Installation de Peerguardian Linux sur Ubuntu   Mise à jour récente !


PeerGuardian Linux (pgl) est un logiciel libre de filtrage d’Internet développé par Phoenix Labs. Cette application de type pare-feu orientée sur la confidentialité est destinée à limiter volontairement l’accès d’un ordinateur personnel à certaines adresses IP.
Cette application bloque les connexions à destination et en provenance d’hôtes spécifiés dans de conséquentes listes de plages IP. Une de ses particularités est le ciblage des IP agressives lorsque vous utilisez P2P.

PeerGuardian est un projet Open Source. Non seulement vous pouvez lire, utiliser ou modifier le code, mais vous pouvez aussi participer et contribuer sous n’importe quelle forme « code, documentation, rapports de bogue, web et support ».

 

Fonctionnalités

PGL dispose de trois composantes: pgld, pglcmd et pglgui.
Vous pouvez contrôler PGL soit en ligne de commande avec pglcmd, soit en éditant les fichiers de configuration de pgl ou du système, soit avec l’interface graphique pglgui, qui est un addon pour ces tâches. pglgui est un moyen simple d’accéder aux fonctions de pglcmd et d’enregistrer vos paramètres dans les fichiers de configuration du système ou de pgl. Cela signifie que pgl fonctionne indépendamment de pglgui. Par exemple si vous fermez l’interface graphique pglgui vous n’arrêtez pas pgl car le démon pgld travaille indépendamment, mais bien sûr, vous pouvez utiliser pglgui pour arrêter pgl.

La plupart des fonctionnalités sont gérées automatiquement par défaut, d’autres sont accessibles avec pglgui (interface graphique) ou encore en lignes de commande.

  • Démarrer, redémarrer, recharger et arrêter pgl ou laisser init démarrer et arrêter automatiquement.
  • Gestion des listes de blocs:
    • Mise à jour de vos listes de blocs à partir de sources en ligne ou laisser cron faire cela automatiquement.
    • Utilisez des listes de blocage locales.
    • Supprimez certaines lignes par mot-clé des listes de blocs.
    • Fusionner toutes ces listes en blocs uniques dans une liste de blocs maîtres. Cette blocklist optimisée est celle qui est vraiment utilisée par pgl.
  • Gérer vos règles iptables:
    • Utiliser la configuration par défaut pour une navigation sereine.
    • Permettre facilement tout le trafic sur des ports spécifiques et utiliser une liste d’autorisations.
    • Ajoutez vos propres règles iptables.
    • Autoriser automatiquement le trafic LAN et le serveur DNS. Si vous êtes sur un LAN public vous pouvez désactiver cette fonctionnalité.
  • Vérifiez l’état et testez pgl.
  • Un chien de garde surveille pgl et redémarre si nécessaire.
  • Détecte si certains modules du noyau sont requis et les charge si nécessaire.
  • Définir les options de verbosité et de journalisation.
  • LSB 3.1 compatible script init.
  • Rotation quotidienne des fichiers journaux.

 

Installation de PeerGuardian Linux

Pour installer PeerGuardian Linux le plus simple est d’utiliser le PPA jre « moblock-deb ».
Ce PPA fournit des paquets officiels de PeerGuardian Linux (pgl) pour toutes les distributions Ubuntu spécifiées ci-dessous :

PPA jre "moblock-deb"
Xenial Xerus 16.04pglcmd pgld pglgui64 bits | 32 bits
Wily Werewolf 15.10
pglcmd pgld pglgui64 bits | 32 bits
Vivid Vervet 15.04
pglcmd pgld pglgui64 bits | 32 bits
Utopic Unicorn 14.10
pglcmd pgld pglgui64 bits | 32 bits
Trusty Tahr 14.04
pglcmd pgld pglgui64 bits | 32 bits
Saucy Salamander 13.10pglcmd pgld pglgui64 bits | 32 bits
Raring Ringtail 13.04pglcmd pgld pglgui64 bits | 32 bits
Quantal Quetzal 12.10pglcmd pgld pglgui64 bits | 32 bits
Precise Pangolin 12.04pglcmd pgld pglgui64 bits | 32 bits
Lucid Lynx 10.04pglcmd pgld pglgui64 bits | 32 bits

La commande suivante ajoute le PPA, met à jour les dépôts et installe pgl. Copiez/collez dans un Terminal (1 seule ligne) :
Copiez/collez dans un Terminal

Appuyez sur Entrée, entrez votre mot de passe s’il est requis, appuyez de nouveau sur Entrée.
 
Vous trouverez le raccourci PeerGuardian dans Outils Système => Administration si vous disposez d’un menu GNOME ou PeerGuardian Linux en tapant peerguardian dans la zone de recherche du Dash d’Unity (Alt+F2).
 
Peerguardian

L’interface est simple, dépouillée, efficace.

 
Peerguardian

Dans la fenêtre « configure » sont proposés les listes de blocs pour le blocage d’IPs ainsi que quelques options de configuration.

 
Peerguardian

Quelques options de pgl sont accessibles dans le systray. La fermeture de pglgui, l’interface graphique, ne compromet pas le fonctionnement du démon pgld et ne supprime pas l’icône du systray. Par contre il n’y a pas d’options pour réouvrir pglgui.

 

Configuration

Il est indispensable de mettre votre réseau en liste blanche. Vous devez modifier le fichier /etc/pgl/allow.p2p avec les droits d’administration et ajouter les lignes suivantes. Copiez/collez dans un Terminal :

Remplacez « VOTRE_ÉDITEUR_DE_TEXTE » par gedit, kate ou votre éditeur de texte favori, appuyez sur Entrée, entrez votre mot de passe s’il est requis, appuyez de nouveau sur Entrée.
 
Copiez/collez ces lignes si elles sont absentes du fichier « allow.p2p » :

ou, selon votre configuration :

 
Pour que avahi puisse travailler convenablement rajouter aussi la ligne

 
Si vous utilisez Twitter ajoutez :

Enregistez, fermez l’éditeur de texte mais ne fermez pas le Terminal.

 
Vous devez modifier le fichier /etc/pgl/pglcmd.conf avec les droits d’administration et ajouter les lignes suivantes. Copiez/collez dans un Terminal :

Remplacez « VOTRE_ÉDITEUR_DE_TEXTE » par gedit, kate ou votre éditeur de texte favori, appuyez sur Entrée, entrez votre mot de passe s’il est requis, appuyez de nouveau sur Entrée.
 
Copiez/collez ces lignes :

Enregistez, fermez l’éditeur de texte mais ne fermez pas le Terminal.
Supprimez 993 465 de la ligne si vous n’utilisez pas Gmail.

 
Relancez ensuite pgl en saisissant la commande suivante dans un terminal :

 
Peerguardian

 

PGL en ligne de commande

CommandeDescription
pglcmd startInjecte les règles iptables et démarre pgld. Si la configuration de liste de blocs a changé, reconstruisez la liste de blocs maîtres.
pglcmd stopSupprime les règles iptables et arrête pgld.
pglcmd restartRedémarre pgl.
pglcmd reloadReconstruit la liste de blocs maîtres et recharge pgld s'il est en cours d'exécution.
pglcmd updateMet à jour les listes de blocs, reconstruit la liste de blocs maîtres et recharge pgld.
pglcmd statusFournit les paramètres iptables et le statut de pgld.
pglcmd testFait un test simple pour vérifier si pgl fonctionne, pings une IP aléatoire dans la liste de blocage et vérifie si cette IP a bien été enregistrée dans le logfile pgld et si elle a répondu.
pglcmd search PATTERNFournit les occurrences d'un mot-clé PATTERN et les noms des listes de blocs uniques. Utilisez cette commande pour savoir quelle liste de blocage a provoqué le blocage d'une adresse IP.
pglcmd statsStatistiques de pgld.
pglcmd reset_statsRéinitialisation des statistiques de pgld.
show_configVoir les paramètres de configuration actuels.
Vous aurez besoin de privilèges root (sudo pour ubuntu) pour manipuler PGL.

 

Comment fonctionne PGL

pgl se compose de trois composantes: pgld, pglcmd et pglgui. Le noyau de pgl est le démon pgld. Sur la base de listes de blocage avec des plages d’adresses IP, pgld vérifie les paquets (trafic Internet), qui sont envoyés à la cible iptables NFQUEUE (ou à la cible QUEUE aujourd’hui dépréciée). Iptables fait partie de la structure de filtrage de paquets netfilter à l’intérieur du noyau Linux. pglcmd prend soin de configurer un environnement iptables correct. Si le support netfilter nécessaire n’est pas directement intégré au noyau, pglcmd essaie de charger les modules du noyau.

Si un paquet correspond à la liste de blocage, pgld peut « DROP » ou « MARK ». Si pgld marque un paquet, d’autres règles iptables qui correspondent à cette MARQUE décident ce qui se passe avec eux. Par défaut, le marquage est activé, les paquets autorisés « IP qui ne figure pas dans la liste de blocs » obtiennent la MARQUE « 20 » (affichée sous 0x14 par iptables) et les paquets bloqués « IP dans la liste de blocs » obtiennent la MARQUE « 10 » (0xa).

