Bloquer les ports

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar nicostgermain » 10 Avr 2003 15:47

<BR>Je viens d'installer ipcop et je voudrais savoir comment bloquer les ports superieur à 1024 à partir du GUI?
Avatar de l’utilisateur
nicostgermain
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 07 Avr 2003 00:00
Localisation: france

Messagepar grosbedos » 10 Avr 2003 16:20

ce n'est pas possible.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar nicostgermain » 10 Avr 2003 16:22

je sui donc obligé de modifié le fichier rc.firewall.up
Avatar de l’utilisateur
nicostgermain
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 07 Avr 2003 00:00
Localisation: france

Messagepar Si » 10 Avr 2003 17:43

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-10 16:20, grosbedos a écrit: <BR>ce n'est pas possible. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Bon tu pourrais donne une solution.<BR><BR><font size=-2></font>
Avatar de l’utilisateur
Si
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 26 Fév 2003 01:00

Messagepar Vinzstyle » 10 Avr 2003 17:47

Tu édites le rc.firewall.up et à la place de ACCEPT tu met REJECTs (je ne sais pas si DROP ça existe avec IPchains) aux lignes qui concernes les ports > 1024.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar JuLeS » 13 Avr 2003 16:08

J'ai fais la modif que tu indiques Vinz, mais après, j'ai mon MSN qui marche plus, plus de oueb, plus de emule.... <IMG SRC="images/smiles/icon_bawling.gif"> <BR>Je suppose qu'il faut donc autoriser certains ports >1024 quand même (MSN=1863 je crois, emule=4662...). <BR> <IMG SRC="images/smiles/icon_help.gif"> Comment on fait ? <BR>De plus, ces ports seront-ils utilisables par 1 seule machine ou pour tout le LAN ? <BR>Et pour certains services (comme du FTP) comment va réagir IPCop, sachant que mon port de retour va etre >1024 <IMG SRC="images/smiles/icon_confused.gif">
La vitesse de la lumière étant plus rapide que la vitesse du son, une personne peut paraitre brillante jusqu'à ce qu'elle parle :-)
Avatar de l’utilisateur
JuLeS
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 222
Inscrit le: 09 Avr 2003 00:00
Localisation: Bordeaux

Messagepar antolien » 13 Avr 2003 16:23

alors, vous cherchez à bloquer les ports >1024 et après vous vous plaignez que plus rien ne marche ? faut pas s'étonner. <BR> <BR>juste une petite remarque, sur les versions inferieures aux 1.3, ces ports étaient carément ouvert. or depuis la 1.3 ce que j'ai pu voir c'est qu'ils sont ouverts en sortie seulement ce qui est nettement mieux pour la sécurité. <BR> <BR>sinon, pour répéter éternellement la même chose, les ports >1024 sont utilisés par le ftp, les IM, voir pratiquement toutes les applications. <BR> <BR>donc bloquer ces ports c'est bien si vous souhaitez vraiment bloquer vos users sinon, vous allez être ennuyés plutôt qu'autre chose.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar grosbedos » 13 Avr 2003 16:48

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-10 17:43, Si a écrit: <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-10 16:20, grosbedos a écrit: <BR>ce n'est pas possible. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Bon tu pourrais donne une solution. <BR> <BR><font size=-2></font> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>ben je l'ai donné la soluce..par la GUI ce n'est pas possible! <BR> <BR>a moins de modifier la GUI, ce qui est quand meme bien compliqué...
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar grosbedos » 13 Avr 2003 16:51

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-13 16:23, antolien a écrit: <BR>alors, vous cherchez à bloquer les ports >1024 et après vous vous plaignez que plus rien ne marche ? faut pas s'étonner. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>lol <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>juste une petite remarque, sur les versions inferieures aux 1.3, ces ports étaient carément ouvert. or depuis la 1.3 ce que j'ai pu voir c'est qu'ils sont ouverts en sortie seulement ce qui est nettement mieux pour la sécurité. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>oui c'est bien ce que j'ai vu aussi. <BR>
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar tomtom » 13 Avr 2003 16:52

Tres bonne réponse <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Allez comme j'ai du temps cet après-midi, un petit cours de tcp/ip ! <BR> <BR>A chaque fois qu'un application se connecte à internet, elle établit une communication bidirectionnelle avec un serveur. <BR>Pour faire cela, elle choisit un port > 1024, et elle envoie un paquet sur internet : <BR> <BR>ip source : votre ip publique <BR>port source : le port choisi <BR>ip destination : ip du serveur où vous vous connectez <BR>port destination : le port d'ecoute du serveur. <BR>¨ <BR>Pour ne pas que ce soit trop le bazar, il a été décidé que les serveurs écouteraient sur un port qui depend de ce qu'ils proposent comme service. <BR>Ces ports sont appelés "well known ports" et portent des numéros < 1024. <BR>Ils sont définis par la RFC 1700. <BR>Cela permet par exemple de savoir qu'un serveur telnet ecoute sur le port 23 en général. <BR>Les applications clients choisissent un port > 1024 pour ne pas risquer de masquer un serveur qui ecouterait sur la même adresse ip. <BR> <BR>Une première reflexion : A priori en bloquant les ports source > 1024 en sortie, on bloque tous ses clients !!! <BR> <BR>Une seconde reflexion : Quand le serveur va me repondre, le paquet va arriver avec un port destination egal au port que j'ai choisi, donc si je veux avoir la reponse, il faut que mon firewall laisse passer tous les paquets entrant avec un port destination > 1024. <BR> <BR>Hum, bonjour la sécurité !! Un pirate n'a qu'à forger des paquets avec un port destination > 1024 et le firewall les laissera tous passer <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>Bon, on va se protéger un peu plus : n'autorisons que les paquets dont : <BR>1- le port destination > 1024 <BR>2- le port source est celui d'un serveur que l'on autorise à utiliser : par exemple uniquement 80, 81,20, 21, 22, 23 pour avoir web telnet ssh ftp. <BR> <BR>OK, on a amélioré un peu, mais tout de même, un pirate peut là encore forger le paquet et choisir son port source pour se faire passer pour un serveur aux yeux du firewall. Il va alors falloir jongler entre applications possibles et sécurité, et c'est là la grosse limite des firewalls dits "stateless". <BR> <BR>Comme le fait remarque Antolien, en version 1.3 les ports sont ouverts uniquement en sortie (un client peut envoyer un paquet avec port > 1024 comme source et traverser le firewall.). Mais alors, comme le serveur peut-il repondre ? <BR>Grace à Netfilter, qui est un firewall statefull, et à son interface IPTables. <BR>En effet, avec ce genre de firewall, on peut ouvrir dynamiquement les ports pour des connexions déja établies par un client. Genial, non ? <BR> <BR>Exemple : <BR>Je me connecte à <!-- BBCode auto-link start --><a href="http://www.ixus.net" target="_blank">www.ixus.net</a><!-- BBCode auto-link end --> pour poster ce merveilleux message. <BR> <BR>1- envoi d'un paquet tcp : <BR> ip source : mon ip publique (apres translation d'adresse mais c'est un autre histoire). <BR> port source : 2035 <BR> <BR> ip destination : <!-- BBCode auto-link start --><a href="http://www.ixus.net" target="_blank">www.ixus.net</a><!-- BBCode auto-link end --> <BR> port destination : 80 <BR> <BR>Ce paquet a une particularité : il est l'initiateur d'une connexion et contient un drapeau appelé "SYN". <BR> <BR>2- le firewall laissep asser ce paquet (le port source est > 1024, le port destination est autorisé. <BR> <BR>3- le firewall crée une entrée dans une table (un "conntrack"), qui contient l'ip source, le port source, l'ip destination et le port destination, ainsi que l'etat actuel : "syn sent") <BR> <BR>4- le paquet revient du serveur : <BR> ip source : <!-- BBCode auto-link start --><a href="http://www.ixus.net" target="_blank">www.ixus.net</a><!-- BBCode auto-link end --> <BR> port source : 80 <BR> <BR> ip destination : mon ip publique <BR> port destination : 2035 <BR> <BR>Ce paquet est la reponse à une connexion. Il contient deux flags : SYN et ACK <BR> <BR>5- le firewall examine ce paquet. <BR>Il parcourt sa table de conntracks, et s'apperçoit qu'il attendait ce paquet. Il le laisse passer.. La connexion est établie. Le firwall va maintenant laisser passer tous les paquets suivants, jusqu'à epuisement d'un timeout. <BR> <BR> <BR> <BR>Voila, c'est très grossier comme présentation mais ca peut toujours eclairer. <BR> <BR>Il faut savoir que IPables permet d'affiner les règles en regardant tous les flags TCP et UDP, ce qui permet des comportements très proches de ce que l'on recherche. <BR> <BR> <BR>Pour revenir à la question : Si tu as un IPCop avec IPChains (version avant 1.3), tu ne peux pas benéficier de ces merveilles. Si malgré tout tu veux bloquer les ports, il ne te reste qu'a installer une version plus recente. <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar JuLeS » 13 Avr 2003 17:00

Ben voila une réponse qu'elle est bien claire et précise <IMG SRC="images/smiles/icon_bise.gif"> <BR>Merci Thomas. Donc, maintenant je sais ce que je voulais savoir : IPCop en V.1.2 n'est pas Statefull. Reste à attendre une V.1.3 finale, j'ai eu qq probs avec les betas 2 et 3. Au fait, elle arrive quand <IMG SRC="images/smiles/icon_confused.gif">
La vitesse de la lumière étant plus rapide que la vitesse du son, une personne peut paraitre brillante jusqu'à ce qu'elle parle :-)
Avatar de l’utilisateur
JuLeS
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 222
Inscrit le: 09 Avr 2003 00:00
Localisation: Bordeaux

Messagepar grosbedos » 13 Avr 2003 17:10

juste une petite remarque a ton discours (qui est assez bon) <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-13 16:52, tfillaud a écrit: <BR>2- le firewall laissep asser ce paquet (le port source est > 1024, le port destination est autorisé. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>comme tu l'avait remarqué ce n'est pas parce que c'est un port >1024 qu'il passe, mais seulement parce que c'est un port en sortie, cela aurait pu etre 32 ou autre chose.. <BR> <BR>les ports ouverts >1024 (sur 1.2) ne concernent que le traffic depuis internet.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar tomtom » 13 Avr 2003 17:14

Erf Grosbedos, desolé je me suis basé sur ma config iptables qui n'autorise pas les ports serveurs à sortir, sauf config particulière.... <BR>Une protection supplémentaire comme qui dirait <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Sinon en fait je fais des hypothèses, vu que je n'ai jamais installé IPCop, mais je suis sur que la 1.2 est sur IPChains et donc stateless... <BR> <BR>A peluche.. <BR> <BR>Tom
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar grosbedos » 13 Avr 2003 17:47

ouioui tu as raison..c'était juste pour infos, tout le reste est juste et bien dit!
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité