config Firewall + questions sur protocoles, ports, UDP, etc..

config Firewall + questions sur protocoles, ports, UDP, etc.. - Windows & Software

Marsh Posté le 28-06-2001 à 02:48:04    

Salut,
 
Tout d'abord, j'ai jamais posé autant de question dans un seul POST. Désolé, mais là j'ai pas envie de foirer la config du firewall, et en même tps j'ai envie de réellement comprendre certaines chose plus poussée en réseau. Donc j'espère avoir le plus d'info, claires, etc.. possible (et puis... J'ai fais une recherche sur 2 ou 3 mois, et j'ai rien trouvé d'interressant).
 
-------  
 
Je viens d'installer Tiny Personnal Firewall, et j'ai quelques questions ...
 
J'arrive très bien à configurer les softs, en entrée/sortie, IP, ports, etc...
 
Par contre, niveau UDP, TCP, ICMP, à part 2 3 trucs je n'y connais rien.
 
J'ai donc peur de ne pas bloquer ce qu'il faut, bloquer ce qu'il ne faut pas, etc... (pas pratique ... :p).
 
Donc si vous pouvez m'en dire plus sur (Ex des Rules de Tiny) :
 
 
Voici tout ce qui est autorisé de base, suite à l'install (alors  
que j'ai dis que je voulais désactiver NETBIOS).
 
- Loopback        - UDP/TCP    (test IP local je crois ?)
 - NetBT Datagram  - UDP     Toutes IP, port 137/138 dans les 2 sens
 - NetBT Session   - TCP Out    139, toutes IP
 - DNS             - UDP in/out 53, toutes IP
 - OutGoing ICMP Echo Request ( ??? ) ICMP Out    toutes IP
 - InComing ICMP Echo Request (? bis) ICMP in     toutes IP

 
Donc que faut il laisser, bloquer ? Pourquoi ?
A quoi correspondent chaque ligne ?
 
 
Êt...  Quand je surf avec IE, j'ai indiqué que j'autorisais IEXPLORE, ça c OK.
Mais ensuite, j'ai des demandes de PERMISSION/BLOCAGE du genre :
'SYSTEM' from your computer wants to send UDP datagram to 195.218.139.150, port 137  ou 138, etc...  Qu'est-ce que ça a voir avec le HTTP, le FTP ??? Il suffit que j'appelle un site Web, FTP, puis j'ai ça. Application détectée = SYSTEM
 
A quoi correspond le port 137 et 138 ?
 
 
Et dernière chose je pense, chez mon pote, nous avons eu ces msg, et je comprends pas tout ...
 
'SYSTEM' from your computer wants to send UDP datagram to 62.57.123.168, port137  
 
Someone on address cy64981-a.vnnys1.ca.home.com [24.21.32.178] wants to send ICMP packet to your machine
(Destination Unreachable)
 
'SYSTEM' from your computer wants to send UDP datagram to 206.65.183.95, port 137

 
(ce sont 3 msg differents).
 
Et là 'SYSTEM' from your computer wants to send UDP datagram to 169.254.255.255, port 138, c'est ma machine qui broadcast (*.*.255.255), mais pourquoi ? à intervalle régulié... A quoi ça sert ? Si je le bloque qu'arrive t'il ?
 
 
Voilà, désolé si je m'embrouille des mes questions, il est presque 3h du mat et j'ai plus que 3h30 de dodo avant le boulot, je dors déjà depuis 1 heure... (vive la loque ..).
 
Et bien, si j'arrive a avoir toutes les réponses à mes questions là... j'en reviendrais pas :p
 
D'avance merci.

 

[edtdd]--Message édité par groody--[/edtdd]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 28-06-2001 à 02:48:04   

Reply

Marsh Posté le 28-06-2001 à 09:40:11    

donc après avoir posté ce msg, je suis quand même resté jusqu'à 5 heures du mat pour me creuser la tête, tester la connexion avec différents sites internet ( voir VERIFICATION sur www.firewall-net.com ), etC.. J'ai réussis à bloquer certains ports, depuis, plus le moindre trou de sécurité (par rapport aux tests).
 
