IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Firestarter : le pare-feu en toute simplicité

Cet article est issu de contributions sous licence libre faite sur GuruLinux.

Article lu   fois.

L'auteur

Liens sociaux

Viadeo Twitter Facebook Share on Google+   

I. Présentation et Installation

Firestarter est une interface graphique qui vous aide à configurer facilement votre pare-feu. Il a pour objectif d'être le plus simple possible tout en restant complet et efficace.

Utilisez le gestionnaire de paquets de votre distribution ou consultez le site officiel.

II. Premier lancement

Pour lancer Firestarter, cliquez sur Système > Administration > Firestarter. Au premier lancement, un assistant vous aide à configurer Firestarter en choisissant l'interface à surveiller (il a normalement détecté automatiquement l'interface active). Si votre adresse IP vous est attribuée automatiquement via DHCP, cochez l'option correspondante.

La seconde boîte de dialogue vous propose de partager votre connexion et d'utiliser votre machine comme serveur DHCP. Si vous avez votre PC directement relié à Internet et que vous partagez avec d'autres ordinateurs « derrière vous », cochez les deux cases, sinon cliquez sur Avancer puis Enregistrer pour terminer l'assistant.

Si vous installez une nouvelle interface réseau par la suite, vous pourrez (et même vous devrez si le pare-feu bloque votre connexion) relancer l'assistant en allant dans le menu Pare-feu > Lancer l'assistant. Pour les utilisateurs avertis, il est aussi possible de passer par le menu Édition > Préférences.

Si vous ne faites pas tourner de serveur sur votre machine, que les logs ne vous intéressent pas et que vous ne souhaitez pas vous plonger davantage dans la configuration de cet outil, vous pouvez vous arrêter ici et en rester à la configuration par défaut, qui devrait vous satisfaire.

II-A. L'onglet « État »

Cet onglet montre et permet de contrôler l'état général du pare-feu, qui peut être :

  • Actif : le pare-feu est en train de faire son travail ;
  • Arrêté : le pare-feu est désactivé, il n'agit en rien sur le trafic ;
  • Bloqué : le pare-feu bloque complètement le trafic entrant et sortant, i.e. rien ne passe.

Cette page propose également quelques statistiques sur le trafic Internet telles que les connexions actives, le nombre d'alertes et de paquets reçus, etc.

Image non disponible
Onglet État

II-B. L'Onglet « Événements »

C'est le coin des logs, où vous pouvez voir les tentatives de connexion bloquées avec leur degré de gravité :

  • Noir : tentative de connexion régulière sur un port, bloquée par le pare-feu, en règle générale pas de quoi fouetter un chat ;
  • Rouge : possible tentative d'intrusion, également bloquée ;
  • Gris : connexions que Firestarter juge « non dangereuses », en règle générale du trafic « broadcast ».
Image non disponible
Onglet Événement

II-C. L'Onglet « Politique »

Définissez ici vos règles pour le trafic entrant et sortant de votre machine. Pour le trafic sortant, je suggère l'option par défaut. Pour le trafic entrant, si vous avez des serveurs tournant sur votre machine, ouvrez les ports correspondants :

  1. clic droit dans la zone « Autoriser le service » ;
  2. clic droit dans la zone « Autoriser le service » ;
  3. « Ajouter une règle » ;
  4. sélectionnez dans la liste de noms celui du service que vous faites tourner (par exemple « FTP » pour un serveur FTP) ou, s'il n'y est pas, entrez le nom du service et le numéro du port ;
  5. laissez l'option par défaut (« Tout le monde ») dans le champ « Source », afin d'ouvrir ce port pour tout le monde ;
  6. validez en appuyant sur « Ajouter ».
Image non disponible
Onglet Politique

II-D. Les préférences (Édition > Préférences)

Les préférences par défaut conviennent à l'utilisateur lambda. Ceux d'entre vous qui connaissent déjà les protocoles réseau et le firewalling n'auront aucune difficulté à s'y retrouver, je renvoie les autres curieux aux documents facilement trouvables sur le sujet des protocoles réseau et du firewalling.

Le pare-feu est-il actif lorsque la fenêtre de Firestarter est fermée ?
La fenêtre ne sert qu'à la configuration. Le pare-feu est donc actif même quand elle est fermée, selon ce que vous avez défini dans les préférences « Pare-feu ». Par défaut, le pare-feu (re)démarre au lancement d'une connexion et à l'ouverture de l'interface de configuration et à l'attribution d'une nouvelle adresse via DHCP, ce qui vous assure la couverture de vos arrières.

Image non disponible
Icône réduite

III. Annexes

III-A. Exemple configuration

J'insère ici ma configuration, car elle fut pour moi très longue à trouver !

