--=-XpA24c9VKo4Ha0T/uMyi
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit
Bonjour, Le 09/11/2020 Í 20:14, Gaëtan Perrier a écrit :
Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires qui sont ouverts ?
Sur le serveur utilise la commande ss ou netstat (deprecated, il faut installer le paquet net-tools). Pour test depuis une machine distante, un scan de port avec nmap (paquet éponyme). -- Manu
Bonjour,
Le 09/11/2020 Í 20:14, Gaëtan Perrier a écrit :
Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires
qui sont ouverts ?
Sur le serveur utilise la commande ss ou netstat (deprecated, il faut
installer le paquet net-tools).
Pour test depuis une machine distante, un scan de port avec nmap (paquet
éponyme).
Bonjour, Le 09/11/2020 Í 20:14, Gaëtan Perrier a écrit :
Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires qui sont ouverts ?
Sur le serveur utilise la commande ss ou netstat (deprecated, il faut installer le paquet net-tools). Pour test depuis une machine distante, un scan de port avec nmap (paquet éponyme). -- Manu
Daniel Caillibaud
Le 09/11/20 Í 12h50, Belaͯd a écrit :
Même sur un serveur ça sert. Faire du NAT par exemple avec des conteneurs ou VM installées sur le serveur.
Certes, mais pour ça pas besoin d'installer de surcouche Í nftables (la question était firewalld ou ufw), en général c'est d'ailleurs une commande en pre-up/post-down de la vm. Dans mon cas je ne l'utilise que pour autoriser une vm Í sortir vers internet, car dans l'autre sens c'est plutÍ´t un frontal avec une ip publique qui fait suivre Í la bonne vm sur son ip privée, sans nat, mais y'a sÍ»rement plein d'autres cas o͹ du NAT se justifie.
Même chose si tu veux par exemple router toutes tes communications Í travers un VPN personnalisé ou Í travers le réseau tor comme proxy ...
LÍ je vois moins, ce serait pour empêcher une vm de sortir en dehors de tor|vpn ? C'est pas réglé en lui filant une interface déjÍ dans le vpn ? Mais si tu en parles je suppose que tu as déjÍ croisé ce cas d'usage et que ça se justifie. -- Daniel Je ne prendrai pas de calendrier cette année, car j'ai été très mécontent de celui de l'année dernière ! Alphonse Allais
Le 09/11/20 Í 12h50, Belaͯd <oblivion.ikiub@gmail.com> a écrit :
Même sur un serveur ça sert. Faire du NAT par exemple avec des conteneurs
ou VM installées sur le serveur.
Certes, mais pour ça pas besoin d'installer de surcouche Í nftables (la
question était firewalld ou ufw), en général c'est d'ailleurs une commande
en pre-up/post-down de la vm.
Dans mon cas je ne l'utilise que pour autoriser une vm Í sortir vers
internet, car dans l'autre sens c'est plutÍ´t un frontal avec une ip
publique qui fait suivre Í la bonne vm sur son ip privée, sans nat, mais y'a
sͻrement plein d'autres cas o͹ du NAT se justifie.
Même chose si tu veux par exemple router
toutes tes communications Í travers un VPN personnalisé ou Í travers le
réseau tor comme proxy ...
LÍ je vois moins, ce serait pour empêcher une vm de sortir en dehors de
tor|vpn ?
C'est pas réglé en lui filant une interface déjÍ dans le vpn ?
Mais si tu en parles je suppose que tu as déjÍ croisé ce cas d'usage et
que ça se justifie.
--
Daniel
Je ne prendrai pas de calendrier cette année,
car j'ai été très mécontent de celui de l'année dernière !
Alphonse Allais
Même sur un serveur ça sert. Faire du NAT par exemple avec des conteneurs ou VM installées sur le serveur.
Certes, mais pour ça pas besoin d'installer de surcouche Í nftables (la question était firewalld ou ufw), en général c'est d'ailleurs une commande en pre-up/post-down de la vm. Dans mon cas je ne l'utilise que pour autoriser une vm Í sortir vers internet, car dans l'autre sens c'est plutÍ´t un frontal avec une ip publique qui fait suivre Í la bonne vm sur son ip privée, sans nat, mais y'a sÍ»rement plein d'autres cas o͹ du NAT se justifie.
Même chose si tu veux par exemple router toutes tes communications Í travers un VPN personnalisé ou Í travers le réseau tor comme proxy ...
LÍ je vois moins, ce serait pour empêcher une vm de sortir en dehors de tor|vpn ? C'est pas réglé en lui filant une interface déjÍ dans le vpn ? Mais si tu en parles je suppose que tu as déjÍ croisé ce cas d'usage et que ça se justifie. -- Daniel Je ne prendrai pas de calendrier cette année, car j'ai été très mécontent de celui de l'année dernière ! Alphonse Allais
Sébastien NOBILI
Bonjour, Le 2020-11-09 12:29, NoSpam a écrit :
Le 09/11/2020 Í 11:41, Sébastien NOBILI a écrit :
(J'ai commencé Í regarder nftables et j'envisage de me passer de surcouche Í l'avenir, mais je n'ai pas suffisamment avancé pour avoir quelque chose de pertinent Í proposer) [...]
Pour ceux que cela intéresse j'ai développé sfw (SimpleFireWall, une série de scripts sh) basé sur nftables. Testé sur serveurs Debian et Ubuntu ainsi que sur Desktop et portablesDebian/Ubuntu. IPv4 et IPv6. Livré sans garantie ;)
Je ne pense pas que ça m'intéresse pour l'utiliser (car, comme je l'ai écrit, je compte me passer d'intermédiaire et donc écrire mes propres scripts), mais ça m'intéresse fortement comme source d'inspiration :) C'est sur un repo public ? Si oui je veux bien l'URL. Merci. Sébastien
Bonjour,
Le 2020-11-09 12:29, NoSpam a écrit :
Le 09/11/2020 Í 11:41, Sébastien NOBILI a écrit :
(J'ai commencé Í regarder nftables et j'envisage de me passer de
surcouche Í l'avenir, mais je n'ai pas suffisamment avancé pour avoir
quelque chose de pertinent Í proposer)
[...]
Pour ceux que cela intéresse j'ai développé sfw (SimpleFireWall, une
série de scripts sh) basé sur nftables. Testé sur serveurs Debian et
Ubuntu ainsi que sur Desktop et portablesDebian/Ubuntu. IPv4 et IPv6.
Livré sans garantie ;)
Je ne pense pas que ça m'intéresse pour l'utiliser (car, comme je l'ai
écrit, je compte me passer d'intermédiaire et donc écrire mes propres
scripts), mais ça m'intéresse fortement comme source d'inspiration :)
C'est sur un repo public ? Si oui je veux bien l'URL.
Le 09/11/2020 Í 11:41, Sébastien NOBILI a écrit :
(J'ai commencé Í regarder nftables et j'envisage de me passer de surcouche Í l'avenir, mais je n'ai pas suffisamment avancé pour avoir quelque chose de pertinent Í proposer) [...]
Pour ceux que cela intéresse j'ai développé sfw (SimpleFireWall, une série de scripts sh) basé sur nftables. Testé sur serveurs Debian et Ubuntu ainsi que sur Desktop et portablesDebian/Ubuntu. IPv4 et IPv6. Livré sans garantie ;)
Je ne pense pas que ça m'intéresse pour l'utiliser (car, comme je l'ai écrit, je compte me passer d'intermédiaire et donc écrire mes propres scripts), mais ça m'intéresse fortement comme source d'inspiration :) C'est sur un repo public ? Si oui je veux bien l'URL. Merci. Sébastien