Comprendre les transfert de ports

[Bobyonekenobi]

Salut a tous

Jusque ici j'ai toujours trouvé réponse a mes questions sur ce forum mais ce coup ci j'ai une petite question qui me tarabuste et a laquelle je n'ai pas trouvé d'explication.

Voici ma config:

Ipcop 1.4.5 freebox

eth0 Link encap:Ethernet HWaddr 00:08:54:36:64:A9
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48737603 errors:0 dropped:0 overruns:0 frame:0
TX packets:44706147 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1349453384 (1286.9 Mb) TX bytes:1350487979 (1287.9 Mb)
Interrupt:11 Base address:0xd000

eth1 Link encap:Ethernet HWaddr 00:50:FC:47:F3:8A
inet addr:x.x.x.x Bcast:x.x.x.x Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MTU:1500 Metric:1
RX packets:44952973 errors:0 dropped:0 overruns:0 frame:0
TX packets:48738556 errors:0 dropped:0 overruns:2 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1376926734 (1313.1 Mb) TX bytes:1341014584 (1278.8 Mb)
Interrupt:12 Base address:0xf000

eth2 Link encap:Ethernet HWaddr 00:05:5D:0A:86:70
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:5 Base address:0xe000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8270 errors:0 dropped:0 overruns:0 frame:0
TX packets:8270 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:544499 (531.7 Kb) TX bytes:544499 (531.7 Kb)

Sur le réseau vert: une machine Win XP en 192.168.1.2
Sur le reseau orange: rien en ce moment

J'ai fait une redirection des ports 4663 et 1337 vers l'ip de ma machine Windows (192.168.1.2) sur laquelle tourne emule (utilisation du port 4663) et Waste (1337).

Je ne suis pas tres calé en réseau, c'est pour ca que je me pose la question suivante:
Lorsque je fais un audit de mes ports depuis ma machine Windows via http://www.grc.com/x/ne.dll?rh1dkyd2 ou tout autre auditeur de sécurité, il me rapporte que mes ports 4663 et 1337 sont OUVERTS.
Comme les connexions sont initiées par le réseau vert, j'imagine que ce comportement est normal.

Ce qui m'inquiete un peu plus c'est que j'ai donné mon ip publique a un pote pour qu'il la scanne depuis internet et j'ai exactement les memes résultats: ports 4663 et 1337 OUVERTS.

Ca doit etre normal mais il y a quelque chose qui m'echappe: je comprendrais si j'avais déclaré un accès externe sur ces ports mais ce n'est pas le cas.

Quelqu'un peut il me l'expliquer comme si j'avais 5 ans?

Merki d'avance.

[neodragon]

"accès externe" ne concerne que l'accès au poste ipcop depuis le red.
"transfert de port" concerne l'accès à une machine particulière du réseau (green, blue ou orange) depuis le red.

Dans les deux cas cela ouvre un port mais dans le premier le port est ouvert sur ipcop et dans le deuxième le port est ouvert sur la machine destination. Donc les résultats que tu obtiens sont normaux. C'est pour cela qu'il est conseillé de ne faire des transfert de ports que sur des machines en zone orange.

[Bobyonekenobi]

Thx Neogragon

[Franck78]

Comme les connexions sont initiées par le réseau vert, j'imagine que ce comportement est normal.

non

C'est pour cela qu'il est conseillé de ne faire des transfert de ports que sur des machines en zone orange.

Et des transferts de ports vers des machines "serveur" car une machine client n'a que faire de pouvoir recevoir une requète sur un port donné.... !

Emule fournit un client et un serveur. Donc il faut bien en tranfert pour lui. Et le port est bien vu ouvert puisqu'emule répond !



Bye

[Bobyonekenobi]

Bobyonekenobi a écrit:
Comme les connexions sont initiées par le réseau vert, j'imagine que ce comportement est normal.

non

Comme la reponse est tres brève je vais faire l'hypothèse que tu veux dire que les connexions ne sont pas initiées par le réseau vert et non pas que ce comportement est anormal.

Mais comme tu l'as si bien dit Franck78, je dois faire un transfert de port pour qu'emule ne soit pas en LowID et il en est de même pour Waste si les personnes avec qui je suis en réseau veulent se connecter a moi vu que je suis un des rares en ip fixe sur ce réseau privé.

Je me vois mal mettre mon pc sur l'interface orange sous pretexte que j'ai la mule et Waste... meme si c'est la seule solution a ce problème.

Donc 2 ports ouverts et pas moyen de faire autrement si j'ai bien compris.

Question subsidiaire: Quelqu'un sait comment le site Shields Up de Steeve Gibson arrive tout de meme a déterminer l'adresse IP d'un pc qui se trouve derriere un proxy anonyme?
Je suis curieux de le savoir car le site de PC Flank n'y parvient pas...

