# [OFF] Firewall "interactif"

## gbetous

Salut !

Est-ce qu'il existe sous Linux un outil à la ZoneAlarm, qui détecte un nouveau flux reseau, et demande à l'utilisateur si oui ou non il doit laisser passer.

... suis-je clair ?   :Shocked: 

Merci   :Wink: 

----------

## bashful

Je ne pense pas qu'il est de firewall "interactif" comme zone alarm sous linux.

Car ce sont des firewalls personnel. Sous linux tu n'as pas vraiment besoin de firewall, pour une workstation bien sur.

Ces firewalls personnel ont été créé pour pallier aux trous de sécurité gigantesque de windows  :Very Happy: 

----------

## nico_calais

 *bashful wrote:*   

> Je ne pense pas qu'il est de firewall "interactif" comme zone alarm sous linux.
> 
> Car ce sont des firewalls personnel. Sous linux tu n'as pas vraiment besoin de firewall, pour une workstation bien sur.
> 
> Ces firewalls personnel ont été créé pour pallier aux trous de sécurité gigantesque de windows 

 

J'esperre que tu parles uniquement d'un linux en lan....

----------

## bashful

 *Quote:*   

> J'esperre que tu parles uniquement d'un linux en lan....

 

Je comprends pas ce que tu as voulu dire.

----------

## ghoti

 *bashful wrote:*   

> Je comprends pas ce que tu as voulu dire.

 

Ben tout simplement que sans firewall, je donne pas cher de ta workstation puisqu'elle sera ouverte à tous les vents !

Ce que nico_calais voulait dire, c'est qu'on pouvait s'en passer uniquement si on est abrité derrière une passerelle qui fait office de pare-feu.

Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré alors que sous w$, il a fallu attendre xp sp2 !

----------

## bashful

En faite j'avais pas du tout compris sa phrase :$. Mais oui ca me parait évident, que derriere un routeur tu n'a pas besoin d'un firewall. Mais maintenant pratiquement tout les gens sont derriere une box qui fait office de routeur donc bon ... Je prennais ca comme un acquis. De plus mettre un linux relié directement à internet sans firewall me fait beaucoup moins peur qu'un windows  :Very Happy: . Je l'ai deja fait et j'ai pas eu de probleme. C'est juste qu'il faut le sécurisé un minimum c'est tout si c'est une workstation bien sur je parle pas d'un serveur.

[post]Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré[/post]

Je ne savais pas du tout. TCP_WRAPPER?

----------

## kwenspc

 *ghoti wrote:*   

> Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré

 

 :Question: 

Si tu configures pas les tables iptables en soit tout les ports en sortie/entrée sont potentiellement utilisable, et d'ailleurs rien ne t'oblige à avoir iptables et netfilter (dans le noyau). Ce qui fait que Linux est sécurisé de base c'est que sa pile réseau est pas mal codée, qu'il y a pas cent cinquante douze services réseau mal configuré (fin ça c'est à voir, ça dépend de certaines distrib...) etc...

----------

## geekounet

 *ghoti wrote:*   

> Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré

 

Ha, ya Packet Filter inclus dans Linux ? Je l'ai jamais vu  :Very Happy: 

----------

## bashful

Il est inclut de base dans openBSD. Mais bon c'est un UNIX  :Very Happy: 

----------

## geekounet

 *bashful wrote:*   

> Il est inclut de base dans openBSD. Mais bon c'est un UNIX 

 

C'est bien pour ça que j'utilise du BSD pour en routeur/firewall ;p

Et Unix c'est bien, mais bon c'est un autre débat  :Razz: 

----------

## bashful

Wai c'est sur que BSD enfin surtout openBSD pour pour faire de la sécurité pour passerelle/parfeux/QOS y a rien de mieux par contre en workstation le graphique est un peu rustre  :Very Happy: 

----------

## nonas

 *bashful wrote:*   

> Wai c'est sur que BSD enfin surtout openBSD pour pour faire de la sécurité pour passerelle/parfeux/QOS y a rien de mieux par contre en workstation le graphique est un peu rustre 

 Euh faut pas croire mais sous OpenBSD, Gnome, KDE et compagnie ça existe hein.

----------

## gglaboussole

Firestarter :

http://www.fs-security.com/

Il était plus ou moins interactif, il te montrait les connections bloquées et il te suffisait de faire un petit clic droit dessus pour autoriser et créé la règle...à la windows...il a été hard masqué puis supprimé il y a quelques mois de portage car plus développé, mais tu peux le compiler à la mano si tu veux

----------

## ghoti

 *kwenspc wrote:*   

> Si tu configures pas les tables iptables en soit tout les ports en sortie/entrée sont potentiellement utilisable, et d'ailleurs rien ne t'oblige à avoir iptables et netfilter (dans le noyau). 

 

Ben relis un peu mes précédents posts : j'ai dit que si on n'activait pas le firewall alors la workstation était ouverte à tous les vents, d'où la nécessité de l'activer.

Je n'ai pas dit que le firewall était activé d'office mais qu'il existe depuis toujours. Nuance !  :Wink: 

Et ne viens pas argumenter qu'il n'existe pas si on ne l'a pas compilé !  :Rolling Eyes:   :Wink: 

D'ailleurs, il serait contraire à la philosophie Linux d'imposer quoi que ce soit !

