12/2021 19:52:06

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

pierrotlalune a écrit :
Nicosss a écrit :

Tu n'as rien d'ouvert en écoute.

Merci Nicosss, j'en déduit que les tous ports sont masqués.

J'dirais plus fermés comme il n'y a pas de réponse.

Tu peux toujours en ouvrir 1 et tu verras.

Sinon tu peux faire pleins d'autres tests

$ man nmap

F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#15 18/12/2021 20:53:11

pierrotlalune
Membre
Lieu : Sousceyrac (46)
Inscription : 31/10/2011
Messages : 846

Re : [Résolu] Configuration parefeu ?!

Bonsoir Nicosss,

# nmap -sS 192.168.1.22
Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-18 19:42 CET
Nmap scan report for gypsy.home (192.168.1.22)
Host is up (0.0017s latency).
All 1000 scanned ports on gypsy.home (192.168.1.22) are filtered
MAC Address: 00:22:5F:8E:A7:0B (Liteon Technology)

Nmap done: 1 IP address (1 host up) scanned in 5.24 seconds
[root@tales ~]# 

Dans le man nmap il est écrit ceci:

.........................................................................................................
filtré (filtered)
           Nmap ne peut pas toujours déterminer si un port est ouvert car les
           dispositifs de filtrage des paquets empêchent les paquets de tests
           (probes) d'atteindre leur port cible. Le dispositif de filtrage
           peut être un pare-feu dédié, des règles de routeurs filtrants ou un
           pare-feu logiciel. Ces ports ennuient les attaquants car ils ne
           fournissent que très peu d'informations. Quelques fois ils
           répondent avec un message d'erreur ICMP de type 3 code 13 («
           destination unreachable: communication administratively prohibited
           »), mais les dispositifs de filtrage qui rejettent les paquets sans
           rien répondre sont bien plus courants. Ceci oblige Nmap à essayer
           plusieurs fois au cas où ces paquets de tests seraient rejetés à
           cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti
           terriblement les choses.
...................................................................................................................

Je pense que la protection est satisfaisante.;-). Merci à toi.
Bonne soirée.
pll

Hors ligne

#16 18/12/2021 21:40:44

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 371
Site Web

Re : [Résolu] Configuration parefeu ?!

Parfait, et puis comme ça tu pourras faire d'autres tests en déplacement.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

Pied de page des forums