[Résolu] Quelques questions au sujet du Pare-feu (Firewall)

[wong]

Bonsoir Sacles,

 

Merci pour ton lien.

 

En effet : " juste le port 1723/tcp ouvert, et aucune autre indication ".

 

Comme je l'ai indiqué, j'ai fait différents scans de ports, et ce n'est que " check.sdv.fr " qui m'a scanné ce port.

 

Bon ou mauvais test, je ne sais pas.

 

Amicalement à toi.

[Greywolf]

salut wong,

 

je peux confirmer que le port 1723 est en écoute sur ton routeur (scan nmap half-open et TCP sur le port en question, étant modérateur, j'ai accès à ton adresse IP mais ne t'en inquiète pas, l'éthique est là )

 

Le service pptp du routeur a l'air d'être configuré pour ouvrir une socket côté WAN et probablement côté LAN.

Une tentative d'établissement d'un lien pptp (échange des protocoles d'authentification et tout le toutim) n'aboutit pas car le service raccroche en cas dez requête en provenance du WAN.

 

Tu peux peut-être de ton côté essayer de te connecter au serveur VPN de ton routeur avec les outils windows à ta disposition (établir une nouvelle connexion => VPN probablement).

 

Idéalement, si tu n'as aucune utilité de ce service, il faudrait l'arrêter. Est ce possible via l'interface d'administration HTML?

[wong]

Bonsoir Greywolf,

 

Merci pour ta réponse.

 

Que tu ais mon adresse IP : aucun problème ( j'ai rien à cacher )

 

Comme tu le préconises, je vais essayer d'arrêter le service VPN.

 

Si j'y arrive, je ferai un post, d'en l'éventualité que ça puisse servir à quelqu'un d'autre.

 

Cordialement à toi.

[chmart]

Sélut wong,

 

je n'ai pas de modem-routeur.

Merci pour ces adresses.

 

Cordialement

chmart

 

Bonjour wong et tous les amis,

 

je suis allé sur l'adresse de zebulon:

http://www.zebulon.fr/outils/scanports/test-securité.php

 

Il m'a indiqué que tous mes ports affichés étaient masqués: parfait! (bon travail de Kerio). Mais je ne voyais cités qu'une 40aine de ports. Il m'a semblé lire sur le site d'odSen qu'il y avait beaucoup plus de ports, des milliers en tout cas. J'espère que ceux qui n'étaient pas montrés étaient également masqués.

 

J'ai un autre souci: fin décembre je ferai un formatage. Je voudrais paramétrer Kerio de façon à obtenir la protection indiquée par greywolf ci-dessous

 

CITATION(Greywolf @ samedi 07 octobre 2006 à 17h32)

 

sans mise à jour, créer une règle qui interdit tous les paquets entrants sans exception sur l'interface internet. Cette règle placée en tête de liste doit être prioritaire sur celles éventuellement pré-existantes dans le soft.

 

cela n'empêchera pas de faire les màj et ça évitera de se choper une merde pendant les 2 premières minutes de connexion au net.

Fin de citation Greywolf

 

J'ai fourré mes pattes après avoir ouvert Kerio, oh! pas grand chose. Catastrophe, je ne pouvais même plus aller sur zebulon (site insuffisamment sécurisé!). J'ai restauré à une date antérieure, mais cela ne changeait rien le jour même.

Mais le lendemain, cela a l'air oublié. Donc, coucou me revoilà.

En tout cas je ne vois pas au juste comment "interdire les paquets entrants". Est-ce "bloquer le traffic internet"?

 

Si c'est cela , je sais le faire. Mais si c'est plus subtil, échec!

 

Merci

Cordialement

chmart

[Greywolf]

techniquement parlant, c'est de refuser tout paquet entrant n'appartenant pas à une connexion déjà établie depuis ton PC (i.e. les réponses aux requêtes que ton navigateur web effectue par exemple)

 

sur certains pare-feu, ça se règle en 2 coups de cuillère à pot, mais ne connaissant pas Kerio je ne te suis pas d'un grand secours

 

politique par défaut des connexions entrantes à DROP (pour que les ports soient masquées)

création d'une seule règle dans INPUT autorisant les réponses aux requêtes = des connexions en état Connecté (ce que doit savoir faire tout pare-feu à état, dit stateful )

[wong]

Bonsoir chmart,

 

Si tu vas sur le 2ème lien que j'ai donné :

 

https://www.grc.com/x/ne.dll?bh0bkyd2

 

tu as 1055 ports scanés.

 

Cordialement.

[wong]

Bonsoir Greywolf,

 

Pour mon cas ( et je pense aussi à chmart ), je ne suis pas à ton niveau.

 

J'ai bien regardé les règles NAT : " iptables -P INPUT DROP ", etc...

 

Ben, j'avoue que j'y comprend rien

 

Alors, en attendant de pouvoir arrêter le service VPN ( si ça ne perturbe pas mon routeur ) ), je vais m'en tenir à n'autoriser que les connexions que je décide.

 

Peut-être que j'ai tout faux !

 

Une question : Ne serais-tu pas sous Linux ?

 

Amicalement à toi.

[Greywolf]

Une question : Ne serais-tu pas sous Linux ?

 

 

affirmatif et dans certains cas, c'est quand même bien plus simple que sous windows

[wong]

Salut Greywolf,

 

Pour Linux, je m'en suis douté en lisant les explications sur INPUT et DROP.

 

Amicalement.

[chmart]

Merci Greywolf et wong.

Votre conversation dépasse mon sujet, mais je la trouve très intéressante. Cela me fait progresser (modestement, mais néanmoins...).

J'en profite pour sortir de mon sujet, comme vous parlez de linux. Comme je disais il y a 2 ou 3 ans à mon frère que j'avais envie de faire un essai d'utilisation de linux, il m'a répondu: "Bon système. Mais tu dois te préparer à passer du temps sur ta machine, et à solidement améliorer ton expertise. Réfléchis bien." J'ai prudemment laissé linux de côté. Ai-je eu raison?

 

Autre chose, dans mon sujet (question au sujet du bon usage d'un FW)

 

Hier à plusieurs reprises, aujourd'hui de 13h à 20h30, pas moyen d'aller sur les forums de zebulon en général (cela disait:

SQL error:too many connections

SQL error code: [pas de réponse]

date et heure courantes)

 

Je ne sais pas si cela venait de ma situation dans le réseau local, ou de zebulon (quoique cela m'étonne),

 

et à l'instant j'ai pu aller sur le forum, aller sur https://www.grc.com/x/ne.dll?bh0bkyd2, mais pas moyen d'aller plus loin en agissant sur 'proceed', fenêtre du FW (kerio) bloquant un site non sûr (de son pt de vue).

 

C'est râlant, car si je désactive Kerio, je ne peux vérifier si les ports sont masqués.

 

Merci

Cordialement

chmart