Merci pour vos réponses

[micjack]

Question subsidiaire: Quelqu'un sait comment le site Shields Up de Steeve Gibson arrive tout de meme a déterminer l'adresse IP d'un pc qui se trouve derriere un proxy anonyme?
Je suis curieux de le savoir car le site de PC Flank n'y parvient pas...

Je n'utilise pas de proxy anonymez, mais tu ne decrit pas quel proxy tu utilise, ni comment il est configuré dans tes softs clients...

Si non, je trouverais normal que par un traceroute, que cela remonte jusqu'a ton IP ...

[cf]

Parce que le proxy que tu utilises n'est pas anonyme:
il renseigne le champ x-forwarded-for (une option au niveau du proxy, par exemple dans squid), donc il est facile de récupérer ton IP...
A la limite, fais du chainage de proxy, mais ce n'est pas très utile...
Etre anonyme sur le net est très dur, et un proxy ne te protège pas de la loi!

exemple:
http://www.showmyip.com/

Si non, je trouverais normal que par un traceroute, que cela remonte jusqu'a ton IP ...

Là, je ne comprends pas.
Tu lui balances quoi comme argument à ton traceroute???


cf

[micjack]

Bobyonekenobi dit qu'il utilise un proxy anonyme, et etre reperé par le scan d'un site et pas par l'autre qui lui confirme l'anonymat...

Donc, je pense qu'il utilise bien un proxy anonyme (mauvais peut etre, d'ou mes questions sur ce qu'il utilise)...

Et pour le traceroute, je pensais à autre chose en meme temp, c'est une reponse hative et fausse, puisque il faut connaitre l'ip de la machine, donc, reponse stupide qui n'avance pas le schmilblick... Au pire, cela permet au site de localiser le Proxy, mais aucune utilité.

Meme si c'est vraiment un proxy anonyme, le reperage peut etre fait au niveau java/javascript...
Donc, peut etre que le site de scan en ligne utilise javascript (à condition qu' il n'est pas desactivé au niveau client)

En tout cas, y'a visiblement bien quelque chose qui part de la machine comme identifiant IP qui traverserait le Proxy avec les data...

Par contre je serrais currieux effectivement de la vrais reponse à sa question....

[Franck78]

Le proxy 'proxie' seulement HTTP et accessoirement ftp. Tout les autres protocoles sont connectés directement entre eux.
Il est donc facile d'imaginer n'importe quel utilitaire sur un client qui contacte le serveur de steeve gibson.

[cf]

Le proxy 'proxie' seulement HTTP et accessoirement ftp. Tout les autres protocoles sont connectés directement entre eux.
Il est donc facile d'imaginer n'importe quel utilitaire sur un client qui contacte le serveur de steeve gibson.

Pas s'il ne fait que surfer sur le site...
La seule information que reçoit le site est l'en-tête http:
je mets ma main à couper qu'il récupère l'IP dans le champ x-forwarded-for.

[Bobyonekenobi]

Je cherche seulement a trouver une explication a cette expérience et pas du tout a être complètement anonyme, je pense avec les maigres connaissances que j'ai, que ce n'est pas possible.

@cf: http://www.showmyip.com/ ne trouve pas mon ip (unknown) mais celle de mon proxy est renseignée.

@micjack: En tout cas, y'a visiblement bien quelque chose qui part de la machine comme identifiant IP qui traverserait le Proxy avec les data...

Oui mais quoi? J'utilise uniquement mon browser web quand je fais ce test (et c'est pas IE...).

Bobyonekenobi dit qu'il utilise un proxy anonyme, et etre reperé par le scan d'un site et pas par l'autre qui lui confirme l'anonymat...

C'est la tout le problème, la méthode pour trouver mon ip ne doit pas etre si évidente sinon les autres sites utiliseraient certainement cette methode et seraient alors beacoup plus crédibles en tant que sites d'audit de sécurité...

@franck78: Le proxy 'proxie' seulement HTTP et accessoirement ftp. Tout les autres protocoles sont connectés directement entre eux.
Il est donc facile d'imaginer n'importe quel utilitaire sur un client qui contacte le serveur de steeve gibson.

Oui une idée d'un utilitaire qui transmet mon ip (navigateur Firefox, proxy web censé etre en High Anonymity, ipcop 1.45, aucun service sur la machine cliente)?

Merci de vous pencher sur cette question (interessante a mes yeux).

[elarifr]

le test sur gibson semble être en https alors que pcflank fait le test en http !
https://www.grc.com/x/ne.dll?bh0bkyd2
http://www.pcflank.com/test1.htm


en passant par un test sur anonymizer.com pour faire un test de shield up j'ai eu un un message indiquant

FTP/HTTPS not available to free users
FTP and HTTPS are available only to paid Anonymizer subscribers at this time. We apologize for the inconvenience.

a priori ton anonymiser transmet ta vraie ip en https et celle du proxy en http !

[Bobyonekenobi]

Merci pour l'analyse