firewalld ou ufw

Le
Gaëtan Perrier
--=-XpA24c9VKo4Ha0T/uMyi
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld, lequel est
le plus pertinent ?
J'aurai tendance ̓  dire ufw vu que si j'ai bien compris l'avantage de firewalld
c'est de pouvoir g̓©rer plusieurs jeux de conf ce qui est utile pour une machine
nomade mais pas pour un serveur. Mais je me trompe peut-̓ªtre ?

Ga̓«tan

--=-XpA24c9VKo4Ha0T/uMyi
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit

--BEGIN PGP SIGNATURE--

iQEzBAABCgAdFiEEd7zcTjS9jiJYzB4MTEjQapSg6ZkFAl+nIwEACgkQTEjQapSg
6Zl96QgAoRf7tRl0D800OQSMXFVziPoKtir2ahgY7J/3P82616jgvpcBD/xlRiLh
VlUfDK9Uqh+/RMY9+apaMmezem7lQm8ZxEIzNM8w3pSyLBHpByAUpAFj4O3fz1nI
uQ80/9MP9jqivDOLRjz7QYGMf+rNjczMgQZrZmfERJI3uiX3LZ18KvB/pyW2pegF
T1SBubk/BcMKAjRgweaP9kqvYneuZPqAvB+yMPZ+Dzi/2zLTO4muiImgu53+eZSy
4PTj9k4Ep6/r3uiWBJ7eE4N/UbNUaWsTX0sVW0E/xkJY965nJwCWpzy+BmYYoPpo
c9DqrjSG3SHWVgpNPkhJ/ohsIKA61A==0i/b
--END PGP SIGNATURE--

--=-XpA24c9VKo4Ha0T/uMyi--
  • Partager ce contenu :
Vos réponses Page 1 / 2
Trier par : date / pertinence
Bela̓¯d
Le #26558935
--000000000000c27fc605b394469e
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
Si tu veux faire les choses simplement ufw est tr̓¨s bien. Personnellement
j'utilise shorewall qui est plus adapt̓© ̓  mes besoins de configuration
interm̓©diaire
Le sam. 7 nov. 2020 23:43, Ga̓«tan Perrier
Bonjour,
Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,
lequel est
le plus pertinent ?
J'aurai tendance ̓  dire ufw vu que si j'ai bien compris l'avantage de
firewalld
c'est de pouvoir g̓©rer plusieurs jeux de conf ce qui est utile pour une
machine
nomade mais pas pour un serveur. Mais je me trompe peut-̓ªtre ?
Ga̓«tan


--000000000000c27fc605b394469e
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<br>
Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld, lequel est<br>
le plus pertinent ?<br>
J&#39;aurai tendance ̓  dire ufw vu que si j&#39;ai bien compris l&#39;avantage de firewalld<br>
c&#39;est de pouvoir g̓©rer plusieurs jeux de conf ce qui est utile pour une machine<br>
nomade mais pas pour un serveur. Mais je me trompe peut-̓ªtre ?<br>
<br>
Ga̓«tan<br>
</div>
--000000000000c27fc605b394469e--
Gaëtan Perrier
Le #26558958
--=-UTKk2TMV6eZ9qhWxW0qo
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
Je ne connaissais pas shorewall. Qu'est-ce qui t'as fait d'orienter vers lui ?
Ga̓«tan
Le dimanche 08 novembre 2020 ̓  09:31 +0100, Bela̓¯d a ̓©crit :
Bonjour,
Si tu veux faire les choses simplement ufw est tr̓¨s bien. Personnellement
j'utilise shorewall qui est plus adapt̓© ̓  mes besoins de configuration
interm̓©diaire
Le sam. 7 nov. 2020 23:43, Ga̓«tan Perrier
Bonjour,
Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld, lequel
est
le plus pertinent ?
J'aurai tendance ̓  dire ufw vu que si j'ai bien compris l'avantage de
firewalld
c'est de pouvoir g̓©rer plusieurs jeux de conf ce qui est utile pour une
machine
nomade mais pas pour un serveur. Mais je me trompe peut-̓ªtre ?
Ga̓«tan



--=-UTKk2TMV6eZ9qhWxW0qo
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNATURE-----
iQEzBAABCgAdFiEEd7zcTjS9jiJYzB4MTEjQapSg6ZkFAl+n+RUACgkQTEjQapSg
6Zn1wQgAoqMqKBxaOQ7kaasGeoO9XC5Dph1+VDkuAMhonh1Q/yCZc/1TNsdpEG/c
AyIeXZgMrr+cPNPBhe8d4zmqfsnObIaqHW8VkjCS35lUOSs/r3n76ATveS6ZeiZX
pfd3eeMuOv6omJLs6H+MlSVvyB2ZOzqHEV9dxaXCN3ZBl36zsedI85C20Wpm53BK
IT0cz63abb3CxWzQ9k/h93bIpvGZA0CVU/e4Ap64zsNAyZN2jsZQ4nMHE3+QSpWe
DkxZjGyjzmJAxdzmdo6p/R+dzXG3K0CYClN7vOy4lfZpuZaTEBU/oAaOQUlebc6I
KCv52xHqqIZrrFD3umz0QmB/igQR8g==Xlus
-----END PGP SIGNATURE-----
--=-UTKk2TMV6eZ9qhWxW0qo--
Bela̓¯d
Le #26558978
--000000000000e76b2705b399f43b
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Surtout la configuration assez logique sous forme de plusieurs fichiers de
conf selon les besoins et sc̓©narios , permet le r̓©gulation de flux ...
Le dim. 8 nov. 2020 14:57, Ga̓«tan Perrier
Bonjour,
Je ne connaissais pas shorewall. Qu'est-ce qui t'as fait d'orienter vers
lui ?
Ga̓«tan
Le dimanche 08 novembre 2020 ̓  09:31 +0100, Bela̓¯d a ̓©crit :
Bonjour,
Si tu veux faire les choses simplement ufw est tr̓¨s bien. Personnellement
j'utilise shorewall qui est plus adapt̓© ̓  mes besoins de configuration
interm̓©diaire
Le sam. 7 nov. 2020 23:43, Ga̓«tan Perrier

̓©crit :
> Bonjour,
>
> Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,

lequel
> est
> le plus pertinent ?
> J'aurai tendance ̓  dire ufw vu que si j'ai bien compris l'avantage de
> firewalld
> c'est de pouvoir g̓©rer plusieurs jeux de conf ce qui est utile pour une
> machine
> nomade mais pas pour un serveur. Mais je me trompe peut-̓ªtre ?
>
> Ga̓«tan



--000000000000e76b2705b399f43b
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<br>
Je ne connaissais pas shorewall. Qu&#39;est-ce qui t&#39;as fait d&#39;orienter vers lui ?<br>
<br>
Ga̓«tan<br>
<br>
Le dimanche 08 novembre 2020 ̓  09:31 +0100, Bela̓¯d a ̓©crit :<br>
&gt; Bonjour,<br>
&gt; <br>
&gt; Si tu veux faire les choses simplement ufw est tr̓¨s bien. Personnellement<br>
&gt; j&#39;utilise shorewall qui est plus adapt̓© ̓  mes besoins de configuration<br>
&gt; interm̓©diaire<br>
&gt; <br>
&gt; Le sam. 7 nov. 2020 23:43, Ga̓«tan Perrier &lt; &gt; &gt; Bonjour,<br>
&gt; &gt; <br>
&gt; &gt; Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld, lequel<br>
&gt; &gt; est<br>
&gt; &gt; le plus pertinent ?<br>
&gt; &gt; J&#39;aurai tendance ̓  dire ufw vu que si j&#39;ai bien compris l&#39;avantage de<br>
&gt; &gt; firewalld<br>
&gt; &gt; c&#39;est de pouvoir g̓©rer plusieurs jeux de conf ce qui est utile pour une<br>
&gt; &gt; machine<br>
&gt; &gt; nomade mais pas pour un serveur. Mais je me trompe peut-̓ªtre ?<br>
&gt; &gt; <br>
&gt; &gt; Ga̓«tan<br>
<br>
</div></div></div>
--000000000000e76b2705b399f43b--
Sébastien NOBILI
Le #26559060
Bonjour,
Le 2020-11-08 09:31, Belaͯd a écrit :
Si tu veux faire les choses simplement ufw est très bien.
Personnellement j'utilise shorewall qui est plus adapté Í  mes
besoins de configuration intermédiaire

