Ports > 1024

[Bernard]

Bonjour à tous. <BR> <BR>J'ai envie de bloquer les ports supérieurs à 1024, pour empécher les utilisateurs d'utiliser ICQ, IRC, etc... <BR>Est ce une bonne idée? <BR>Comment faire? <BR>Merci de vos réponses <BR> <BR>A++ <BR>Bernard

[mac]

Attention, j'ai lu quelque part que les ports supérieurs a 1024 sont utilisé lors du surf sur internet (entre autre) : le serveur http est requêté sur son port 80 mais renvoie la réponse sur un port définit par le client (ta machine locale) ce port étant un port libre et choisit parmis les ports > a 1024 <BR>Si tu bloques, en entrée sur IPcop, les ports > a 1024, il y a des chances que tu ne puisses plus surfé : les serveurs sur internet ne pourront pas t'envoyer les pages que tu as demandé. <BR>Ceci dit, je peux me tromper. Si quelqu'uns a des infos...

[bruno]

Evidemment , mac a tout à fait raison de ce côté là. <BR>Si tu bloques tous les ports > 1024 tu vas être très très embetté. <BR>Lorsqu'une connexion s'ouvre entre deux ordinateurs, un serveur et un client, elle s'ouvre entre les deux adresses IP bien sûr mais aussi entre deux ports, un port serveur du côté de l'ordinateur serveur, et un port client du côté de l'ordinateur de l'internaute. <BR> <BR>Et il en est de même pour le web ou le mail. Donc, si tu fermes tout, aucun logiciel client ne fonctionnera sur les machines de tes utilisateurs. <BR>A+ <BR> <BR>Bruno

[Bernard]

Merci à tous. <BR> <BR>En fait, je veux obliger les postes clients à pratiquer du surf pur et dur, sans autre chose que du ftp, hhtp, smtp et pop. <BR>je pensais que ces protocoles n'utilisaient que les ports standards (25, 110, 80, etc) <BR>Bon, je me replonge dans les RFC... <BR> <BR>A++ <BR>Bernard

[mac]

peut etre qu'en bloquant toutes les <u>sorties</u> sur internet des ports autres que le 80, le 21, le 443 (ssl) etc... tu arriveras a tes fins. <BR>ca ne marchera peut etre pas, mais il faut essayer. <BR>Par contre il faut se palucher la config d'ipchains a la main pour faire ça !

[bruno]

oui je suis de cet avis aussi... <BR>Et pas uniquement pour ne pas être contrariant <IMG SRC="images/smiles/icon_wink.gif">

[Sorg]

Tu peux ploquer les ports > 1024 et surfer normalement si tu actives Squid en mode trensparent <BR>Sinon la manip pour bloquer les messageries instatanées est indiqués sur un site dont l'url est indiquée régulièrement sur ce forum... je l'ai plus en tete mais elle a été donnée très récemment.

[wann]

Effefctivement, si on bloque tous les ports supérieurs à 1024, plus aucune application ne pourra envoyer ses requêtes vers internet. En effet, si chaque application serveur utilise un port précis sur lequel elle écoute (port dit "well known", inférieur à 1024), l'appplication cliente utilise un port supérieur à 1024, aléatoire, pour effectuer sa requête. <BR>En paramétrant Ipchains d'une part, et Squid d'autre part, on doit pouvoir obliger les utilisateurs à utiliser le proxy pour se connecter à internet. Je ne pense pas qu'il faille fermer les ports en output mais plutôt interdire le forward... Qu'en pensent les personnes compétentes en ipchains (je ne le suis pas <IMG SRC="images/smiles/icon_smile.gif"> ) ? <BR>

[GlouglouLeDindonFou]

je relance un vieux sujet mais je voudrait savoi si c possible de juste fermer les ports >1024 o lieu de les bloker? <BR>le surf marchera tjs? <BR>et komment on fait?

[tomtom]

excusez moi, je ne connais pas ipcop, mais quand même.... <BR> <BR>C'est un firewall "statefull" ipchains, non ? <BR> <BR>Donc on peut raisonnablement bloquer les paquets à destinations de ports > 1024, si on autorise par défaut les paquets entrant "related" ou "established", ca ne devrait poser aucun soucis pour surfer......Il me semble en tout cas... <BR> <BR>En ecrivant les règles à la main, aucun pbme... <BR> <BR>Avec IPCop, je ne sais pas.... <BR> <BR> <BR> <BR>