Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Config de mon parefeu


Berfizan
 Partager

Messages recommandés

Bonjour

 

J'ai dans mon routeur ( Inventel DWB200 ) un parefeu intégré configuré en filtre entrée et sortie.

 

Pour pouvoir accéder à ma banque ( site en https ) je suis obligé d'ouvrir le port 443.

 

J'ai donc récupérer l'adresse ip du site par un netstat -ano et j'ai configuré comme suit, dernière ligne du tableau.( 192.168.1.201 est l'adresse du PC à partir duquel je me connecte à ma banque. )

 

invt4lc.jpg

 

Ca marche ( si je ne le fais pas, je ne peux pas me connecter ) mais pensez-vous que ce soit cohérent en terme de sécurité?

 

C'est-à-dire, cela signifie bien que tout ce qui sort du PC 192.168.1.201 par le port 443 ne peut aller que sur l'adresse IP de ma banque ?.

 

Merci d'avance pour vos remarques éventuelles

Modifié par berfizan
Lien vers le commentaire
Partager sur d’autres sites

Salut,

443 est un port serveur,

peut-être qu'il faut indiquer port d'origine = 443 et destination = any

et mettre l'ip de ta banque en source, et any (ou la tienne si elle est fixe) en destination.

La règle devrait plutot être spécifiée pour les paquets entrant, non ? Les deux peut-être ?

C'est tout de même étrange qu'il faille créer une règle pour ce genre d'opération :P

Modifié par odSen
Lien vers le commentaire
Partager sur d’autres sites

Merci de ta réponse qui, malheureusement, ne répond pas à ma question.

 

C'est tout de même étrange qu'il faille créer une règle pour ce genre d'opération

 

Perso ça ne m'étonne pas vraiment, ca me va bien méme.( Pour info, j'ai le même fonctionnemt lorsque je veux me loguer chez mon FAI, le point commun entre lui et ma banque est que ce sont des sites https )

 

La principale question est :

 

C'est-à-dire, cela signifie bien que tout ce qui sort du PC 192.168.1.201 par le port 443 ne peut aller que sur l'adresse IP de ma banque ?.

 

Je n'ai pas de problème d'accès au site avec la règle que j'ai definie.La doc du routeur est très succinte sur ces règles.

 

La règle devrait plutot être spécifiée pour les paquets entrant, non ? Les deux peut-être ?

 

Si je ne filtre qu'en entrée, je n'ai besoin d'aucune règle.

 

Merci encore ..

Modifié par berfizan
Lien vers le commentaire
Partager sur d’autres sites

C'est-à-dire, cela signifie bien que tout ce qui sort du PC 192.168.1.201 par le port 443 ne peut aller que sur l'adresse IP de ma banque ?.

 

oui

 

Cependant, si l'organisation de leur réseau est modifié pour une raison x ou y (serveur https transféré sur une autre machine), il se peut que tu te trouves un jour ou l'autre coincé en attente d'une connexion qui ne se fera pas.

 

//si tu veux éviter qu'un autre PC se connecte sur cette banque en prenant ton adresse IP, tu peux raffiner en rajoutant l'adresse MAC de ton interface réseau par exemple

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci

 

Cependant, si l'organisation de leur réseau est modifié pour une raison x ou y (serveur https transféré sur une autre machine), il se peut que tu te trouves un jour ou l'autre coincé en attente d'une connexion qui ne se fera pas.
Ok bien sur

 

Mais je ne vois pas ou je pourrais stipuler l'adresse Mac de ma carte réseau dans mon routeur.

 

Est-ce qu'un parefeu logiciel genre zone alarm ou kério permet ce genre de finesse ?

 

Bonne journée

Modifié par berfizan
Lien vers le commentaire
Partager sur d’autres sites

Comme le DWB tourne sur un noyau linux, j'avais modifié directement les règles en se connectant en telnet dessus avec le script que tu trouveras sur ce lien: http://www.wlanfr.net/forum.php?op=mess&pid=1959&pg=5 (12eme msg).

 

Je ne sais plus si l'interface web du routeur permet de faire ça (j'en doute)

 

il suffit de modifier un peu la règle pour HTTPS pour qu'elle ressemble à ceci:

iptables -A br0-ppp0 -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.1.201 -p tcp -d <adresse_du_serveur_https_de_la_banque --dport 443 -j ACCEPT 

Lien vers le commentaire
Partager sur d’autres sites

Ouf, là c'est trop trapu pour moi.( Surtout pour revenir en arrière si problème )

 

Je sais me connecter en telnet , sur le routeur.

 

Je sais créer un fichier.

 

Il y a un fichier nommé adv_firewall.conf qui contient ceci :

 

DNS TCP any 42 any any ACCEPT LOCAL

HTTP TCP any 80 any any ACCEPT LOCAL

FTP_DATA TCP any 20 any any ACCEPT LOCAL

FTP TCP any 21 any any ACCEPT LOCAL

Domain UDP any 53 any any ACCEPT LOCAL

SMTP_TCP TCP any 25 any any ACCEPT LOCAL

POP3_TCP TCP any 110 any any ACCEPT LOCAL

POP3_UDP UDP any 110 any any ACCEPT LOCAL

NNTP TCP any 119 any any ACCEPT LOCAL

HTTPS TCP any 443 192.168.1.201 adresse_de_ma_banque ACCEPT LOCAL

HTTP TCP any 80 any xxx.xxx.xxx.xxx ACCEPT LOCAL

 

Est-ce que je pourrais modifier à ce niveau ?

 

sinon merci pour ta réponse et le lien sur ce forum que je vais "creuser"

Modifié par berfizan
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...