Les paquets marqués répètent la fonction hook (NF_REPEAT). Ils sont donc renvoyés à la tête de la chaîne iptables. Un paquet ne peut porter qu’une seule marque, il ne doit donc pas y avoir d’autres applications ou règles iptables qui marquent les paquets, sinon l’installation ne fonctionnera pas et les paquets seront bouclés pour toujours.

Par défaut, les paquets sortants « Marked block » sont REJETÉS, les paquets entrants et transférés « Marked block » sont DROPpés (ÉCARTÉS). Les paquets « Marked accept » sont ignorés par la configuration iptables de pgl, donc d’autres règles iptables décideront ce qui leur arrivera.

 

Remarque

Pour les opérations de liste de blocs: Lorsque la liste de blocs maîtres est construite, les listes de blocs simples manquantes sont téléchargées. Si aucune liste de blocage ne peut être téléchargée et si aucune ancienne version n’est disponible, l’opération est interrompue. Si une liste de blocs téléchargés ne parvient pas à extraire, elle est supprimée et l’opération est interrompue.

 

Fichiers de configuration

Listes de blocage, listes blanches, fichiers de configuration :

  • Les listes de blocs distants sont configurées dans blocklists.list (/etc/pgl/blocklists.list).
  • Les listes de blocage locales sont enregistrées dans le dossier /etc/pgl/blocklists.local/.
  • La liste d’autorisations pour les plages IP est allow.p2p (/etc/pgl/allow.p2p). Par défaut, la liste d’autorisations est utilisée pour les connexions entrantes et sortantes. Si vous le souhaitez, vous pouvez utiliser différentes listes d’autorisation pour les connexions entrantes, sortantes et avant.
  • Le reste est fait dans pglcmd.conf (/etc/pgl/pglcmd.conf). Reportez-vous à pglcmd.defaults (/usr/lib/[YOUR_ARCHITECTURE]/pgl/pglcmd.defaults) pour l’ensemble complet des variables de configuration possibles avec des commentaires.

En outre, les systèmes init, cron, logrotate et NetworkManager sont utilisés.

 

Avertissement

pgl peut compètement bloquer votre réseau et votre accès à internet. L’utilisation de listes trop nombreuses et / ou inappropriées peut sérieusement dégrader votre service Internet.
Si vous activez l’option « Start PeerGuardian at system boot » pgl démarrera automatiquement au démarrage du système. Certaines listes sont mises à jour une fois par jour. Cela bloquera non seulement de nombreuses adresses IP indésirables, mais dans la plupart des cas, il en résultera une disponibilité limitée du réseau. Cela comprend votre propre réseau local et routeur, de nombreuses pages Web, des services type e-mail, messagerie instantanée ou applet météorologique.
Il existe de nombreuses options de configuration pour éviter cela. Par exemple, la valeur par défaut est de toujours autoriser (liste blanche) le trafic LAN, le serveur DNS et le périphérique de bouclage. Si vous êtes sur un LAN public, vous voudrez probablement désactiver cette fonctionnalité.

 

Utilisation avec d’autres pare-feu (règles iptables)

pgl n’est pas en conflit avec les autres pare-feux (règles iptables), mais si vous les utilisez, vous devez prendre quelques précautions particulières pour éviter de graves conflits. Assurez-vous que les trois conditions suivantes sont remplies :

  • pgl marque les paquets qui ne sont pas assortis (l’IP n’est pas dans la liste de blocs). La fonction de marquage est activée par défaut.
  • Les autres pare-feu ne doivent pas marquer les paquets.
  • pgl démarre après les autres pare-feux. Si d’autres firewalls sont démarrés ou rechargés après pgl, vous devrez peut-être redémarrer pgl. Il est conseillé que les règles iptables qui ENVOIENT le trafic vers les chaînes iptables (pgl_in, pgl_fwd et pgl_out) se trouvent devant toutes les autres règles iptables qui ACCEPTENT le trafic. Pour vous aider à atteindre cet objectif, un watchdog « un chien de garde » redémarre pgl s’il détecte des problèmes. Néanmoins un redémarrage manuel est toujours recommandé chaque fois qu’une autre application a changé la configuration iptables.

 

Help

PeerGuardian Linux est activement développé. Cependant, la très petite équipe a peu de temps libre. Les collaborateurs sont les bienvenus.

 

Liens
PeerGuardian - a privacy oriented firewall application sud SourceForge
Questions fréquentes (Frequently Asked Questions
PGLD dans la documentation ubuntu-fr
PPA jre "moblock-deb"
moblock-deb
I-Blocklist, la page d'accueil
Listes dans I-Blocklist
https://www.iblocklist.com/search.php

 

Voir aussi :