salut Gaëtan, salut la liste, Le 9/11/20 à 20:14, Gaëtan Perrier a écrit : > Le lundi 09 novembre 2020 à 12:31 +0100, Daniel Caillibaud a écrit : >> Le 07/11/20 à 23h43, Gaëtan Perrier <gaetan.perrier@neuf.fr> a écrit : >>> Pour un serveur sous debian 10 à votre avis, entre ufw et firewalld, >>> lequel est le plus pertinent ? >> >> As-tu vraiment besoin d'un firewall sur un serveur ? > > Euh bonne question. Je ne suis pas expert en serveur, c'est même le premier que > je mets en route ;) > Je maîtrise plus le desktop. Perso, j'utilisais ufw (uncomplicated firewall, pas compliqué, comme dans le nom). J'ai des besoins simples aussi (tout bloquer et ouvrir juste le nécessaire http/https/ssh, à peu de chose près). Suite au remplacement progressif de iptables par nftables (nftables sera le defaut dans les prochaines versions de Debian et iptables est déjà remplacé par une façade à nftables pour assurer la transition), je me suis penché sur nftables. Et j'ai trouvé dans la doc des exemples de config assez simple à mettre en œuvre, notamment sur le wiki de nftables : https://wiki.nftables.org/wiki-nftables/index.php/Main_Page#Examples Il suffit de remplacer le fichier /etc/nftables.conf par la config' qui te convient et de démarrer le service nftables.service. Et voilà ! >> >> Ce serait pour bloquer quoi ? Car à priori, si un port est ouvert sur une >> ip publique d'un serveur, c'est pour être ouvert… > > Pas faux. Dans ce cas comment vérifier qu'il n'y a que des ports nécessaires > qui sont ouverts ? Concernant les ports ouverts, tu as la commande <ss> qui te donnera tout ce qu'il faut savoir. Voici un exemple pour faire la liste de ce qui "écoute" en TCP et en UDP et quel est le process qui écoute : sudo ss -tulnp > Gaëtan Jean-Marc
Attachment:
signature.asc
Description: OpenPGP digital signature