Attention, Linux est en train de migrer de iptables Í  nftables.
Shorewall ne passera pas Í  nftables [1]. (Je ne sais pas ce qu'il en
est de ufw).
Aujourd'hui, pour un nouveau besoin il vaut donc mieux aller chercher
ailleurs. Quant Í  l'existant, il faut envisager sa migration.
(J'ai commencé Í  regarder nftables et j'envisage de me passer de
surcouche Í  l'avenir, mais je n'ai pas suffisamment avancé pour avoir
quelque chose de pertinent Í  proposer)
1: https://sourceforge.net/p/shorewall/mailman/message/35458915/
Sébastien
Daniel Caillibaud
Le #26559065
Le 07/11/20 Í  23h43, Gaëtan Perrier
Pour un serveur sous debian 10 Í  votre avis, entre ufw et firewalld,
lequel est le plus pertinent ?

As-tu vraiment besoin d'un firewall sur un serveur ?
Ce serait pour bloquer quoi ? Car Í  priori, si un port est ouvert sur une
ip publique d'un serveur, c'est pour être ouvert…
Il y a qq cas o͹ ça se justifie, par ex si on utilise l'ip publique pour de
la communication qui devrait rester privée, parce qu'on a pas d'ip privée,
mais ça reste assez rare.
--
Daniel
Toute technique est mise au point, utilisée, importante, obsolète,
standardisée puis comprise.
NoSpam
Le #26559066
Bonjour
Le 09/11/2020 Í  11:41, Sébastien NOBILI a écrit :
Bonjour,
Le 2020-11-08 09:31, Belaͯd a écrit :
Si tu veux faire les choses simplement ufw est très bien.
Personnellement j'utilise shorewall qui est plus adapté Í  mes
besoins de configuration intermédiaire

Attention, Linux est en train de migrer de iptables Í  nftables.
Shorewall ne passera pas Í  nftables [1]. (Je ne sais pas ce qu'il en
est de ufw).
Aujourd'hui, pour un nouveau besoin il vaut donc mieux aller chercher
ailleurs. Quant Í  l'existant, il faut envisager sa migration.
(J'ai commencé Í  regarder nftables et j'envisage de me passer de
surcouche Í  l'avenir, mais je n'ai pas suffisamment avancé pour avoir
quelque chose de pertinent Í  proposer)
[...]

Pour ceux que cela intéresse j'ai développé sfw (SimpleFireWall, une
série de scripts sh) basé sur nftables. Testé sur serveurs Debian et
Ubuntu ainsi que sur Desktop et portablesDebian/Ubuntu. IPv4 et IPv6.
Livré sans garantie ;)
--
Daniel
Bela̓¯d
Le #26559067
--00000000000049dbca05b3ab2d6b
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
M̓ªme sur un serveur ̓§a sert. Faire du NAT par exemple avec des conteneurs
ou VM install̓©es sur le serveur. M̓ªme chose si tu veux par exemple router
toutes tes communications ̓  travers un VPN personnalis̓© ou ̓  travers le
r̓©seau tor comme proxy ...
Le lun. 9 nov. 2020 12:31, Daniel Caillibaud
Le 07/11/20 ̓  23h43, Ga̓«tan Perrier
Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,
lequel est le plus pertinent ?

As-tu vraiment besoin d'un firewall sur un serveur ?
Ce serait pour bloquer quoi ? Car ̓  priori, si un port est ouvert sur une
ip publique d'un serveur, c'est pour ̓ªtre ouvertÍ¢€¦
Il y a qq cas o̓¹ ̓§a se justifie, par ex si on utilise l'ip publique pour de
la communication qui devrait rester priv̓©e, parce qu'on a pas d'ip priv̓©e,
mais ̓§a reste assez rare.
--
Daniel
Toute technique est mise au point, utilis̓©e, importante, obsol̓¨te,
standardis̓©e puis comprise.


--00000000000049dbca05b3ab2d6b
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
&gt; Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,<br>
&gt; lequel est le plus pertinent ?<br>
<br>
As-tu vraiment besoin d&#39;un firewall sur un serveur ?<br>
<br>
Ce serait pour bloquer quoi ? Car ̓  priori, si un port est ouvert sur une<br>
ip publique d&#39;un serveur, c&#39;est pour ̓ªtre ouvertÍ¢€¦<br>
<br>
Il y a qq cas o̓¹ ̓§a se justifie, par ex si on utilise l&#39;ip publique pour de<br>
la communication qui devrait rester priv̓©e, parce qu&#39;on a pas d&#39;ip priv̓©e,<br>
mais ̓§a reste assez rare.<br>
<br>
-- <br>
Daniel<br>
<br>
Toute technique est mise au point, utilis̓©e, importante, obsol̓¨te,<br>
standardis̓©e puis comprise.<br>
<br>
</div>
--00000000000049dbca05b3ab2d6b--
Gaëtan Perrier
Le #26559163
--=-pg0Bsfx/YDH6RIC6WPRz
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Le lundi 09 novembre 2020 ̓  12:31 +0100, Daniel Caillibaud a ̓©crit :
Le 07/11/20 ̓  23h43, Ga̓«tan Perrier
Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,
lequel est le plus pertinent ?

As-tu vraiment besoin d'un firewall sur un serveur ?

Euh bonne question. Je ne suis pas expert en serveur, c'est m̓ªme le premier que
je mets en route ;)
Je ma̓®trise plus le desktop.
Ce serait pour bloquer quoi ? Car ̓  priori, si un port est ouvert sur une
ip publique d'un serveur, c'est pour ̓ªtre ouvertÍ¢€¦

Pas faux. Dans ce cas comment v̓©rifier qu'il n'y a que des ports n̓©cessaires
qui sont ouverts ?
Ga̓«tan
--=-pg0Bsfx/YDH6RIC6WPRz
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNATURE-----
iQEzBAABCgAdFiEEd7zcTjS9jiJYzB4MTEjQapSg6ZkFAl+plTIACgkQTEjQapSg
6ZmDrgf+PFOcBNfnZh+q5/C1vwqod0akUGE6IitVbVoEJ3Y2rMCqTB9SkhjTx/Bi
bR4AgWcwsXOTs/qSC4AghIhpbjf9qVO15rZrMydJPgLEZWPYAF+cQYAG0uB05poc
rjD22Rt9f393jt5mtEDRLVqI4PIslYQQ62zrnoz83HaYSivUu5eglfzKdZlUOzqB
HrxvCLh+PiBDIB3AORXBDurM9O8O4lc5KiziiKfGv9bXnSrVqFtCSPVvCFYlsaPU
S6I60FhW9ULAR/OMHl3us8M2pxc/qoJt1d11SzUunPueOzqbUfAHYqT7InlF81BE
vRrEeVGryQzplh3E9popbqB0FSsJ3w==8Nmf
-----END PGP SIGNATURE-----
--=-pg0Bsfx/YDH6RIC6WPRz--
Gaëtan Perrier
Le #26559164
--=-K/VO8G3lRK448yGqpBPo
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Je n'en suis pas encore ̓  faire ce genre de chose. Pour l'instant c'est un
usage plut̓´t basique.
Le lundi 09 novembre 2020 ̓  12:50 +0100, Bela̓¯d a ̓©crit :
M̓ªme sur un serveur ̓§a sert. Faire du NAT par exemple avec des conteneurs ou
VM install̓©es sur le serveur. M̓ªme chose si tu veux par exemple router
toutes tes communications ̓  travers un VPN personnalis̓© ou ̓  travers le
r̓©seau tor comme proxy ...
Le lun. 9 nov. 2020 12:31, Daniel Caillibaud
Le 07/11/20 ̓  23h43, Ga̓«tan Perrier > Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,
> lequel est le plus pertinent ?
As-tu vraiment besoin d'un firewall sur un serveur ?
Ce serait pour bloquer quoi ? Car ̓  priori, si un port est ouvert sur une
ip publique d'un serveur, c'est pour ̓ªtre ouvertÍ¢€¦
Il y a qq cas o̓¹ ̓§a se justifie, par ex si on utilise l'ip publique pour de
la communication qui devrait rester priv̓©e, parce qu'on a pas d'ip priv̓©e,
mais ̓§a reste assez rare.