Le développeur propose mais l'utilisateur dispose ...  :Wink: 

----------

## Bapt

 *geekounet wrote:*   

>  *ghoti wrote:*   Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré 
> 
> Ha, ya Packet Filter inclus dans Linux ? Je l'ai jamais vu 

 

Fait gaffe tu commences à devenir pire que moi  :Smile: 

Mais toi tu es modo... C'est peut être pour cela que tu te permet d'ailleurs.

----------

## bashful

Donc si j'ai bien compris iptable peut etre activé rien que dans le noyau, il faut pas ensuite installer iptables sur la distribution ?

Je toujours pensé que les options iptables dans le noyau permettaient juste d'appliquer certaines règles plus bas dans les couches.

----------

## geekounet

 *Bapt wrote:*   

>  *geekounet wrote:*    *ghoti wrote:*   Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré 
> 
> Ha, ya Packet Filter inclus dans Linux ? Je l'ai jamais vu  
> 
> Fait gaffe tu commences à devenir pire que moi 
> ...

 

Au contraire je ne devrais pas  :Laughing: 

----------

## gbetous

 *gglaboussole wrote:*   

> Firestarter :
> 
> http://www.fs-security.com/

 

Mince... ca a pas l'air d'etre ce que je veux ! Si je comprends bien la description, c'est juste une interface graphique pour définir des règles.

En fait c'est pour un scénario bien précis : on m'impose que l'utilisateur choisisse ou pas d'ouvrir le port sur requete extérieure, et c'est (à ma connaissance en tous cas) infaisable en iptables. Style popup "attention, tentative d'accès à tel port. voulez-vous autoriser oui/non".

Si en tous cas vous pensez à un moyen de faire ça... meme en script... je prends !

----------

## guilc

Dans ce cas, ptet un truc genre nufw.

Un pare-feu ou tu donne des accès par user plutot que par port. Ca doit plus s'en rapprocher...

----------

## nico_calais

 *bashful wrote:*   

> En faite j'avais pas du tout compris sa phrase :$. Mais oui ca me parait évident, que derriere un routeur tu n'a pas besoin d'un firewall. Mais maintenant pratiquement tout les gens sont derriere une box qui fait office de routeur donc bon ... Je prennais ca comme un acquis. De plus mettre un linux relié directement à internet sans firewall me fait beaucoup moins peur qu'un windows . Je l'ai deja fait et j'ai pas eu de probleme. C'est juste qu'il faut le sécurisé un minimum c'est tout si c'est une workstation bien sur je parle pas d'un serveur.
> 
> [post]Si Linux a la réputation d'être si sécurisé c'est que, justement, il a depuis toujours possédé un firewall intégré[/post]
> 
> Je ne savais pas du tout. TCP_WRAPPER?

 

Le firewall d'une box n'est pas aussi configurable que le firewall d'unserveur sous linux (ou bsd puisq'on en a parlé).

Dans toutes les boxs que j'ai vu, ça bloquait ce qui tentait de rentrer mais pas ce qui sortait.

Or pour moi, il est quand même preferrable de laisser sortir ce dont tu as besoin et laisser rentrer ce dont tu as besoin, ni plus ni moins.

Ceci est d'autant plus valable quand derrière y a du wifi dans le lan (ou à la limite faudrait encore un serveur qui fasse passerelle et parefeu entre le wireless et le reste du lan, du moins, je l'imagine comme ça).

Quand j'ai vu un pote se connecter chez moi en mac, j'ai halluciné le nombre de softs qui ont voulu envoyer des infos vers l'exterieur...

Là je te dis pas, si t'as un parefeu qui te demandes si tel appli a le droit d'envoyer des infos vers l'exterieur ou non, t'as pas fini ^^

----------

## lesourbe

houlà les mecs recentrés vous !

le firewall qui sauve la vie de linux ??? non mais franchement ?

un firewall ça empêche certains flux de passer ... si y'en a pas, ils passent jusqu'à ta box ... si t'as box écoute pas ou que ce qui écoute est sûr, t'as aucun soucis à te faire.

le firewall pour desktop ça sert plus à grand chose, maintenant que majorité des modems font office de routeur (et quand on redirige pas), sauf pour les firewall applicatifs type ZA qui check le soft qui essaie de sortir, quand on a pas confiance dans les applis qu'on installe (ou qui s'installent à notre insu).

PS : ça m'a pas l'air d'être très clair ce que je dis, quelqu'un veut une version longue ?

----------

## bashful

Non non c'est clair, et c'est tout à fait ce que je pense mais j'ai l'impression que c'est moi qui ai pas été clair car j'ai essayé d'expliquer la meme chose dans un de mes posts précédent.

----------

## gbetous

 *lesourbe wrote:*   

> sauf pour les firewall applicatifs type ZA qui check le soft qui essaie de sortir, quand on a pas confiance dans les applis qu'on installe (ou qui s'installent à notre insu).

 

Voilà, c'est exactement ce que je cherche !!!

Et ça, ça n'existe pas sous Linux ?

----------

## billiob

Pour voir les connexions : lsof -i

Et il y a netstat.

----------

## truc

 *billiob wrote:*   

> Pour voir les connexions : lsof -i
> 
> Et il y a netstat.

 

loul, nan mais je crois qu'il veut du click'n go   :Confused: 

----------

## gbetous

 *truc wrote:*   

> loul, nan mais je crois qu'il veut du click'n go  

 

mais si il y a moyen de se développer, c'est possible aussi !

cla dit, il me semble que netstat c'est que pour les connexions déjà établies non ?

mais par exemple, si une regle firewall empehce une connexion sortante, qu'un logiciel tente cette connexion... ça apparaitra dans netstat ?

----------

