t disponible.
</note>
===== Installation =====
<code bash>
$ sudo apt install ufw
</code>
Juste après l' installation, UFW est inactif par défaut, pour consulter l'état du pare-feu:
<code bash>
ufw status verbose
</code>
===== Création des règles =====
==== Stratégies de sécurité par défa
vient inutile d'échapper les caractère spéciaux.
<code bash>
nft --handle --interactive
# équivalents
nft -a -i
nft -ai
</code>
Dans l'exemple ci-dessus on introduit également... e facon sure et concise l'élément a manipuler.
<code bash>
# nft depuis le bash : les caractères spéc... ty 0 ; policy drop ; comment "text comment" ;}'
</code>
Les modifications apportées depuis **nft** s'ap
ut se faire simplement via la commande iptables
<code bash>
sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j... iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
</code>
Cependant si l'on cherche à bannir un millier d... quet **ipset** via le gestionnaire de paquetage:
<code bash>
sudo apt-get install ipset
</code>
===== Créer l'ensemble =====
On commence par créer un nouvel
i le fichier a été modifié, relancer le service:
<code bash>
systemctl restart systemd-resolved.service
</code>
<note>
On peut être amené à désactiver ce servi... nf -> /run/systemd/resolve/stub-resolv.conf''**
<code bash>
# Affiche les détail du fichier /etc/resolv... v.conf -> /run/systemd/resolve/stub-resolv.conf
</code>
Ici la configuration est celle attendue. Si ce
l'ensemble des interfaces réseaux disponibles:
<code bash>
# Installer l'utilitaire
apt install lshw
... riques de type interface réseau
lshw -C network
</code>
Pour lister les interfaces compatibles wifi
<code bash>
iwconfig
</code>
===== Les prérequis =====
**iw** et **nmcli** permettent de gérer les connexio
r lister les interfaces éligibles à la capture:
<code bash>
tcpdump -D
</code>
L'option **-i** permet alors de spécifier l'interface souhaitée:
<code bash>
sudo tcpdump -n -i eth1
</code>
* L'option **-i** permet de préciser l'interface sur laquelle
ts sous Windows.
===== Lister les routes =====
<code>
route print
</code>
===== Ajout d'une route =====
Ici, avec la commande **route**, on déclare la passerelle par défaut :
<code>
route add 0.0.0.0 mask 0.0.0.0 192.168.1.1
</code>
Route spécifique pour joindre l’hôte 87.155.124.22
mping-ssl capable d'analyser le trafic HTTPS**.
<code bash>
apt install -y squid-openssl
</code>
Pour supporter le bumping-SSL (ou interception TLS) Squid d... ions de compilation lorsqu'elles sont trouvées :
<code bash>
squid -v | grep --color -E '(--with-openssl|--enable-ssl-crtd)'
</code>
===== Créer le Root CA =====
Pour que la mag
(8000) vers un groupe d'adresses IP seulement.
<code bash>
# Création d'une groupe contenant au maximu... .168.0.20
sudo ipset add canon_mfc 192.168.0.33
</code>
===== Test de la règle =====
Dans un premier t... rreur en rechargeant simplement le pare-feu ufw
<code bash>
# Journalise le trafic sortant à destinatio... t -i eth0 -m set --match-set mgmt src -j ACCEPT
</code>
Vérifier la présence de la nouvelle règle dans
Installation via le gestionnaire de paquets:
<code bash>
$ sudo apt-get install fail2ban
</code>
* Les règles sont placées dans le dossier **/etc/fail2... n du fichier par défaut /etc/fail2ban/jail.conf
<code bash>
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
</code>
===== Exceptions =====
Dans la section globale
nfiance. A utiliser avec précaution évidemment.
<code bash>
# Lister les zones
firewall-cmd --get-zones... one=MyNewZone --permanent
firewall-cmd --reload
</code>
Lorsque qu'on invoque ''firewall-cmd'' ses effe... ée après redémarrage/rechargement du service).
<code bash>
# Afficher la zone sur laquelle s'applique
... de la commande
firewalld-cmd --get-default-zone
</code>
Pour changer la zone par défaut :
<code bash>
évaluation.
Afficher les politiques définies:
<code bash>
iptables -L -v | grep policy
</code>
==== Définir les politiques par défaut ====
Pour chaque ch... aut est appliquée. Pour modifier la politique:
<code bash>
$ sudo iptables --policy INPUT DROP
</code>
Ici la politique par défaut pour les paquets entran
terfaces existantes utiliser l'argument **-a**:
<code bash>
$ ifconfig -a
# équivalent
ip addr show
</code>
<note>
**ifconfig** est la commande historique,... cifique utiliser les options **down** ou **up**
<code bash>
ifconfig eth0 down
</code>
===== Ajout/suppression d'alias =====
Pour associer plusieurs adres
nced client caching, and internationalization.
<code bash>
apt-get install nfs-kernel-server
</code>
Modifier le fichier ''/etc/nfs.conf''. Désactiver la v... ichier de configuration, redémarrer le service :
<code bash>
systemctl restart nfs-server.service
</code>
Vérifier les versions de NFS supportées par le serv