 
Sélectionnez
sudo firestarter

Légende

  • * = coché
  • / = décoché
 
Sélectionnez
Préférence :
 * Liste libre
 - Interface :
  / Activer l'icône dans la barre des tâches
  / Minimiser dans la barre des tâches sur fermeture de la fenêtre
- Événements :
 * Omettre les entrées redondantes
 / Omettre les entrées quand la destination n'est pas le pare-feu
- Politique :
 * Appliquer les changements de politique immédiatement
 - Pare-feu :
  * Démarrer/Redémarrer le pare-feu au démarrage du programme
  * Démarrer/Redémarrer le pare-feu lors d'une connexion par modem
  * Démarrer/Redémarrer le pare-feu sur une nouvelle adresse DHCP
  -Configuration du réseau :
   - Périphérique réseau connecté à Internet :
     - Périphériques détectés : [Périphérique ...]
   - Périphérique connecté au réseau local :
     - Périphériques détectés : [Périphérique ... ]
      / Autoriser le partage de la connexion Internet -> / Pas de partage de connexion ?
      / Autoriser le DHCP pour le réseau local
  - Filtrage ICMP
   * Autoriser le filtrage ICMP
   - Autoriser le suivi des types de paquets ICMP
    / Requête par écho (ping)
    / Réponse par écho (pong)
    / Marquage temporel
 
    / MS Traceroute
    / Traceroute
    / Inaccessible
 
    / Masquage d'adresse
    / Redirection
  / Extinction de la source
  - Filtrage ToS :
   * Autoriser le filtrage sur le Type de Service (ToS) :
    - Mettre une priorité plus forte pour :
     / Les stations de travail
     / Les serveurs
     / Le système X Windows
    - Régler les priorités pour maximiser :
     / le débit
     * la sûreté de fonctionnement
     / l'interactivité
  - Options avancées :
   - Méthode préférée de rejet des paquets
    / Rejeter les paquets avec une erreur
    * Rejeter silencieusement
   - Trafic broadcast :
    / Bloquer le trafic broadcast du réseau externe
    / Bloquer le trafic broadcast du réseau interne
   - Validation du trafic :
    / Bloquer le trafic des adresses réservées sur les interfaces publiques

III-B. Lancer au démarrage Firestarter

Testé sur t60p avec ubuntu 7.04.

Firestarter est un bon logiciel, mais il pose quelques problèmes pour le lancer au démarrage de la session. En fait, lorsqu'on se contente d'ajouter firestarter dans système > préférences > sessions, il affiche un message d'erreur en disant que la carte eth0 par exemple n'est pas disponible. Ceci est compréhensible, car il se lance en même temps que la connexion au réseau et la connexion n'a pas le temps de s'établir, mais voici la solution le « script ».

Premièrement il faut vous autoriser définitivement à lancer firestarter :

 
Sélectionnez
sudo visudo

Ajoutez à la fin :

 
Sélectionnez
username ALL= NOPASSWD: /usr/sbin/firestarter

Ne pas oublier de remplacer username par votre pseudo.

Pour d'autres versions de GNU/Linux il est probable qu'il faut remplacer sbin par bin.

Maintenant, créez un fichier vierge qu'on appellera .start_firestarter

 
Sélectionnez
touch .start_firestarter

Ouvrez-le :

 
Sélectionnez
gedit .start_firestarter

et copiez ce qui vous intéresse…

Avec deux interfaces réseau eth0 (Wi-Fi) et eth1 (filaire)

 
Sélectionnez
#! /bin/bash
 
verif=$(ifconfig eth0 | grep Octets | cut -d: -f2  | cut -d' ' -f1)
verif1=$(ifconfig eth1 | grep Octets | cut -d: -f2  | cut -d' ' -f1)
i="0"
 
while [ "$verif" -lt 900 ] && [ "$verif1" -lt 900 ] && [ "$i" -lt 100001 ]; do
    verif=$(ifconfig eth0 | grep Octets | cut -d: -f3  | cut -d' ' -f1)
    verif1=$(ifconfig eth1 | grep Octets | cut -d: -f2  | cut -d' ' -f1)
    let $[ i=i+1 ]
done
 
if [ "$i" -lt 100000 ] ; then
{
   sudo firestarter --start-hidden
}
fi
 
exit 0

Avec une interface réseau eth0

 
Sélectionnez
#! /bin/bash
 
## récupère le nombre d'octet reçus sur ethO
verif=$(ifconfig eth0 | grep Octets | cut -d: -f2  | cut -d' ' -f1) 
 
## compteur
 
i="0"
 
## Tant que la carte réseau n'a pas reçu 900 octets ou que le compteur n'est pas fini 
while [ "$verif" -lt 900 ] && [ "$verif1" -lt 900 ]; do
    verif=$(ifconfig eth0 | grep Octets | cut -d: -f3  | cut -d' ' -f1)
 
    let $[ i=i+1 ]
done
 
## si la boucle s'est finie avant la fin du compteur alors firestarter est lancé dans la barre de tâches
if [ "$i" -lt 100000 ] ; then
{
   sudo firestarter --start-hidden
}
fi
 
exit 0

Pour finir, allez dans Système > Préférences > Sessions. Cliquez sur Ajouter :

 
Sélectionnez
Nom : firestarter
commande: sh /home/<<username>>/.start_firestarter

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

Permission is granted to copy and distribute under the terms of the Creative Commons licence, Version 2.0 or any later version published by the Creative Commons Corporation; with Attribution, No Commercial Use and No Derivs. Read the full license here : http://creativecommons.org/licenses/by-nc-sa/2.0/