Tant mieux si c’est plus clair pour toi. Je trouve toujours que tes règles LOG sont bizarres : tantôt tu mentionnes la chaîne, tantôt la cible…
Leur sort dépend des règles suivantes ou de la politique par défaut de la chaîne de base. Mais dans ce cas il sont pas loggés.
Salut,
[quote=“PascalHambourg”]Tant mieux si c’est plus clair pour toi. Je trouve toujours que tes règles LOG sont bizarres : tantôt tu mentionnes la chaîne, tantôt la cible…
Leur sort dépend des règles suivantes ou de la politique par défaut de la chaîne de base. Mais dans ce cas il sont pas loggés.[/quote]
Très bien, il me faut donc une règle pour chaque chaîne de base si je souhaite tout logger!
Je révise mon “pâté” une dernière fois en espérant m’en sortir.
Merci beaucoup.
Une base pourrait être la suivante, à adapter :
[code]-N input_accept
-A input_accept -j LOG --log-prefix "INPUT ACCEPT "
-A input_accept -j ACCEPT
-N input_drop
-A input_drop -j LOG --log-prefix "INPUT DROP "
-A input_drop -j DROP
-N output_accept
-A output_accept -j LOG --log-prefix "OUTPUT ACCEPT "
-A output_accept -j ACCEPT
-N output_drop
-A output_drop -j LOG --log-prefix "OUTPUT DROP "
-A output_drop -j DROP
-N forward_accept
-A forward_accept -j LOG --log-prefix "FORWARD ACCEPT "
-A forward_accept -j ACCEPT
-N forward_drop
-A forward_drop -j LOG --log-prefix "FORWARD DROP "
-A forward_drop -j DROP
-A INPUT […] -j input_accept
-A INPUT […] -j input_drop
-A OUTPUT […] -j output_accept
-A OUTPUT […] -j output_drop
-A FORWARD […] -j forward_accept
-A FORWARD […] -j forward_drop[/code]
Salut,
Merci de ta patience, c’est parfait comme ça! 
si tu utilise ulog voila une petite commande faite par un débutant en shell (surtout avec awk et sed …)
Salut
Je remonte le sujet.
J’ai utilisé Installation parefeu (iptables) “pour les nuls” pour configurer mon parefeu quand j’étais sur lenny.
Mais au passage de Squeeze j’ai eu un petit problème avec insserv.
Après avoir tenté de faire
le résultat était :
# ls /etc/rcS.d/
# S01monParefeu ...
# ls /etc/rc0.d/
# ... K01monParefeu ...J’ai réglé le problème en modifiant l’entête :
### BEGIN INIT INFO
# Provides: monParefeu
# Required-Start: mountall
# Required-Stop: $local_fs
# Should-Start:
# Should-Stop:
# X-Start-Before: networking
# X-Stop-After: networking
# Default-Start: S
# Default-Stop: 0 6
# Short-Description: Start firewall
# Description: ajoute les régles iptables.
### END INIT INFpuis faire un
Je ne sais pas si c’est bien correct, mais il démarre avant networking et s’arrête après networking.
[quote=“gaston”]…
Je ne sais pas si c’est bien correct, mais il démarre avant networking et s’arrête après networking.[/quote]
C’est le but recherché donc c’est bon.
Merci 
Par contre je pense qu’il faudra mettre à jour le tuto Installation parefeu (iptables) “pour les nuls”.
Maintenant que Squeeze est stable.
[quote=“gaston”]Merci
Par contre je pense qu’il faudra mettre à jour le tuto Installation parefeu (iptables) “pour les nuls”.
Maintenant que Squeeze est stable.[/quote]
Oui, je vais écrire quelque part qu’il faut que j’essaie de penser à le faire …
[quote=“mattotop”]et as tu dejà trouvé des forums windows aussi facile et pointu que celui sur lequel nous causons ?
Combien de fois quelqu’un t’a fourni une réponse utilisable sur un forum windows ?[/quote]
Bonjour, faudrais quand même pas exagérer hein. Linux c’est bien, top même mais faut arrêter de dénigrer Windows. Si je suis passé à Linux, ce n’est pas parce que je n’aime pas Windows au contraire faut savoir reconnaître les importants progrès de Windows7. Après bon faut s’y connaître un minimum notamment pour désactiver les services inutiles laissant des ports ouverts pour rien. Savoir ce qu’est que le registre pour ne pas faire de bourde, savoir ce que l’on fait avant de foncer tête baissée etc…
Et enfin je parlerais simplement du forum pcastuces sans mettre de lien pour ne pas trop faire pub car là n’est pas le but. Ce forum est animé par toute une communauté de passionnés qui savent répondre clairement de manière précise et au cas par cas. Sinon rarement eu besoin de la base de connaissances Microsoft mais la plupart des fois où j’y suis allé pour un renseignement, j’ai trouvé réponse à ma question. Voilà et j’ai 25 ans d’info derrière moi. Autant dire que c’était pour des problèmes peu courants et pourtant comme quoi …
[quote=“OlivierD”]
Bonjour, faudrais quand même pas exagérer hein. Linux c’est bien, top même mais faut arrêter de dénigrer Windows. Si je suis passé à Linux, ce n’est pas parce que je n’aime pas Windows au contraire faut savoir reconnaître les importants progrès de Windows7. Après bon faut s’y connaître un minimum notamment pour désactiver les services inutiles laissant des ports ouverts pour rien. Savoir ce qu’est que le registre pour ne pas faire de bourde, savoir ce que l’on fait avant de foncer tête baissée etc…
Et enfin je parlerais simplement du forum pcastuces sans mettre de lien pour ne pas trop faire pub car là n’est pas le but. Ce forum est animé par toute une communauté de passionnés qui savent répondre clairement de manière précise et au cas par cas. Sinon rarement eu besoin de la base de connaissances Microsoft mais la plupart des fois où j’y suis allé pour un renseignement, j’ai trouvé réponse à ma question. Voilà et j’ai 25 ans d’info derrière moi. Autant dire que c’était pour des problèmes peu courants et pourtant comme quoi …[/quote]
Bon je cite ton pavé ( j’ai pas envie de trier ) mais attention quand tu cite quelqu’un qui à poster un message il y a déjà pas mal de temps surtout qu’a l’époque matt était vraiment au top 
PCastuces … 
… c’est vendredi faut dire 
Ici ce que l’on dénigre fortement c’est tant l’OS que la politique de l’entreprise qui le publie, même si effectivement des ecran bleu j’en ai pas eu légion il y a tout de même une très grosse différence au niveau optimisation ( windaube n’a jamais été fait pour être réellement optimisé, tout du moins par la dite entreprise ).
[quote=“Clochette”]
PCastuces … … c’est vendredi faut dire [/quote]
Mais qu’est ce qu’elle a la fée clochette contre PC Astuces ? Faut dire ce qui est, les sujets marqués comme résolus sont légion pour reprendre ton terme employé. C’est un site destiné aux débutants n’empêche qu’il est à la hauteur de ce que l’on peut attendre d’un forum où règne réellement l’esprit d’entraide.
Oui un bel exemple avec Vista, une catastrophe mais bon je ne pense pas que Windows mérite pour autant d’être rabaissé.
Linux n’est pas mieux si on veut se lancer dans la critique pure et dure avec sa complexité d’usage qui ne sera jamais optimisé lui pour des débutants. Il y a du bon et du mauvais dans chaque OS !
Bon je vais clore…
Venir déterrer une phrase sortie de son contexte 6 ans plus tard pour faire de la provocation, c’est parfaitement inutile.
Et sur un sujet parlant de iptables, faut-il le rappeler…
Tu veux parler de iptables, tu es le bienvenue, tu es venu chercher des noises, passe ton chemin.
Dernier avertisement avant sanction OlivierD.
PCastuces…
Bonjour!
Je viens de tomber sur ça : debian.org/doc/manuals/secur … es.fr.html
Section “5.14.3.2 Configuration manuelle init.d”
Qu’en pensez-vous? Je trouve le script proposé intéressant, car il ne se base pas sur une configuration enregistrée dans un fichier (j’ai rencontré des soucis lors du passage du noyau 2.6.32 à 2.6.38 qui n’utilisait pas les mêmes règles).
De plus, il propose un minimum de log.
Salut,
C’est juste une amélioration du code, pas de différence au niveau des règles ipatbles ? paste.isalo.org/60
Gaston, ici: message350211.html#p350211
Proposait une modification de l’entête du script… Vous en pensez quoi ?
Je reviens parler du lien de sécurisation debian qui proposait un script pour mettre en place les règles iptables.
Après relecture, certaines choses étaient obsolètes ou inadaptées pour le parefeu “pour les nuls” dont parle ce fil.
J’ai donc essayé de le modifier, voici le résultat qui mérite sûrement correction :
paste.isalo.org/61
Pourquoi ce script plutôt que celui du fil? :
Il n’utilise pas iptables-save et iptables-restore. Je préfère faire les choses ainsi, car lorsque j’ai changé de noyau, les règles iptables ne correspondaient plus, si bien que à l’extinction, le fichier /etc/config_parefeu était vide, et au redémarrage suivant, il n’y avait donc plus de protection.
Ainsi, ce souci est évité.
Il permet de définir plusieurs port à ouvrir facilement
Il loggue les erreurs du parefeu : pratique lorsque l’on a logwatch d’installé, qui enverra un mail quotidien pour prévenir des erreurs
Quelques lignes à décommenter et on limite aussi la sortie.
Quelques réserves toutefois sur la partie “stop” du script.
[quote=“lol”]Gaston, ici: message350211.html#p350211
Proposait une modification de l’entête du script… Vous en pensez quoi ?[/quote]
Ça m’a l’air une bonne idée, et ça évite aux “nuls” à qui est adressé ce fil de devoir taper des commandes difficiles pour savoir quels chiffres entrer lors du update-rc.d. Reste à vérifier que tout est correct, ce qui dépasse mes compétences.
[quote=“thuban”][quote=“lol”]Gaston, ici: message350211.html#p350211
Proposait une modification de l’entête du script… Vous en pensez quoi ?[/quote]
Ça m’a l’air une bonne idée, et ça évite aux “nuls” à qui est adressé ce fil de devoir taper des commandes difficiles pour savoir quels chiffres entrer lors du update-rc.d. Reste à vérifier que tout est correct, ce qui dépasse mes compétences.[/quote]
Pareil pour moi… Enfin, plutôt le flemme de chercher et tester… 
Il m’a l’air bien cool ton script Thuban! Je vais le tester de ce pas…