--=-K/VO8G3lRK448yGqpBPo
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNATURE-----
iQEzBAABCgAdFiEEd7zcTjS9jiJYzB4MTEjQapSg6ZkFAl+plYUACgkQTEjQapSg
6ZkQ+Qf/R8SztkwYqNgqmOQC6TFwzTEBMUPtS4rd7zjX14xoWVOzzILEbdWsOth4
MtORhRjnDP84c+KwC0QBrJHeT5GWDZhnMA3BljDjNqZ2uSqV2MaM/0e1Ot1Dm4SO
uTek2L37mvrJJeZxBDxeFv9GxRLKWSdoAt7+qtCKLddxNhAYcyRUR383bHavFeOA
lzmly6NbKrvrnl7JXJJoIVyXaEyofuMrCCibAznbmRUHeD5TYZzG87IRJmCO2CML
rRLqzygK4QWoSoKAyRwnIo/aahxY0HAqvol3G+X5d3h1uLHxFPocmnjqjm/v0/jt
Pfd35mc6AvvUmLudWC7GOqAqx2R5Kw==/dVV
-----END PGP SIGNATURE-----
--=-K/VO8G3lRK448yGqpBPo--
Jean-Marc
Le #26559170
--vELZaMuHuQClkOfHBtKGy9tK7D2VBlf8v
Content-Type: multipart/mixed; boundary="sI0Br9jTGTow5X4e4w9FefrFzas9i1m5Y"
--sI0Br9jTGTow5X4e4w9FefrFzas9i1m5Y
Content-Type: text/plain; charset=utf-8
Content-Language: fr
Content-Transfer-Encoding: quoted-printable
salut Ga̓«tan, salut la liste,
Le 9/11/20 ̓  20:14, Ga̓«tan Perrier a ̓©crit͂ :
Le lundi 09 novembre 2020 ̓  12:31 +0100, Daniel Caillibaud a ̓©crit :
Le 07/11/20 ̓  23h43, Ga̓«tan Perrier
Pour un serveur sous debian 10 ̓  votre avis, entre ufw et firewalld,
lequel est le plus pertinent ?

As-tu vraiment besoin d'un firewall sur un serveur ?

Euh bonne question. Je ne suis pas expert en serveur, c'est m̓ªme le premier que
je mets en route ;)
Je ma̓®trise plus le desktop.

Perso, j'utilisais ufw (uncomplicated firewall, pas compliqu̓©, comme
dans le nom). J'ai des besoins simples aussi (tout bloquer et ouvrir
juste le n̓©cessaire http/https/ssh, ̓  peu de chose pr̓¨s).
Suite au remplacement progressif de iptables par nftables (nftables sera
le defaut dans les prochaines versions de Debian et iptables est d̓©j̓ 
remplac̓© par une fa̓§ade ̓  nftables pour assurer la transition), je me
suis pench̓© sur nftables.
Et j'ai trouv̓© dans la doc des exemples de config assez simple ̓  mettre
en Å“uvre, notamment sur le wiki de nftables :
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page#Examples
Il suffit de remplacer le fichier /etc/nftables.conf par la config' qui
te convient et de d̓©marrer le service nftables.service.
Et voil̓  !
Ce serait pour bloquer quoi ? Car ̓  priori, si un port est ouvert sur une
ip publique d'un serveur, c'est pour ̓ªtre ouvertÍ¢€¦

Pas faux. Dans ce cas comment v̓©rifier qu'il n'y a que des ports n̓©cessaires
qui sont ouverts ?

Concernant les ports ouverts, tu as la commande <ss> qui te donnera tout
ce qu'il faut savoir.
Voici un exemple pour faire la liste de ce qui "̓©coute" en TCP et en UDP
et quel est le process qui ̓©coute :
sudo ss -tulnp
Ga̓«tan

Jean-Marc
--sI0Br9jTGTow5X4e4w9FefrFzas9i1m5Y--
--vELZaMuHuQClkOfHBtKGy9tK7D2VBlf8v
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
iHUEARYIAB0WIQQe1tJ1wH7aHlIabXRcceD57QuFWAUCX6m2fAAKCRBcceD57QuF
WIbmAPwIwk7MSyIhtAuX/K+Bi3mOBh984GmaOh0Ynq4bWuohwwD+McO50dfdLWRF
kltdo1wlH+D2+DORTcpsQ7bdiba/ogE=rVl5
-----END PGP SIGNATURE-----
--vELZaMuHuQClkOfHBtKGy9tK7D2VBlf8v--
Poster une réponse
Anonyme