ports a laisser ouvert

[arriashub]

merci pour les reponses sur le p2p.

Dans le cadre d'un reseau local avec un acces adsl via un routeur.

Quels sont les ports à laisser ouverts en entrée et en sortie, pour que les utilisateur du reseau puissent seulement surfer sur le net + telecharger des fichiers en http et en direct ftp.

Pas de mail pas de p2p ou messagerie rien d'autre.

Accessoirement peutetre les port utilisés pour le windowsupdate et liveupdate de norton.

Ou inversément quels sont les ports a fermer.

ps: il n'y a pas d'acces de l'exterieur

A+

[Greywolf]

surf web:

connexion UDP/TCP port 53 (domain) à moins d'avoir un DNS local (mais j'en doute)

connexion TCP vers le port 80 (http), 443(https)

 

=> si certains sites utilisent d'autres ports, ils seront inaccessibles.

une solution serait d'utiliser une machine proxy qui serait seul habilitée à sortir et rediriger toutes les requetes des PC du réseau local vers la machine proxy à l'aide d'une règle NAT => exemple avec iptables pour rediriger les requetes à destination de 80 vers 127.0.0.1:8080, ça fait du proxy transparent quand bien même les postes clients seraient configurées ou non pour utiliser un proxy

iptables -t NAT -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

 

pour les services mail, il faut ouvrir TCP 110 (pop3) et TCP 25 (smtp) (à moins d'avoir des machines locales faisant office de serveurs de mails => pas d'interrogation de serveurs à l'extérieur du LAN)

 

le FTP est problématique vu qu'il utilise 2 types de connexions:

il faut au moins laisser sortir les TCP 21 (ftp) => les ftp exotiques (autres que ceux écoutant sur du 21 seront inaccessibles)

ensuite selon le type de connexion:

PORT (actif)

c'est le serveur ftp contacté qui va initialiser la connexion de son port 20 vers le client

=> accepter les TCP In -p tcp --sport 20 ayant une relation avec une connexion déjà établie (celle sur le 21 en l'occurence) => utiliser le module ip_conntrack de iptables et la correspondance RELATED

ça devrait donner en gros

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -m state --state NEW -p tcp --sport 1024: -d $FTP_SERV --dport 21 -j ACCEPT

iptables -A FORWARD -m state --state RELATED -p tcp -s $FTP_SERV --sport 20 --dport 1024: -j ACCEPT

 

et pour le PASSIF

iptables -A FORWARD -m state --state RELATED -p tcp --sport 1024: -d $FTP_SERV --dport 1024: -j ACCEPT

 

ceci en ayant activé le masquerading et le forwarding dans iptables.

[Invité tesgaz]

pour le ftp : 21

pour http : 80

telnet :23

pop3 :110

smtp :21

DNS : 53

 

a proteger ou a surveiller principalement :

netbios ns : 137

netbios ssn : 139

[Y@kuz@]

c'est marrant je pensais que le smtp c'était sur le port 25 ...

 

en plus ca sert à rien puisque les users de peer2peer redirigent les ports connus vers ceux courant et authorisés

[Invité tesgaz]

effectivement tu as raison, j'ai pas fait gaffe quand j'ai taper, et je ne me suis pas relue

smtp : 25

[arriashub]

merci pour vos reponses, va falloir que je fasse des essais.

++

[Jimi00]

Un bon conseil, si rien ne doit se connecter de l'exterieur, ferme tous les ports de 1 a 1023... Ce sont les ports dit "systemes" par opposition aux port 1024 a 65535 dits applicatifs et generallement sans danger. Ca ne sert a rien de les bloquer, je dirais meme que si tu le fais, tu risques de ne plus pouvoir faire grand choses...

 

Conclusion : tu fermes tout de 1 a 1023 dans le sens entrant, et dans le sens sortant, c suivant tes besoins, mais 21, 25, 53, 80, 110, 443 (https) et 8080 (pour certains sites qui tournent sur ce port) sont les minimums pour faire du web, du ftp et du mail.

 

NB : liveupdate et windaube update utilisent le port 80 de memoire, donc ce ne sont pas des cas particuliers...