Page 1 sur 1

parametres ufw

Publié : 02 déc. 2014 23:28
par grenouille
Bonjour,
Voici la manière dont j'ai configuré mon parefeu ufw.
J'aimerai avoir votre avis: est-ce assez sécurisé? Pertinent? etc.

Code : Tout sélectionner

$sudo ufw status verbose
État : actif
Journalisation : on (medium)
Par défaut : deny (entrant), deny (sortant)
Nouveaux profils : skip

Vers                       Action      Depuis
----                       ------      ------
53                         ALLOW OUT   Anywhere
25/tcp                     ALLOW OUT   Anywhere
143/tcp                    ALLOW OUT   Anywhere
20,21/tcp                  ALLOW OUT   Anywhere
80/tcp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
110/tcp                    ALLOW OUT   Anywhere
993/tcp                    ALLOW OUT   Anywhere
995/tcp                    ALLOW OUT   Anywhere
465/tcp                    ALLOW OUT   Anywhere
53                         ALLOW OUT   Anywhere (v6)
25/tcp                     ALLOW OUT   Anywhere (v6)
143/tcp                    ALLOW OUT   Anywhere (v6)
20,21/tcp                  ALLOW OUT   Anywhere (v6)
80/tcp                     ALLOW OUT   Anywhere (v6)
443/tcp                    ALLOW OUT   Anywhere (v6)
110/tcp                    ALLOW OUT   Anywhere (v6)
993/tcp                    ALLOW OUT   Anywhere (v6)
995/tcp                    ALLOW OUT   Anywhere (v6)
465/tcp                    ALLOW OUT   Anywhere (v6)
Merci PDT_015

J'oubliais: pour permettre le ping sortant:

Code : Tout sélectionner

$ sudo gedit /etc/ufw/before.rules

Code : Tout sélectionner

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
http://www.kelvinism.com/2010/09/enable ... w_461.html

(traduction approximative (cf règles de iptable):
-A "ajoute aux autres règles"
-p icmp "pour le protocole icmp"
-m "et qui correspondent aux caractéristiques suivantes:"
state --state "dont l'état est:"
NEW,ESTABLISHED,RELATED "nouveau, démarré, en rapport avec"
-j ACCEPT "les accepter".
http://ipset.netfilter.org/iptables.man.html