Yop!<br><br><div class="gmail_quote">2012/3/27 Gilbert Dion <span dir="ltr"><<a href="mailto:gilbertdion@gmail.com">gilbertdion@gmail.com</a>></span> </div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Correction: j'ai démarré ufw sur l'ordinateur auquel je veux me connecter, plutôt que sur celui à partir de celui à partir duquel je veux me connecter.<br><br></blockquote><div><br></div><div>Oui, effectivement: UFW est à activer sur l'ordinateur à protéger (je vais lâcher le gros mot: le serveur de bureau à distance). C'est l'ordinateur qui est contrôlé qui doit être protégé. L'ordinateur qui contrôle (le client de bureau à distance) ne devrait normalement pas recevoir de demande de connexion de bureau à distance, puisqu'il ne s'offre pas dans ton réseau local.</div>

<div><br></div><div>Quant à ta question plus haut: en entrant <font face="'courier new', monospace">192.168.0.<u>1</u>/24</font> dans ta règle de pare-feu, la plage d'adresse s'est transformée en <font face="'courier new', monospace">192.168.0.<u>0</u>/24</font> -- est-ce normal? Je ne sais pas si UFW fait automatiquement la transposition vers une adresse de réseau quand on lui entre une adresse d'hôte dans ce cas précis, mais il semble bien que oui. Cela dit, ce que tu voulais obtenir, c'était bien <font face="'courier new', monospace">192.168.0.<u>0</u>/24</font>.</div>

<div><br></div><div>Il y a une différence entre créer une règle de pare-feu pour une adresse d'hôte et une adresse de réseau:</div><div><ul><li><span style>sudo ufw allow proto tcp from </span><b style><u>192.168.0.0</u></b><span style><font color="#500050" face="'courier new', monospace">/24 to any port 5900</font><br>

Ici, on offre l'accès en bureau à distance à tous les ordinateurs dans ton réseau local. Soit: à toutes les adresses IP de 192.168.0.1 à 192.168.0.254. Plus flexible, car il laisse passer tous les hôtes de ton réseau local: au fil des ajouts et des retraits à ton réseau local, tu n'auras aucune action supplémentaire à faire.<br>

<br>L'inconvénient, c'est qu'il laisse passer tous les hôtes de ton réseau local: si ta voisine du dessous se connecte à ton réseau WiFi, elle devient un membre de ton réseau local, et si elle n'aime pas entendre ta musique à 2h du matin (aussi bonne soit-elle), Mme ta voisine peut ouvrir une session de bureau à distance sur le poste en question et l'arrêter. Donc, utiliser cette option implique que tu effectues quand même un certain contrôle de ton réseau local.<br>

<br><br></span></li><li><span style><font color="#500050" face="'courier new', monospace">sudo ufw allow proto tcp from </font><b style="color:rgb(80,0,80);font-family:'courier new',monospace;font-size:13px"><u>192.168.0.100</u></b><font color="#500050" face="'courier new', monospace"> to any port 5900</font><br>

Ici, on offre l'accès en bureau à distance à un seul ordinateur: celui dont l'adresse IP est <i>192.168.0.100</i>. Tu remarques qu'il manque le<font face="'courier new', monospace"> /24</font> à la fin de l'adresse? C'est parce qu'on désigne un hôte précis, un ordinateur précis. Pas une plage d'adresses.<br>

<br><span style="background-color:transparent">Cette deuxième option est sûrement plus sécuritaire, car tu exerces un contrôle précis du ou des postes pour lesquels tu autorises un contrôle d'accès à distance. Disons que tu as 3 ordinateurs à la maison dont les adresses IP sont </span><i style="background-color:transparent">192.168.0.100</i><span style="background-color:transparent">, </span><i style="background-color:transparent">192.168.0.101</i><span style="background-color:transparent"> et </span><i style="background-color:transparent">192.168.0.102</i><span style="background-color:transparent">: tu peux créer 3 règles de pare-feu pour autoriser uniquement ces ordinateurs-là à ouvrir des sessions de bureau à distance.</span></span></li>

</ul></div><div><ul><ul><li><font color="#500050" face="'courier new', monospace" style>sudo ufw allow proto tcp from </font><b style><u>192.168.0.100</u></b><font color="#500050" face="'courier new', monospace" style> to any port 5900</font></li>

<li><font face="'courier new', monospace" style><font color="#500050" face="'courier new', monospace" style="color:rgb(80,0,80)">sudo ufw allow proto tcp from</font><font face="'courier new', monospace" color="#663366"> </font></font><b style="font-size:13px"><u><font color="#663366" face="'courier new', monospace">192.168.0.101</font></u></b><font color="#500050" face="'courier new', monospace"> to any port 5900</font></li>

<li><font face="'courier new', monospace" style><font face="'courier new', monospace"><font color="#500050" face="'courier new', monospace" style="color:rgb(80,0,80)">sudo ufw allow proto tc</font><font face="'courier new', monospace" color="#663366">p from </font></font></font><font color="#663366" face="'courier new', monospace"><b style="font-size:13px"><u>192.168.0.102</u></b> to an</font><font color="#500050" face="'courier new', monospace">y port 5900</font></li>

</ul></ul></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div class="gmail_quote"><div><div>L'inconvénient, c'est que c'est moins flexible. En ajoutant des exceptions sur une base d'hôte, tu précises explicitement sont autoriser à passer le pare-feu; tous les autres sont systématiquement rejetés.</div>

</div></div></blockquote><div class="gmail_quote"><ul><ul><li>Un jour, tu arrives avec ton tout nouveau téléphone Android et tu te dis "Tiens, je vais contrôler mon PC-chaîne-stéréo avec mon téléphone": ça ne passe pas, car tu as un nouvel hôte dans ton réseau local (ton téléphone), et aucune exception n'est précisé pour lui. Alors tu dois ajouter une exception aussi pour ton téléphone.</li>

<li>Le lendemain, ton fils vient te rendre visite, et avec son ordinateur portable, il souhaite aussi contrôler ton PC-chaîne-stétéo. Oups! ça ne passe pas non plus, car il n'y a pas d'exception de pare-feu pour son ordinateur. Tu dois ajouter encore une autre règle pour son ordinateur. (Et sans doute aussi la retirer à la fin de la journée, quand il rentre chez lui.)</li>

<li>Le surlendemain, c'est ta fille qui te rend visite! ... Alors là, stop! Si elle veux pitonner le PC-chaîne-stéréo, elle se lèvera et ira pitonner directement dessus!</li></ul></ul></div>