réglage du firewall de mon routeur [résolue]

[Xeti]

Bonsoir,

J'aimerais savoir comment je dois régler mon routeur pour que l'option firewall marche au mieu.

 

Voici les parametre proposé ( entre parenthèses les réglages par défault)

 

* Intrusion Detection Feature

 

SPI and Anti-DoS firewall protection :

RIP defect :

Discard Ping To WAN :

 

* Stateful Packet Inspection

 

Packet Fragmentation

TCP Connection

UDP Session

FTP Service

H.323 Service

TFTP Service

 

* Connection Policy

 

Fragmentation half-open wait: (10)secs

TCP SYN wait: (50)sec.

TCP FIN wait: (10)sec.

TCP connection idle timeout:(3600) sec.

UDP session idle timeout: (30)sec.

H.323 data channel idle timeout: (80)sec.

 

* DoS Detect Criteria:

 

Total incomplete TCP/UDP sessions HIGH:(300) session

Total incomplete TCP/UDP sessions LOW: (250)session

Incomplete TCP/UDP sessions (per min) HIGH:(250) session

Incomplete TCP/UDP sessions (per min) LOW: (200)session

Maximum incomplete TCP/UDP sessions number from same host:(10)

Incomplete TCP/UDP sessions detect sensitive time period: msec.(300)

Maximum half-open fragmentation packet number from same host:(30)

Half-open fragmentation detect sensitive time period: (10 000)msec.

Flooding cracker block time: (300)sec.

 

Il y a d'autres fonction comme les adresses Ip mais je m'en sortirais.

 

Y a encore une option "DMZ" et je ne comprend pas à quoi ça correspond, si ça dit quelque chose à quemqu'un, merci de bien vouloir m'expliquer se que c'est.

 

Merci

Modifié le 12 janvier 2009 par Xeti

[Greywolf]

héberges-tu des serveurs (i.e. autorise tu des connexions entrantes sur ton réseau local)?

si non, tu peux laisser les critères DoS comme ils le sont étant donné que tout sera droppé par ton pare-feu.

 

Fais-tu de la VoIP (pour le contrôle des flux h.323)?

50 secondes sur un SYN WAIT, c'est peut-être un peu long; fais des essais en le diminuant

idem pour le TCP idle timeout: 1h sans aucun échange de data, je trouve ça long.

 

une DMZ (zone démilitarisée)permet de router toutes les connections entrantes sur un (ou plusieurs si tu disposes de plusieurs @IP publiques) PC du réseau local. Cette zone peut servir à héberger des services qui doivent communiquer directement avec le net et depuis le réseau local. C'est une zone mixte entre la jungle (internet) et ton réseau local (zone de confiance)

[Xeti]

héberges-tu des serveurs (i.e. autorise tu des connexions entrantes sur ton réseau local)?

si non, tu peux laisser les critères DoS comme ils le sont étant donné que tout sera droppé par ton pare-feu.

 

Fais-tu de la VoIP (pour le contrôle des flux h.323)?

50 secondes sur un SYN WAIT, c'est peut-être un peu long; fais des essais en le diminuant

idem pour le TCP idle timeout: 1h sans aucun échange de data, je trouve ça long.

 

une DMZ (zone démilitarisée)permet de router toutes les connections entrantes sur un (ou plusieurs si tu disposes de plusieurs @IP publiques) PC du réseau local. Cette zone peut servir à héberger des services qui doivent communiquer directement avec le net et depuis le réseau local. C'est une zone mixte entre la jungle (internet) et ton réseau local (zone de confiance)

 

Il se peut que je vais héberger des serveurs pour jouer en lan ou sur le net.

Je fais de la VOip juste sur un ordi.

 

Pour la dmz, est se que je pourrai par exemple m'en servir pour les mise à jour?

[Greywolf]

si tes serveurs sont ouverts 24/24, les mettre en DMZ est potentiellement une bonne idée.

 

Si tu ne disposes que d'une seule adresse IP publique, tu ne pourras mettre qu'une seule machine en DMZ; les autres PC de ton LAN pourront accéder à internet mais ne pourront pas recevoir de communication entrante.

 

pour la VoIP, que donnent les paramètres par défaut en terme de performances/qualité?

 

je n'ai pas saisi ton histoire de mise à jour.

 

Pense à régler convenablement un firewall/IDS sur tes serveurs en DMZ étant donné qu'ils vont être exposés directement. Il faut également cloisonner correctement la DMZ et le LAN.

[Xeti]

si tes serveurs sont ouverts 24/24, les mettre en DMZ est potentiellement une bonne idée.

 

Si tu ne disposes que d'une seule adresse IP publique, tu ne pourras mettre qu'une seule machine en DMZ; les autres PC de ton LAN pourront accéder à internet mais ne pourront pas recevoir de communication entrante.

 

pour la VoIP, que donnent les paramètres par défaut en terme de performances/qualité?

 

je n'ai pas saisi ton histoire de mise à jour.

 

Pense à régler convenablement un firewall/IDS sur tes serveurs en DMZ étant donné qu'ils vont être exposés directement. Il faut également cloisonner correctement la DMZ et le LAN.

 

Salut,

J'avais pas compris à quoi ça pouvait servir la dmz ms maintenant c'est OK

pour le VOIP, c OK

Merci