Firestarter sous Ubuntu où comment configurer facilement son firewall

Firestarter est un vieil outil de configuration du firewall linux qui a fait ses preuves. Si sa dernière version, la 1.03, date de janvier 2005, il ne faut pas pour autant penser qu’il est dépassé. Firestarter est sans doute l’interface de configuration de Netfilter la plus abordable qui soit sous Gnome. En quelques clics, les principales règles de filtrage sont en place et le firewall fait son boulot. Il permet de partager facilement une connexion Internet, de faire de la redirection de ports, de NATer les machines locales…

Installation

Firestarter est présent sur des dépôts Ubuntu. A installer depuis la Logithèque ou en ligne de commande :

$ sudo apt-get install firestarter
  • Premier démarrage

Sous Ubuntu 11.04 et 11.10, au premier lancement de Firestarter, un message d’erreur s’affiche, ça commence mal :

Pas de panique, il suffit d’activer la redirection des logs d’alerte vers le fichier /var/log/messages utilisé par Firestarter. Depuis Ubuntu 11.04, ce fichier n’est plus alimenté automatiquement. On va y remedier en modifiant la conf de rsyslog :

  • Ouvrir un terminal et lancer vi :
$ sudo vi /etc/rsyslog.d/50-default.conf
  • et décommenter les lignes suivantes dans le fichier :
*.=info;*.=notice;*.=warn;\
 auth,authpriv.none;\
 cron,daemon.none;\
 mail,news.none -/var/log/messages
  • redémarrer le service rsyslog
 $ sudo restart rsyslog
  • enfin, redémarrer Firestarter.

Maintenant, le message d’erreur ne doit plus apparaitre et les notifications vont pouvoir fonctionner.

Configuration

Tous les réglages de Firestarter se font en mode graphique dans l’interface. Pour un premier essai, le plus simple est de lancer l’assistant Firestarter.

  • Menu Pare-feu / Lancer l’assistant…

Les interfaces présentes sont listées : choisir celle connectée à Internet.

Si votre machine doit faire du partage de connexion Internet pour le réseau local, Firestarter s’occupe de la conf. Il suffit de cocher l’autorisation de partage et de lui indiquer l’interface du réseau local. Idem si le DHCP vers les machines locales doit être autorisé.

  • Fin de l’assistant, on peut lancer la bête.


Configuration avancée dans Edition / Préférences

Par défaut, Firestarter applique une stratégie suffisament défensive, bloquant toutes les requêtes de traffic entrant sur l’interface Internet et autorisant tous les flux sortant depuis le réseau local si la connexion à Internet est partagée.

  • Gestion de l’interface Firestarter :

Il n’est pas nécessaire de garder Firestarter ouvert pour que les règles du firewall s’appliquent. Firestarter pousse les régles de filtrages au firewall linux (netfilter) et peut ensuite être complètement fermé.

Cependant, si on veut profiter des informations de suivi de connexions et d’alertes, on peut laisser Firestarter actif et le minimiser sur fermeture de la fenêtre.

  • Retour sur la configuration réseau si besoin de modifications :

  • une possibilité intéressante de Firestarter : appliquer le filtrage ICMP pour que votre machine ne soit pas pinguable. Toute tentative de ping vers votre machine sera rejetée et  lèvera une alerte dans les journaux d’événements.

  • Appliquer la qualité de service pour améliorer les performances de connexion :

  • Enfin, choisir comment Firestarter va rejetter les paquets non autorisés. Le rejet silencieux évite d’envoyer une notification de rejet vers la machine distante. Moins on donne d’informations, mieux c’est.

Les trois états de Firestarter

Le volet principal de l’interface indique l’état de Firestarter. Il présente trois états de sécurité :

  • Actif  (bulle bleue) : les règles définies dans la politique sont appliquées.
  • Désactivé (carré rouge) : aucune règle n’est appliquée, tous les flux entrant et sortant sont autorisés. Pas de panique, seuls les ports ayant un service en écoute seront joignables de l’exterieur.
  • Bloqué (cadenas) : tous les flux sont bloqués, rien ne sort, rien ne rentre.

Privilégier l’état Actif en fonctionnement ordinaire. En cas de tests, les deux autres états peuvent être très pratiques.

Le bas de la fenêtre permet aussi de dérouler la liste des connexions actives.


Suivi des évenements

En cas de réception de paquets qui ne respectent pas la politique de sécurité, Firestarter va lever une alerte. Son icône dans la barre de notification va passer du bleu au rouge, et une entrée va être ajoutée dans l’onglet des évenements.

Ici on constate une tentative de ping, rejetée par Firestarter :
Dernier onglet, Politique permet de définir les régles de filtrage à appliquer. Par défaut, les flux sortant sont tous autorisés, et les flux entrant de l’interface Internet tous bloqués. Ca devrait convenir à la plupart des utilisateurs.

On peut pousser la conf à un niveau plus strict en bloquant également tout le traffic sortant. Il faudra alors ouvrir service par service selon les besoins. L’ajout d’une règle se fait simplement par un clic droit dans les fenêtres de Politique.


Une fois la politique de sécurité définie, cliquer sur la flêche verte pour l’appliquer et la pousser instantanement au firewall linux. On peut ensuite fermer Firestarter, la politique restera opérationnelle.

Firestarter dans Gnome Shell

Bonne nouvelle, Firestarter s’intègre parfaitement dans l’environnement Gnome Shell. Lorsqu’on ferme la fenêtre de Firestarter, et si l’on a coché l’option « Minimiser dans la barre des tâches sur fermeture de la fenêtre », on va retrouver l’icône d’état bleu/rouge de Firestarter directement dans la barre des notifications en bas à droite du bureau. Pour un soft qui n’a pas changé depuis 6 ans, sa compatibilité est plutot pas mal.

Conclusion

Firestarter est toujours une réference et, distributions linux après distributions, il continue à rendre service en toute simplicité. A essayer et à adopter d’urgence si vous voulez sécuriser votre environnement sans prise de tête. et suivre en temps réel l’activité de vos interfaces réseau. Les autres solutions de paramètrage du firewall comme Gufw ou firebuilder semblent trop simplistes ou rapidement trop complexes pour représenter une alternative sérieuse à Firestarter.

Développé par Tomas Junnonen, Firestarter dispose toujours de son site officiel où l’on retrouve la doc complète et les sources :

http://www.fs-security.com/
Advertisements

5 réflexions au sujet de « Firestarter sous Ubuntu où comment configurer facilement son firewall »

  1. Bonjour,

    Après avoir décommenter, on enregistre comment dans la console.

    Car pour moi, ça ne fonctionne pas, je ne sais pas comment enregistrer, et en fermant la console, il n’y a aucun changement.

    J’ai ouvert une nouvelle console sans fermer la première pour redémarrer le service rsyslog, mais aucun changement ne s’opère, même en redémarrant le PC.

    • pour éditer le fichier de conf sans utiliser vi, on peut lancer gedit avec un gksudo:

      touches Alt+F2

      et

      gksudo gedit /etc/rsyslog.d/50-default.conf

      ensuite simplement faire la modif, sauvegarder et relancer rsyslog.

  2. Bonjour Grawok,

    Merci pour cet article suffisamment détaillé, mais tout en restant simple à mettre en pratique. plus largement je découvre votre blogue et je trouve pas mal d’article fort sympathique.
    Bonne continuation à vous,

    Salutation,
    Fabien.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s