Voici la liste de mes règles (en JPG). Je l'affiche pas direct dans le post, c'est assez grand, et tout le monde n'a ptet pas envie de se faire chier à la charger.
 
http://anakin.fr.fm/temp/tinypfw.jpg
 
 
Si quelqu'un peut me dire si j'ai pas fais de conneries, dans la priorité des RULES, les ports, si j'ai pas bloqué un truc qui risque de faire chier, etC...
 
Merci


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 28-06-2001 à 10:49:53    

Please.
 
 
Faut-il aussi bloquer ICMP  - [3] Destination Unreachable
 
A quoi correspond [3] Destination Unreachable ?


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 28-06-2001 à 11:39:22    

Regardes ici
http://www.robertgraham.com/pubs/firewall-seen.html


---------------
la Tv sans l'image c'est de la radio, la Tv sans le son c'est une panne ...
Reply

Marsh Posté le 28-06-2001 à 11:45:09    

Ok pour l'URL. Pour être franc, je suis en train de regarder ton site, mais le prb c'est tout en anglais, et je suis pas une bête, donc je risque de ne pas tout comprendre correctement, ce qui est dommage puisque là c'est des réponses assez précises que j'aurai aimé avoir, donc si je pense comprendre des trucs, je suis mal barré. MAis je regarde quand même. Je rajoute ça aux liste de PORT / Utilisation que j'ai trouvé tout à l'heure.
 
Si quelqu'un veut quand même essayer de m'expliquer certaines (toutes ? :p) choses, par rapport à mes questions, ça m'aiderai pas mal.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 28-06-2001 à 11:56:28    

J'ai pris l'URL, et je l'ai faite traduire par http://outils.wanadoo.fr, c'est mieux que l'anglais, mais j'espre qu'il n'y a pas trop d'erreurs .. :/
 
Plus clairement, et plus simplement que les centaines de page de texte qu'il y a sur cette page ? :p


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 29-06-2001 à 00:40:09    

Please


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 29-06-2001 à 00:47:40    

bon vite fait :
 
ICMP, C le ping ;) tu peux bloquer en entrée ( la personne qui te pingue aura host unrescheable = machine inexistante )
 
les ports 137/138/139 C les ports netbios : a bloquer aussi :)
 
G jamais fait de conf de firewall mais je sais que les ping et netbios, fo mieux bloquer sinon ton firewall sert à rien ;) surtout netbios :gun:
 
@+


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 29-06-2001 à 00:49:51    

fais gaffe a ICQ aussi ;)


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 29-06-2001 à 01:14:32    

ah putain je croyais que personne voulait m'aider ;)
 
Pour le ping c OK. J'ai fais les règle pour que je puisse pinger, et recevoir le Echo Reply.
 
Par contre je n'accepte pas les ECHO Request, donc on me ping pas.
 
Pour Netbios j'ai trouvé quelques infos tard la nuit dernière. J'ai bloqué aussi.
 
 
Pourquoi faire gaffe a ICQ ? Si j'autorise toutes les IP, sur tous les ports (puisque il utilise aussi des port dynamique en plus des prts 4000 ..).
 
 
Allez apprenez moi des choses :p (à part me dire d'acheter un bouquin ...)


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 29-06-2001 à 01:14:32   

Reply

Marsh Posté le 29-06-2001 à 01:21:02    

Pour ICMP, y'a pas que le ping ...
 
Par contre je ne sais pas à quoi sert tout ça pour ICMP :
 - 0 - Echo Reply      ( réponse de ping )
 - 3 - Destination Unreachable
 - 4 - Source Quench
 - 5 - Redirect
 - 8 - Echo Request    ( demande de ping )
 - 9 - Router advertisement
 - 10 - Routeur Solicitation
 - 11 - Time Exceeded
 - 12 - Paramater Problem
 - 13 - Timestamp
 - 14 - Timestamp Reply
 - 15 - Information Request
 - 16 - Information Reply
 - 17 - Address Mask Request
 - 18 - Address Mask Reply
 
 
Je lu que si on en bloquait quelques un, on pouvait se faire déconnecter (provider qui ne peut plus vérifier notre présence ?).
Lesquel bloquer, lesquel garder, etc.. ?


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 02-07-2001 à 17:19:56    

UP, j'ai besoin d'en connaître plus sur tout ça :)
 
juste avoir des réponses à mes question ;)


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 03-07-2001 à 16:20:47    

Tain vous êtes nuls... :D
 
bon, puisque presque aucune réponses, même quelques infos me suffiront (mieux que rien), alors n'hésitez pas.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 08:45:12    

UP, après j'arrette si aucune réponse, c le dernier
 
:(


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 15:40:31    

allez je vais etre sympas*
mais fo remercier celui qui ma aidé :D
 
deja prend Zona Alarm -> bien
ensuite tu lis le post
 
http://forum.hardware.fr/sqlforum/ [...] e=0&cache=
 
tu le configgure avec  
 
http://websec.arcady.fr/ZA01.htm
 
et un GROs merci a patparis :love:


---------------
www.clan-HardFr.fr.st
Reply

Marsh Posté le 04-07-2001 à 15:47:45    

Zone Alarm po bien, Zone Alarm Pro est bien. La version non pro a un firewall qui est une passoire ou presque et presque pas customizable.
 
Sinon comme le dit bruno31 a bloque en priorite c'est le netbios et les pings (ca evite pas mal d'ennui).
 
 
Prend un ZAPro, et par defaut ca config est deja bien niveau securite. Tu pourras tj l'ameliorer en bloquant plus de port.


---------------
VT ... Vaucluse / Vrille(euse :sarcastic: ) c'est pareil tant qu'il y a l'humour :D
Reply

Marsh Posté le 04-07-2001 à 15:51:53    

Désolé, j'ai choisis Tiny FW personnal et il me plait.
J'ai essayé ZA (pro je crois), et je n'aime pas du tout.
 
Je ne demande pas comment configurer tel ou tel FW, mais plutot, 'en connaître un peu plus sur certains ports, proto, tout ce qu'il faut bloquer, etc...
 
Du genre les questions ci-dessus (ICMP, etc...).
 
Grace à ces connaissances que je pourrais avoir, je saurais configurer mon FW.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 15:52:50    

Je vais quand même lire le site http://websec.arcady.fr/ZA01.htm  pour en savoir plus :).


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 15:59:48    

VisualC++ a écrit a écrit :

Zone Alarm po bien, Zone Alarm Pro est bien. La version non pro a un firewall qui est une passoire ou presque et presque pas customizable.
 
Sinon comme le dit bruno31 a bloque en priorite c'est le netbios et les pings (ca evite pas mal d'ennui).
 
 
Prend un ZAPro, et par defaut ca config est deja bien niveau securite. Tu pourras tj l'ameliorer en bloquant plus de port.  




 
et AT-GUARD ten pense skoi  ?


---------------
www.clan-HardFr.fr.st
Reply

Marsh Posté le 04-07-2001 à 16:02:17    

Je l'ai utilisé pendant 2 ans, et j'ai aimé.
 
Maintenant que j'ai essayé Tiny P FW, c'est finit. Il est un peu vieux, plus de mises à jour depuis qu'ils ont fermé, etc..


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 16:11:59    

AT-Guard, oui a priori sympa mais pas fana de lui.
Ce que j aime dans ZA (pro) c'est qu il est tres facile d'utilisation, discret, ressources minimes et tres facile a configurer. De plus on peut interdire des applications a acceder a internet/lan tres facilement.


---------------
VT ... Vaucluse / Vrille(euse :sarcastic: ) c'est pareil tant qu'il y a l'humour :D
Reply

Marsh Posté le 04-07-2001 à 16:18:02    

Pour Tiny Personal FW, pareil. Discret, ressources, TRES faciles, administrable à distance, visionnage des LOGs à distcance, etc..
 
ZA, je n'ai pas aimé l'interface (j'avoue je l'ai pas bcp testé), ça faisait un peu Soft à la MicroApplication...
 
Essayez de tester Tiny.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 16:23:08    

Sinon Groody pour repondre (succintement) a ta question d'origine.
 
Le ping on bloque car c'est une attaque connu, si tu recoit 1500 ping/sec dans la tete, ton OS/CPU vont passe un temps monstrueux a renvoye les paquets, et suivant les systemes c est le plantage.
 
Pour les ports 137/139 et Netbios, c'est utilise principalement pour ce qui est nomage des stations. On peut grace a Netbios recuperer le nom des machines.
Les ports 137 (Broadcast principalement sur ce port) et 139 (unicast) sont utilises dans les environement Windows pricipalement pour ce qui est de l'explorateur de reseau et tout les MS Share dump.
Ont les bloques car personne sur internet n'a besoin d'avoir acces aux nom de nos machines/noms de nos lans qui sont derrieres en gros (bon c'est pas juste pour ca mais on fait simple).


---------------
VT ... Vaucluse / Vrille(euse :sarcastic: ) c'est pareil tant qu'il y a l'humour :D
Reply

Marsh Posté le 04-07-2001 à 16:24:31    

groody a écrit a écrit :

 
Essayez de tester Tiny.  




 
J'avais teste mais pas aime et le firewall pas top je trouve (et d'ailleurs il est mal note par les sites de securites, y avait un post qqpart ici ou sur le forum seti).


---------------
VT ... Vaucluse / Vrille(euse :sarcastic: ) c'est pareil tant qu'il y a l'humour :D
Reply

Marsh Posté le 04-07-2001 à 16:30:19    

Arf, pas de chance, les seules choses que je connaisse c'est pour les PINGS (déjà bloqué) et pour le NB..
 
Enfin je ne savais pas ça :
>>Les ports 137 (Broadcast principalement sur ce port) et 139 (unicast)
 
Merci, si t'as plus d'infos pour le reste je suis preneur :p
 
Pour tiny, je l'ai vu assez bien noté sur un site de sécu. 13 alors que tous les autres était en dessous à part (peut etre) celui de Conseal.
 
Pas essayé& la dernière version ?


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 04-07-2001 à 17:01:09    

non pas essaye, j'etais passe a ZA Pro et maintenant la version 2.6 et comme il me convient (en plus il a pas de boulot etant donne que mon routeur/firewall laisse rien passe, je n'utilise vraiment que la partie autorisation des softs de ZAP) je ne change pas.
 
Bah apres pour plus de renseignement, c'est les RFC ou autres sites specialises comme protocols.com.
 
A+


---------------
VT ... Vaucluse / Vrille(euse :sarcastic: ) c'est pareil tant qu'il y a l'humour :D
Reply

Marsh Posté le 05-07-2001 à 13:57:23    

groody a écrit a écrit :

Pour ICMP, y'a pas que le ping ...
 
Par contre je ne sais pas à quoi sert tout ça pour ICMP :
 - 0 - Echo Reply      ( réponse de ping )
 - 3 - Destination Unreachable
 - 4 - Source Quench
 - 5 - Redirect
 - 8 - Echo Request    ( demande de ping )
 - 9 - Router advertisement
 - 10 - Routeur Solicitation
 - 11 - Time Exceeded
 - 12 - Paramater Problem
 - 13 - Timestamp
 - 14 - Timestamp Reply
 - 15 - Information Request
 - 16 - Information Reply
 - 17 - Address Mask Request
 - 18 - Address Mask Reply
 
 
Je lu que si on en bloquait quelques un, on pouvait se faire déconnecter (provider qui ne peut plus vérifier notre présence ?).
Lesquel bloquer, lesquel garder, etc.. ?  




 
Et tout ça ?
 
Qu'est-ce ?
Que faut-il faire ?


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed