Merci, éminent pédagogue! J'ai tout compris! Gilbert
Le 28 mars 2012 00:34, Alexandre Patenaude <[email protected]>a écrit : > Yop! > > 2012/3/27 Gilbert Dion <[email protected]> > >> Correction: j'ai démarré ufw sur l'ordinateur auquel je veux me >> connecter, plutôt que sur celui à partir de celui à partir duquel je veux >> me connecter. >> >> > Oui, effectivement: UFW est à activer sur l'ordinateur à protéger (je vais > lâcher le gros mot: le serveur de bureau à distance). C'est l'ordinateur > qui est contrôlé qui doit être protégé. L'ordinateur qui contrôle (le > client de bureau à distance) ne devrait normalement pas recevoir de demande > de connexion de bureau à distance, puisqu'il ne s'offre pas dans ton réseau > local. > > Quant à ta question plus haut: en entrant 192.168.0.*1*/24 dans ta règle > de pare-feu, la plage d'adresse s'est transformée en 192.168.0.*0*/24 -- > est-ce normal? Je ne sais pas si UFW fait automatiquement la transposition > vers une adresse de réseau quand on lui entre une adresse d'hôte dans ce > cas précis, mais il semble bien que oui. Cela dit, ce que tu voulais > obtenir, c'était bien 192.168.0.*0*/24. > > Il y a une différence entre créer une règle de pare-feu pour une adresse > d'hôte et une adresse de réseau: > > - sudo ufw allow proto tcp from *192.168.0.0* > /24 to any port 5900 > Ici, on offre l'accès en bureau à distance à tous les ordinateurs dans > ton réseau local. Soit: à toutes les adresses IP de 192.168.0.1 à > 192.168.0.254. Plus flexible, car il laisse passer tous les hôtes de ton > réseau local: au fil des ajouts et des retraits à ton réseau local, tu > n'auras aucune action supplémentaire à faire. > > L'inconvénient, c'est qu'il laisse passer tous les hôtes de ton réseau > local: si ta voisine du dessous se connecte à ton réseau WiFi, elle devient > un membre de ton réseau local, et si elle n'aime pas entendre ta musique à > 2h du matin (aussi bonne soit-elle), Mme ta voisine peut ouvrir une session > de bureau à distance sur le poste en question et l'arrêter. Donc, utiliser > cette option implique que tu effectues quand même un certain contrôle de > ton réseau local. > > > - sudo ufw allow proto tcp from *192.168.0.100* to any port 5900 > Ici, on offre l'accès en bureau à distance à un seul ordinateur: celui > dont l'adresse IP est *192.168.0.100*. Tu remarques qu'il manque le /24à > la fin de l'adresse? C'est parce qu'on désigne un hôte précis, un > ordinateur précis. Pas une plage d'adresses. > > Cette deuxième option est sûrement plus sécuritaire, car tu exerces un > contrôle précis du ou des postes pour lesquels tu autorises un contrôle > d'accès à distance. Disons que tu as 3 ordinateurs à la maison dont les > adresses IP sont *192.168.0.100*, *192.168.0.101* et *192.168.0.102*: > tu peux créer 3 règles de pare-feu pour autoriser uniquement ces > ordinateurs-là à ouvrir des sessions de bureau à distance. > > > - sudo ufw allow proto tcp from *192.168.0.100* to any port 5900 > - sudo ufw allow proto tcp from *192.168.0.101* to any port 5900 > - sudo ufw allow proto tcp from *192.168.0.102* to any port 5900 > > L'inconvénient, c'est que c'est moins flexible. En ajoutant des exceptions > sur une base d'hôte, tu précises explicitement sont autoriser à passer le > pare-feu; tous les autres sont systématiquement rejetés. > > > - Un jour, tu arrives avec ton tout nouveau téléphone Android et tu te > dis "Tiens, je vais contrôler mon PC-chaîne-stéréo avec mon téléphone": > ça > ne passe pas, car tu as un nouvel hôte dans ton réseau local (ton > téléphone), et aucune exception n'est précisé pour lui. Alors tu dois > ajouter une exception aussi pour ton téléphone. > - Le lendemain, ton fils vient te rendre visite, et avec son > ordinateur portable, il souhaite aussi contrôler ton PC-chaîne-stétéo. > Oups! ça ne passe pas non plus, car il n'y a pas d'exception de pare-feu > pour son ordinateur. Tu dois ajouter encore une autre règle pour son > ordinateur. (Et sans doute aussi la retirer à la fin de la journée, > quand > il rentre chez lui.) > - Le surlendemain, c'est ta fille qui te rend visite! ... Alors là, > stop! Si elle veux pitonner le PC-chaîne-stéréo, elle se lèvera et ira > pitonner directement dessus! > > > -- > Ubuntu-quebec mailing list > [email protected] > https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec > >
-- Ubuntu-quebec mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
