Notes sur les règles UFW pour un client

Ci joint, 2 fichiers qui regroupent les principaux fichiers de conf (avant modif d'un client saucy 13.10, avril 2014): etc-ufw.txt et etc-ufw2.txt.

Fichiers de règles et conf

fichiers de règle à lire: /etc/ufw/fichiers.rules  et à   /lib/ufw
par ex (ls /etc/ufw): after6.rules  after.rules  applications.d (contient cups :631)  before6.rules  before.rules  sysctl.conf  ufw.conf
           (ls /lib/ufw): ufw-init et ufw-init-functions, user.rules et user6.rules

Fichiers de règles UFW principaux /etc/ufw/fichier.rules
before.rules: évalées avant toute règle ajoutée via une commande ufw

les règles perso doivent utiliser au choix un des chaines: ufw-before-input ou ufw-before-output ou ufw-before-forward

ex: allow all on loopback, drop paquets invalide, accepte icmp, client dhcp (udp:67 vers 68)...

after.rules: évalées après toute règle ajoutée via une commande ufw

les règles perso doivent utiliser au choix un des chaines: ufw-after-input ou ufw-after-output ou ufw-after-forward

ex: ne logue pas les services bavards (bootps udp 67 et 68, netbios udp 137 et 138, tcp 139 et 445),

/lib/ufw/user.rules: règles ajoutées via une commande ufw

sudo cat /lib/ufw/user.rules

et via Gufw
 

sysctl.conf: paramètres réseau du kernel  

ufw.conf

ufw actif au boot et LOGLEVEL

 

les 2 .conf (ufw et sysctl)

sysctl.conf

Override /etc/sysctl.conf (définit des variables réseau).

On peux y activer ip_forward (routage entre les interfaces réseau du pc). Possibilité d'arreter l'autoconfiguration ipv6 et d'activer l'adressage privé ipv6.
Par défaut: on vérifie les adresses sources sur toutes les interfaces (anti-spoof), ce pc n'est pas un routeur, on désactive les redirections ICMP (contre les attaques MITM = man-in-the-middle) pour ip v4 et 6, on désactive TCP Window Scaling...

/etc/ufw/ufw.conf

Par défaut: se lance au boot (ENABLED=yes) et LOGLEVEL=medium (= passer la commande ufw logging medium)

 


IP v4

En tableau, la SG Liste (ports avec notes de sécurité). Liste des ports courrants (avec petite description en fr) : http://www.frameip.com/liste-des-ports-tcp-udp/affichage-liste-des-ports-tcp-udp.php?plage=1 ou https://fr.wikipedia.org/wiki/Liste_des_ports_logiciels

Notes règles UFW pour un client
règle dans notes protocoles
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT before.rules pour que le client dhcp fonctionne

-A ufw-after-input -p udp --dport 137 -j ufw-skip-to-policy-input

-A ufw-after-input -p tcp --dport 139 -j ufw-skip-to-policy-input

after.rules

on ne logue pas ces services bavards (netbios, smb, dhcp)

  • udp 137 et 138 netbios (ns et dgm) + tcp 139 (session service netbios)
  • tcp 445 microsoft-ds SMB
  • udp 67 et 68 (bootps et bootpc -> pour recherche srv dhcp et dialogue client-srv dhcp)
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input after.rules on ne logue pas les broadcast bavards

Ports usuels pour un client ubuntu

Clients Ubuntu - ports fréquents
Liste des ports (et protocole), conseil (vu ds article ancien)  
TCP 22 - SSH (Restrict Access)
TCP 23 - Telnet (Prevent Access)
UDP 68 - DHCP (Don't block)
UDP 137:138 - Samba (Restrict Access)
TCP 139 - Samba (Restrict Access)
TCP 445 - Samba (Restrict Access)
TCP 4732 - Remina Remote Desktop (Restrict Access)
UDP 5353 - Avahi Service Discovery (Don't block)

Remina Remote Desktop: remote desktop client written in GTK+ voir ohmtrigger
TCP 4732 est à surveiller

554 Real Time Streaming Protocol (RTSP)
for Microsoft Windows Media streaming services and QuickTime Streaming Server
par ex pour VLC et tv free

TCP 20 - FTP data
21 - FTP control

TCP 25
110

53

443
2049

6881

lui préférer sFTP et SCP
port 20 rarement utilisé de nos jours

25 SMTP, 110 pop3 et 143 imap4
-> limiter aux fournisseurs d'email

DNS

https
nfs

BitTorrent

etc/ufw/before.rules

les RETURN: pour LOCAL, MULTICAST et BROADCAST

/etc/ufw/applications.d

/etc/ufw/applications.d/cups ports=631 ; pour samba c'est ports=137,138/udp|139,445/tcp

ip v6

after6.rules et before6.rules