Notes sur les règles UFW pour un client
Ci joint, 2 fichiers qui regroupent les principaux fichiers de conf (avant modif d'un client saucy 13.10, avril 2014): etc-ufw.txt et etc-ufw2.txt.
Fichiers de règles et conf
fichiers de règle à lire: /etc/ufw/fichiers.rules et à /lib/ufw
par ex (ls /etc/ufw): after6.rules after.rules applications.d (contient cups :631) before6.rules before.rules sysctl.conf ufw.conf
(ls /lib/ufw): ufw-init et ufw-init-functions, user.rules et user6.rules
before.rules: évalées avant toute règle ajoutée via une commande ufw |
les règles perso doivent utiliser au choix un des chaines: ufw-before-input ou ufw-before-output ou ufw-before-forward ex: allow all on loopback, drop paquets invalide, accepte icmp, client dhcp (udp:67 vers 68)... |
after.rules: évalées après toute règle ajoutée via une commande ufw |
les règles perso doivent utiliser au choix un des chaines: ufw-after-input ou ufw-after-output ou ufw-after-forward ex: ne logue pas les services bavards (bootps udp 67 et 68, netbios udp 137 et 138, tcp 139 et 445), |
/lib/ufw/user.rules: règles ajoutées via une commande ufw |
sudo cat /lib/ufw/user.rules
et via Gufw |
sysctl.conf: paramètres réseau du kernel | |
ufw.conf |
ufw actif au boot et LOGLEVEL |
les 2 .conf (ufw et sysctl)
sysctl.conf
Override /etc/sysctl.conf (définit des variables réseau).
On peux y activer ip_forward (routage entre les interfaces réseau du pc). Possibilité d'arreter l'autoconfiguration ipv6 et d'activer l'adressage privé ipv6.
Par défaut: on vérifie les adresses sources sur toutes les interfaces (anti-spoof), ce pc n'est pas un routeur, on désactive les redirections ICMP (contre les attaques MITM = man-in-the-middle) pour ip v4 et 6, on désactive TCP Window Scaling...
/etc/ufw/ufw.conf
Par défaut: se lance au boot (ENABLED=yes) et LOGLEVEL=medium (= passer la commande ufw logging medium)
IP v4
En tableau, la SG Liste (ports avec notes de sécurité). Liste des ports courrants (avec petite description en fr) : http://www.frameip.com/liste-des-ports-tcp-udp/affichage-liste-des-ports-tcp-udp.php?plage=1 ou https://fr.wikipedia.org/wiki/Liste_des_ports_logiciels
règle | dans | notes protocoles |
---|---|---|
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT | before.rules | pour que le client dhcp fonctionne |
-A ufw-after-input -p udp --dport 137 -j ufw-skip-to-policy-input -A ufw-after-input -p tcp --dport 139 -j ufw-skip-to-policy-input |
after.rules |
on ne logue pas ces services bavards (netbios, smb, dhcp)
|
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input | after.rules | on ne logue pas les broadcast bavards |
Ports usuels pour un client ubuntu
Liste des ports (et protocole), conseil (vu ds article ancien) | |
TCP 22 - SSH (Restrict Access) TCP 23 - Telnet (Prevent Access) UDP 68 - DHCP (Don't block) UDP 137:138 - Samba (Restrict Access) TCP 139 - Samba (Restrict Access) TCP 445 - Samba (Restrict Access) TCP 4732 - Remina Remote Desktop (Restrict Access) UDP 5353 - Avahi Service Discovery (Don't block) |
Remina Remote Desktop: remote desktop client written in GTK+ voir ohmtrigger
554 Real Time Streaming Protocol (RTSP) |
TCP 20 - FTP data
TCP 25 53
443 6881 |
lui préférer sFTP et SCP
25 SMTP, 110 pop3 et 143 imap4 DNS
https BitTorrent |
etc/ufw/before.rules
les RETURN: pour LOCAL, MULTICAST et BROADCAST
/etc/ufw/applications.d
/etc/ufw/applications.d/cups ports=631 ; pour samba c'est ports=137,138/udp|139,445/tcp
ip v6
after6.rules et before6.rules