Firewall windows compatible avec vmware - Sécurité - Windows & Software
Marsh Posté le 12-09-2006 à 22:37:27
C'est très certainement un prb de configuration du firewall ou des paramètres réseaux.
Si ton architecture réseau est bien faite, tu peux mettre n'importe quel soft, comme en "vrai".
J'ai utilisé IpCop pour gérer la connexion au net (1ere NIC (carte réseau) pour internet, la seconde pour le LAN (2 dans le PC physique)) pendant quelques jours pour pour tester un truc dessus (IpCop).
MAis en temps normal, j'utilise WinRoute Pro pour gérer tout ça (connexion au net, VPN (OpenVPN), LAN, routages, firewalling, etc.) dans une VM. Les autres PC (virtuels ou physiques) passent par cet OS virtuel pour aller sur le net, ou communiquer "avec" les VPN.
Marsh Posté le 13-09-2006 à 08:10:41
... si mon architecture reseau est bien faite. aie, je uis pas un spécialiste réseau non plus. Dédier une machine virtuelle comme firewall me parait trop compliqué pour l'usage que je veux faire de mon "réseau".
Pour ce qui est de ma configuration réseau, en gros:
- 1 connexion Internet qui arrive sur un router
- 2 PC connectés (PC1 - IP fixe, PC2 - IP attibuéevia dhcp) sur ce router dont 1 qui héberge une machine virtuelle (VM1).
Sur la NAT du router, j'ai redirigé certains ports pour pouvoir me connecter via VNC sur PC1 depuis Internet.
Je souhaite pouvoir faire la même chose: rediriger d'autres port vers VM1.
Mon problème (mais peut être que je me trompe), n'arrivant pas à faire fonctionner vmplayer en bridge à cause de Kerio, VM1 est connecté à Internet via NAT sur PC1. Depuis le router, je ne vois donc pas VM1. Une autre solution je suppose serait d'éditer la NAT de vmplayer, mais je n'ait pas encore réussit cela non plus.
En connectant VM1 via bridge, je'obtiendrai une IP visible directement depuis le router, ce qui simplifiarait beaucoup les choses... si Kerio laisser VM1 se connecter.
Marsh Posté le 13-09-2006 à 08:39:01
Prq utiliser un firewall sur VM1 puisqu'apparemment le routeur s'occupe déjà de protéger ton réseau local ?
Prq ne pas utiliser une IP fixe sur VM1 ?
En bridge (et sans kerio) est-ce que l'attribution DHCP fonctionne ?
Marsh Posté le 13-09-2006 à 09:36:08
C'est vrai je ne l'avais pas spécifié: le firewall est uniquement sur le PC1 qui est directement connect au router en bridge et sans kerio, l'accès à Internet fonctionne. Je n'avais pas touché aux paramètres de connexion de la VM1 aui par default sont en DHCP, le DHCP a du fonctionner correctement. Ceci dit, je ne suis pas allé vérifier spécifiquement les paramètres de connexion.
Pour l'IP fixe sur VM1... je vais y passer certainement, mais pour le moment bien que configuré en DHCP, elle n'a pas changé donc je ne l'ai pas encore fait.
Marsh Posté le 13-09-2006 à 09:53:52
Un truc que je ne comprends pas.
Pourquoi utiliser un firewall puisque ton routeur s'en occupe ? Sauf si il est en mode bridge (comme tu sembles l'indiquer dans ton derniermsg). Mais dans ce cas, (routeur en bridge), le routeur transferai tous les paquets à une de tes machines qui aurai le role de routeur. Mais dans ton 2e message, tu indiques avoir fait un transfert de port pour VNC sur le routeur.
Donc, là, soit tu te plantes, soit tu expliques mal, soit j'ai rien compris...
Ce que j'avais compris de ton install :
- Routeur (celui de free par exemple) en mode routeur (il gère tout, le transfert de port, le partage de la connexion internet, la protection du LAN, etc.)
- Tes PCs qui passent par ce routeur, et donc, aucun utilité de leur mettre un firewall.
Marsh Posté le 13-09-2006 à 10:38:38
Je dois pas très bien m'expliquer en fait.
Le router gère effectivement presque tout... par contre que je sache, il ne fait pas vraiment office de firewall: il n'y a pas de ports de fermer par default et ne filtre pas non plus les droits d'accès des programmes installés sur ni sur PC1ni sur PC2. C'est relativement bien ainsi car l'utilisateur de PC2 doit avoir un accès relativement total à Internet sans que j'ai à lui ouvrir tel ou tel port sur le router.
Le router est bien en "router" puisque les deux PC accèdent grace à lui à Internet. (c'est pas un router free mais comtrend...).
La Nat permet d'acceder depuis Internet à certaines applications serveurs sur le PC1 (VNC/serveur ftp/web etc...)
Marsh Posté le 13-09-2006 à 11:11:18
Le routeur te protège des connexions non amorcées par une de tes machines, c'est le principal.
Un firewall, c'est un système qui filtre, contrôle, bloque/autorise, etc. les paquets en fonction de règles. Utiliser les "firewalls" qui controlent en local les softs éxécutés, c'est se faire suer, surtout dans ton cas (tu as déjà un routeur qui te protège).
Utilise un vrai antivirus, n'installe/n'éxécute pas n'importe quoi, et tu n'auras pas de prb.
Le NAT, ce n'est pas permettre l'accès depuis l'extérieur à des services "internes". Ca c'est le transfert de port.
Le NAT, c'est l'utilisation/partage d'une IP par plusieurs autre sous-systèmes, via le maintien d'une table (vérification des paquets en provenance du réseau externe, les autoriser à passer si il y'a bien eu demande depuis l'intérieur).
Marsh Posté le 13-09-2006 à 12:45:59
Citation : Le routeur te protège des connexions non amorcées par une de tes machines, c'est le principal. |
Citation : Utilise un vrai antivirus, n'installe/n'éxécute pas n'importe quoi, et tu n'auras pas de prb. |
A la base je suis d'accord, mais:
- ex: j'ai un serveur VNC sur mon PC, je ne souhaite pas qu'il soit joignable depuis n'importe quelle IP. cf problème avec faille sur realvnc
- un certains nombre d'application envoie des informations sur internet. Sans être parano, j'aime mieux savoir lesquels.
- je ne pense pas être à l'abri d'un "malware" installé à mon insu sur ma machine ou d'une faille de sécurité (qui a parlé de blaster/sasser &Co). Kerio permet d'en repérer certains au moins. Et pour avoir bossé un tant au support dun FAI, finalement je suis peut être un peu parano en fait.
- Le PC1 n'est pas une machine publique mais je ne suis pas à l'abri que d'autres personnes l'utilisent en tant qu'administrateur... qui ne sont pas forcement aussi consciencieuses.
Je nai peut être pas la même définition « pratique » que toi de la NAT. Je vais essyé déclairer ce point :
Dun côté, si jai bien compris, la NAT doit rediriger les paquets entrant en fonction des demandes internes. Cest la définition que javais compris à la base de la NAT. Néanmoins, sur mon dans le menu dadministration de mon routeur, et cest certainement un abus de langage, pour que mes serveur/services soient accessibles depuis lextérieur, je dois définir dans une table appelé exactement « NAT -- Virtual Servers Setup » les paramètres suivant : « Server Name » « External Port Start » « External Port End » « Protocol » « Internal Port Start » « Internal Port End » « Server IP Address ». Cette table me permet de rediriger les paquets entrant sur le routeur vers le(s) port(s) dune IP de mon LAN. Remarque, cest peut être ce que tu appelles « transfert de port » mais pour la traduction ce terme me faisait penser à une autre option dadministration du router appelé « NAT -- Port Triggering Setup » (dont la définition sur le routeur est la suivante : Some applications require that specific ports in the Router's firewall be opened for access by the remote parties. Port Trigger dynamically opens up the 'Open Ports' in the firewall when an application on the LAN initiates a TCP/UDP connection to a remote party using the 'Triggering Ports'. The Router allows the remote party from the WAN side to establish new connections back to the application on the LAN side using the 'Open Ports')
Tout ça pour dire que je préfère avoir un "petit" firewall sur mon PC1.
Marsh Posté le 12-09-2006 à 21:53:33
Bonjour,
Tout d'abord, avant de me faire taper parce que le sujet aurait été abordé des milliers de fois ;-) je tiens à dire que jai effectué des recherches sur google&co, sur le forum et ses topic uniques et quelles se sont relevées peut pertinentes.
Je cherche donc à changer mon firewall actuel Kerio 2.1.5 car il nest pas entièrement compatible avec vmplayer : il ne laisse pas la connexion de la machine virtuelle en mode bridge passer.
Rq1 : la connexion fonctionne bien si vmplayer est connecté en NAT, mais cela nest pas une solution.
Rq2 : Ce nest pas une solution sauf si je réussi à régler mon problème initiale : prendre la main sur une machine virtuelle depuis internet via une connexion VNC.
Jaimerais donc trouver un firewall aussi simple que Kerio de préférence gratuit relativement complet et qui marche parfaitement avec wmplayer.
Jai déjà essayé jpfwall, mais autant dire que cétait trop compliquer à mon goût.
Je suis donc tout à lécoute de vos commentaires.
Merci
---------------
-----------------------