[fedora-fr-doc] Mise en relecture de Parefeu - firewall - netfilter - iptables

Marcovici Philippe philippe.marcovici at free.fr
Sam 28 Aou 16:07:57 CEST 2010


Bonjour.

Merci pour ta courageuse ;-) relecture.

Mes remarques sur tes remarques ci-dessous.

Le 20/08/2010 22:15, Jean Rémond a écrit :
> De mon coté, hormis les coquilles (inévitables vu la taille de 
> l'article), j'ai quelques éléments sur lesquels je n'ai pas su trancher
>
> J'ai préfixé par une * le texte actuel et j'ai mis le mien en dessous.
> J'aimerais bien quelques avis sur ces poirts-là avant de valider 
> l'article.
>
> Partie 1
>
> *L'idée que Linux ne nécessite pas de sécurisation spécifique, 
> puisqu'il est sécurisé de par son architecture, est fortement répandue.
> *Certes. Mais, l'erreur est humaine, et les informaticiens aussi (il 
> parait).
> Certes ! Mais l'erreur est humaine, et les informaticiens aussi (il 
> parait).
Ok.
>
>
> *Donc, notre noyau (kernel) Linux adoré et ses différents serveurs, 
> applications et commandes qui l'accompagne pour composer une 
> distribution Gnu/Linux ne sont pas exempts de failles logicielles.
> Autrement dit humaines, si vous avez bien suivi ;-)
>
> Ainsi notre noyau (kernel) Linux adoré accompagné de ses différents 
> serveurs, applications et commandes à la base d'une distribution 
> Gnu/Linux ne sont pas exempts de failles logicielles (autrement dit 
> humaines, si vous avez bien suivi ;-) )
Ok.
>
>
> *Et la sagesse populaire le dit : il vaut mieux prévenir que guérir.
> La sagesse populaire le dit : il vaut mieux prévenir que guérir.
Ca me parait mieux.
> ou
> Et la sagesse populaire dit : il vaut mieux prévenir que guérir.
>
>
> *Vous arriverez sur les alertes les plus récentes.
> Vous trouverez les alertes les plus récentes.
Ok.
>
>
> Partie 5
>
> * Si la mise en correspondance du paquet avec les régles est poursuivie.
> Je n'ai pas compris la phrase.
Je pense que c'est ça que j'avais voulu écrire :
Sinon, la mise en correspondance du paquet avec les régles qui suivent 
est poursuivie.
>
> Le port ssh ne semble pas ouvert sur une install de Fedora13
Il me semble avoir vu un problème à ce sujet sur le forum. Le port est 
ouvert mais il doit y avoir autre chose qui bloque. Peut-être le service 
ssh qui n'est pas démaré, je ne sais plus.
> Et une ligne
> -A INPUT -m state --state NEW -m udp -p udp --dport 5353 -d 
> 224.0.0.251 -j ACCEPT
>  se trouve dans /etc/sysconfig/iptables
Oui, et avant Fedora 10 il y avait une règleRH-Firewall-1-INPUT.
Je pense que pour se prémunir des futures autres évolutions (et donc ne 
pas avoir à retoucher le tuto, il faurait remplacer le début du chapitre 5 :

- Si vous faites une installation par défaut d'une Fedora, Netfilter / 
iptables est installé avec quelques règles iptables, qui assurent déjà 
un bon niveau de sécurité.
Nous allons nous baser sur ces règles comme point de départ à nos 
explications.
- Le contenu par défaut du fichier /etc/sysconfig/iptables d'une 
distribution Fedora 10 et supérieure est le suivant :

par

- Si vous faites une installation par défaut d'une Fedora, Netfilter / 
iptables est installé avec quelques règles iptables, qui assurent déjà 
un bon niveau de sécurité.
- Nous allons nous baser sur le fichier /etc/sysconfig/iptables avec les 
règles indiquées ci-dessous comme point de départ à nos explications :

Et ajouter une note ou un warning :
Suivant la version de Fedora installée, votre fichier 
/etc/sysconfig/iptables peut présenter quelques différences minoeures.

>
>
> Partie 6
>
> *#  L'adresse et le port ip du client ssh, sont l'adresse et le port 
> ip source.
> *# L'adresse et le port ip du serveur ssh, sont l'adresse et le port 
> ip cible.
>
> cible ou destination ? (pour la cohérence dans l'article)
Effectivement, destination c'est mieux.
Par contre, ça fait des changements un petit peu partout et le change 
global n'est pas approprié ...
Mais c'est jouable avec un peu de concentration.
>
>
> * Un port IP local
> Un port local non ?
Je suis indécis ;-)
Quoi que, du coup avec le context, je verrais plutôt :

Un port TCP local
>
>
> Partie 8
> * Voilà, vous en savez un peu plus sur comment le suivi de connexion 
> de netfilter fait du suivi de connexion avec un protocole sans connexion !
> Voilà, vous en savez un peu plus sur comment netfilter fait du suivi 
> de connexion avec un protocole sans connexion !
>
Ok.

Voila.



Plus d'informations sur la liste de diffusion fedora-fr-doc