Ports > 1024

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar Bernard » 15 Mars 2002 12:15

Bonjour à tous. <BR> <BR>J'ai envie de bloquer les ports supérieurs à 1024, pour empécher les utilisateurs d'utiliser ICQ, IRC, etc... <BR>Est ce une bonne idée? <BR>Comment faire? <BR>Merci de vos réponses <BR> <BR>A++ <BR>Bernard
Avatar de l’utilisateur
Bernard
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 20 Jan 2002 01:00
Localisation: Bordeaux

Messagepar mac » 15 Mars 2002 12:22

Attention, j'ai lu quelque part que les ports supérieurs a 1024 sont utilisé lors du surf sur internet (entre autre) : le serveur http est requêté sur son port 80 mais renvoie la réponse sur un port définit par le client (ta machine locale) ce port étant un port libre et choisit parmis les ports > a 1024 <BR>Si tu bloques, en entrée sur IPcop, les ports > a 1024, il y a des chances que tu ne puisses plus surfé : les serveurs sur internet ne pourront pas t'envoyer les pages que tu as demandé. <BR>Ceci dit, je peux me tromper. Si quelqu'uns a des infos...
Avatar de l’utilisateur
mac
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 172
Inscrit le: 25 Fév 2002 01:00
Localisation: Paris

Messagepar bruno » 15 Mars 2002 13:37

Evidemment , mac a tout à fait raison de ce côté là. <BR>Si tu bloques tous les ports > 1024 tu vas être très très embetté. <BR>Lorsqu'une connexion s'ouvre entre deux ordinateurs, un serveur et un client, elle s'ouvre entre les deux adresses IP bien sûr mais aussi entre deux ports, un port serveur du côté de l'ordinateur serveur, et un port client du côté de l'ordinateur de l'internaute. <BR> <BR>Et il en est de même pour le web ou le mail. Donc, si tu fermes tout, aucun logiciel client ne fonctionnera sur les machines de tes utilisateurs. <BR>A+ <BR> <BR>Bruno
Ixus, it's us !
Avatar de l’utilisateur
bruno
AdminIxus
AdminIxus
 
Messages: 1667
Inscrit le: 23 Mai 2001 00:00
Localisation: Sous le soleil de Nice

Messagepar Bernard » 15 Mars 2002 15:27

Merci à tous. <BR> <BR>En fait, je veux obliger les postes clients à pratiquer du surf pur et dur, sans autre chose que du ftp, hhtp, smtp et pop. <BR>je pensais que ces protocoles n'utilisaient que les ports standards (25, 110, 80, etc) <BR>Bon, je me replonge dans les RFC... <BR> <BR>A++ <BR>Bernard
Avatar de l’utilisateur
Bernard
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 20 Jan 2002 01:00
Localisation: Bordeaux

Messagepar mac » 15 Mars 2002 15:35

peut etre qu'en bloquant toutes les <u>sorties</u> sur internet des ports autres que le 80, le 21, le 443 (ssl) etc... tu arriveras a tes fins. <BR>ca ne marchera peut etre pas, mais il faut essayer. <BR>Par contre il faut se palucher la config d'ipchains a la main pour faire ça !
Avatar de l’utilisateur
mac
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 172
Inscrit le: 25 Fév 2002 01:00
Localisation: Paris

Messagepar bruno » 15 Mars 2002 16:48

oui je suis de cet avis aussi... <BR>Et pas uniquement pour ne pas être contrariant <IMG SRC="images/smiles/icon_wink.gif">
Ixus, it's us !
Avatar de l’utilisateur
bruno
AdminIxus
AdminIxus
 
Messages: 1667
Inscrit le: 23 Mai 2001 00:00
Localisation: Sous le soleil de Nice

Messagepar Sorg » 15 Mars 2002 17:13

Tu peux ploquer les ports > 1024 et surfer normalement si tu actives Squid en mode trensparent <BR>Sinon la manip pour bloquer les messageries instatanées est indiqués sur un site dont l'url est indiquée régulièrement sur ce forum... je l'ai plus en tete mais elle a été donnée très récemment.
Avatar de l’utilisateur
Sorg
Contre-Amiral
Contre-Amiral
 
Messages: 488
Inscrit le: 22 Fév 2002 01:00
Localisation: Toulouse

Messagepar wann » 15 Mars 2002 19:34

Effefctivement, si on bloque tous les ports supérieurs à 1024, plus aucune application ne pourra envoyer ses requêtes vers internet. En effet, si chaque application serveur utilise un port précis sur lequel elle écoute (port dit "well known", inférieur à 1024), l'appplication cliente utilise un port supérieur à 1024, aléatoire, pour effectuer sa requête. <BR>En paramétrant Ipchains d'une part, et Squid d'autre part, on doit pouvoir obliger les utilisateurs à utiliser le proxy pour se connecter à internet. Je ne pense pas qu'il faille fermer les ports en output mais plutôt interdire le forward... Qu'en pensent les personnes compétentes en ipchains (je ne le suis pas <IMG SRC="images/smiles/icon_smile.gif"> ) ? <BR>
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar GlouglouLeDindonFou » 04 Déc 2002 22:12

je relance un vieux sujet mais je voudrait savoi si c possible de juste fermer les ports >1024 o lieu de les bloker? <BR>le surf marchera tjs? <BR>et komment on fait?
Sex and Sun & Peace and Love
Avatar de l’utilisateur
GlouglouLeDindonFou
Premier-Maître
Premier-Maître
 
Messages: 68
Inscrit le: 20 Juil 2002 00:00
Localisation: 74

Messagepar tomtom » 05 Déc 2002 00:04

excusez moi, je ne connais pas ipcop, mais quand même.... <BR> <BR>C'est un firewall "statefull" ipchains, non ? <BR> <BR>Donc on peut raisonnablement bloquer les paquets à destinations de ports > 1024, si on autorise par défaut les paquets entrant "related" ou "established", ca ne devrait poser aucun soucis pour surfer......Il me semble en tout cas... <BR> <BR>En ecrivant les règles à la main, aucun pbme... <BR> <BR>Avec IPCop, je ne sais pas.... <BR> <BR> <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron