Bonjour, je suis nouveau sous la clark, avant j'utilisais IPCOP depuis plusieurs années mais la clark m'offre plus de service et m'évite une deuxième machine tel SME.
Voici ma config :
9box Trio 3D en mode routeur (obligé pour bénéficier du tel gratuit car en modem les comm me sont facturés)
9box: IP 192.168.1.1 et DMZ activée sur 192.168.1.2 comme cela tout est transféré sur la clark avec uPnp activé
ClarkConnect: RED: 192.168.1.2 - GREEN : 192.168.0.254/24
DNS1 : 192.168.1.1
GATEWAY : 192.168.1.1
PC1 : 192.168.0.10/24 sous XP/SP3
PC2 : 192.168.0.11/24 sous XP/SP3
Mon problème :
j'utilise ZOIPER qui est un softphone de téléphonie IP et qui donc utilise le protocole SIP port 5060 UDP et aussi les ports de 10000 a 20000 UDP.
Ce qui me perturbe et que j'arrive à établir des communications VOIP alors que je n'ai configuré aucune règle dans la partie NAT de la clark et la partie firewall n'est pas modifié par rapport à l'install de base.
Apres une analyse sous shields up https://www.grc.com/x/ne.dll?bh0bkyd2 les ports apparaissent bien STEALTH, donc comment est-ce possible alors que je n'ai pas de règles concernant le NAT.
Sous IPCOP tout était bloqué par défaut en Entrant et je devais faire mes règles de NAT sans quoi je ne pouvais m'enregistrer chez mon fournisseur et établir de communications IP.
Services en fonction sous la Clark :
Antivirus----------------------------------------Lancé
Base de données MySQL---------------------Arrêté
Détection d'intrusions - Snort----------------Lancé
Filtre de contenus - DansGuardian-----------Lancé
Filtre de protocoles----------------------------Arrêté
Mises à jour antivirus--------------------------Lancé
Moteur de listes grises------------------------Arrêté
OpenVPN---------------------------------------Arrêté
Partage Windows/Samba---------------------Lancé
Prévention d'intrusions - SnortSam----------Lancé
Samba/Windows NetBIOS---------------------Lancé
Serveur Cache DNS----------------------------Lancé
Serveur FTP - ProFTP--------------------------Arrêté
Serveur Web - Apache------------------------Arrêté
Serveur d'impression - CUPS-----------------Arrêté
Serveur de courriers - Postfix----------------Arrêté
Serveur mandataire web - Squid-------------Lancé---Mode Transparent ACTIF - Filtre bannière ACTIF
VPN - PPTP-------------------------------------Arrêté
Si quelqu'un pouvait m'éclairer sur le sujet, est-ce que je dois activer le filtre de protocole et tout bloquer pour après faire mes autorisations au coup par coup ?
Merci pour les réponses.
NAT????
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Re: NAT????
par ccnet » 22 Août 2009 14:48
stack a écrit:Ce qui me perturbe et que j'arrive à établir des communications VOIP alors que je n'ai configuré aucune règle dans la partie NAT de la clark et la partie firewall n'est pas modifié par rapport à l'install de base.
Je n'utilise pas Clarkconnect en mode passerelle. Néanmoins, il serait judicieux de regarder ce qu'il en est des régles et transferts par défaut. Je pense qu'il existe des règles par défaut, actives à l'issue de l'installation. Dasn le cas contraire vous ne pourriez, sans modification de la configuration, vous connecter à rien.
Apres une analyse sous shields up https://www.grc.com/x/ne.dll?bh0bkyd2 les ports apparaissent bien STEALTH, donc comment est-ce possible alors que je n'ai pas de règles concernant le NAT.
Il y a là une confusion entre état d'un port et translation de ports et, ou d'adresses. Pour l'utilitaire ShieldUp un port est "stealth" dès lors qu'il n'y a pas de réponse à l'envoi d'un paquet SYN. Il est donc assez normal (euphémisme délicat) qu'en l'absence de nat, le port n'étant pas utilisé, il n'y ait pas de réponse à l'envoi d'un SYN. Il est rare que l'on mettre une règle nat sans service derrière.
Néanmoins si l'on met en place une translation vers une machine active mais sans service derrière le port choisi, celui ci apparaitra, pour ShieldUp, "Stealth".
On peut aussi, derrière un firewall, placer une machine avec un ou plusieurs services actifs sans pour autant utiliser de nat.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par stack » 22 Août 2009 15:52
Oui, je me suis exprimé un peu rapidement, bien que mon port 5060 soit STEALTH cela ne veut pas dire qu'il y ait de NAT.
Par contre il doit bien y avoir une règle de NAT qlq part sinon mon softphone ne marcherais pas.
Je n'arrive pas a retrouvé sur le site de la clark une rubrique indiquant la configuration de depart du firewall. Style IPCOP bloque tout traffic entrant et laisse tout sortir du LAN sauf si on installe BOT.
Par contre dans la partie "Firewall-Sortant", il existe une option "Bloquer tout le trafic sortant" (activé par défaut) et qui n'existe pas dans la partie "Firewall-Entrant : bloquer tout le trafic entrant".
Dans "Firewall - Entrant" on a 2 ports ouverts par defaut : smtpmail 25 TCP & websevices 1875 TCP que j'ai désactivé.
Voila, merci pour la réponse rapide. Si quelqu'un d'autre a une idée.....
Par contre il doit bien y avoir une règle de NAT qlq part sinon mon softphone ne marcherais pas.
Je n'arrive pas a retrouvé sur le site de la clark une rubrique indiquant la configuration de depart du firewall. Style IPCOP bloque tout traffic entrant et laisse tout sortir du LAN sauf si on installe BOT.
Par contre dans la partie "Firewall-Sortant", il existe une option "Bloquer tout le trafic sortant" (activé par défaut) et qui n'existe pas dans la partie "Firewall-Entrant : bloquer tout le trafic entrant".
Dans "Firewall - Entrant" on a 2 ports ouverts par defaut : smtpmail 25 TCP & websevices 1875 TCP que j'ai désactivé.
Voila, merci pour la réponse rapide. Si quelqu'un d'autre a une idée.....
- stack
- Second Maître
- Messages: 32
- Inscrit le: 09 Déc 2006 10:49
- Localisation: Herault - Montpellier
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité