(Courriels de diversion: <picotement@gaspillerions-mediatiseras.com> <contemplez@immoralisme-immobilieres.com> <decimant@comedie-commuer.com> <euphories@diametrales-arriere-train.com> <auditionneront@redonne-deboisant.com> <crepine@foudroyerent-grêles.com> <differences@assumerons-perclus.com> <rêvassez@latins-jouirent.com> <tactiles@apposons-destabilisa.com> <amendements@seduiriez-parcellises.com> )
Salut Philippe et tous, Bon effectivement je reconnais que tout ça était plutôt confu dans ma tête ! Maintenant je pense que ça va mieux après cette super explication. Et puis en plus tout ça me rassure tout de même ! Concernant par contre les règles de firewall j'avoue que je ne sais pas dire à la vue de iptables -L si ça correspond à ce que tu m'explique ou pas tout à fait. donc j'espère que c'est quand-même pas trop mal et que j'ai donc pas une véritable passoire ! Donc maintenant j'aimerais quand-même pouvoir supprimer les services qui sont là pour rien à savoir : discard, daytime, smtp, auth, time, sunrpc, printer, kdm ? peut-être quand-même que certains d'entre eux sont indispensables ? Le truc c'est que je ne sais pas à quoi tout ça correspond. et pour les supprimer faudrait regarder de quel côté ? Carément désinstaller certains trucs ? Merci pour toute l'aide que vous m'apportez. A+ -- Nath *********** REPLY SEPARATOR *********** On 08/07/02 at 09:59 Philippe Coulonges wrote: >Le Lundi 08 Juillet 2002 08:35, Nath a écrit : > >Je crois que ta question montre un peu de confusion dans l'usage du >firewall. > >Et en particulier, elle ne prend pas en compte le fait qu'une >communication se >fait à partir d'un port de départ, vers un port d'arrivée. > >Prenons l'exemple d'un navigateur. Il utilise un port de départ quelconque >et >non privilégié (>1024) pour s'adresser au port dédié au http (80) du >serveur. >Pour consulter une page web, tu n'a donc pas besoin d'ouvrir le port 80. >C'est uniquement lorsque tu désires installer un serveur que tu doit >établir >une règle l'autorisant. > >Mais avant de parler de règles particulières, il vaut mieux commencer avec >les >règles générales. Tu dois en avoir un jeu qui définit ta politique par >défaut. > >Pour faire simple, l'idéal c'est de laisser passer les réquêtes sortantes, >d'interdire par défaut le traffic entrant, sauf les paquets qui répondent >à >tes requêtes. > >Il faudrait donc que tu examine tes règles générales pour voir si tu as >quelque chose qui y correspond. > >Ça doit ressembler à quelque chose comme : >en INPUT >ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED (accepter ce >qui >répond à tes requêtes) >DROP all -- anywhere anywhere (refuser le reste en >entrée) > >en OUTPUT >ACCEPT all -- anywhere anywhere (tout accepter en sortie) > >Si tu as des règles de ce genre, le comportement que tu as constaté est >normal, même sans aucun port ouvert. Tu pourras naviguer, te connecter à >l'IRC, etc. Par contre nmap ne verra plus rien d'ouvert sur ta machine. > >Et après on peut paufiner. > >A+ >CPHIL > >-- >Et dire que chaque fois que nous votions pour eux >Nous faisions taire en nous ce cri : "ni Dieu ni maître" >Dont ils rient aujourd'hui puisqu'ils se sont faits Dieux >Et qu'une fois de plus nous nous sommes faits mettre. > -- Renaud > > >--------------------------------------------------------------------- >Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>>Le CULTe sur le web: <URL:http://www.CULTe.org/> ______________________________________________________________________________ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>