Pas de regle de filtrage et tout passe http, pop..

par **Argenlos** » 03 Mai 2003 21:41

Je ne comprend pas. En effet, ipcop laisse tout passer tout les port sont ouvert (http, pop3, smtp, les autre g pas testé) alors que dans la page "acces au services externes" est vide (g tout supprimé) Je suis en DHCP pour le reseau vert avec le proxy web de IpCop(mode transparent) Mes postes clients sont en "detection automatiques des paramètres" (W2K) Pas de transfert de ports. Pas de dns synamique. Connexion par modem RTC. Il se peut que j'ai lu de travers la doc, mais tout de même <IMG SRC="images/smiles/icon_bawling.gif"> Un petit coup de main, svp. Merci

par **seb57** » 03 Mai 2003 21:54

si c'est la 1.3 que tu utilise c'est normal !!! y on changé le firewall trop top ipcop <IMG SRC="images/smiles/icon_lol.gif">

par **Argenlos** » 03 Mai 2003 22:14

En effet g bien la 1.3 Le firewall ne fonctionne pas sous la 1.3? Je ne comprends pas bien la reponse. Je peux avoir un peu plus d'infos. Merci. A toi Seb57

par **seb57** » 03 Mai 2003 22:21

si si il fonctionne mais c'est iptable il gere les entête de paquet donc n'autorise que ce qui est attendu par ton reseau donc quasi pas de config voir pas du tout enfin si j'ai tout compris cela fait deux jour que je suis sur la 1.3 et c'est trop top si tu as peur pour la securité tu peut toujours faire des tests voici quelques sites dédiés : <a href="http://www.pcflank.com" target="_blank">http://www.pcflank.com</a> <a href="http://scan.sygatetech.com/quickscan.html" target="_blank">http://scan.sygatetech.com/quickscan.html</a> <a href="http://www.grc.com/" target="_blank">http://www.grc.com/</a> <a href="http://checkout.sdv.fr/" target="_blank">http://checkout.sdv.fr/</a> <a href="http://grc.com/default.htm" target="_blank">http://grc.com/default.htm</a> amuses toi bien <IMG SRC="images/smiles/icon_wink.gif">

par **Rbill** » 03 Mai 2003 22:42

En clair, il fait confiance à ton reseau interne (vert), donc tes postes locaux peuvent utiliser les ports en direction de Internet (rouge). Mais les acces ne sont pas possible dans l'autre sens c-a-d du rouge vers le vert.

par **Argenlos** » 03 Mai 2003 22:51

Extrait FAQ IpCop.org "Les versions antérieures à la 1.3 ne sont pas stateful car basées sur la technologie IPChains. La version 1.3 utilisera IPTables et sera un pare-feu totalement stateful. " Je l'ai lu cette ligne et relue, mais bon, les termes IPtables / IPchains ne me parlais pas trop. La connaissances s'aquiere avec le temps... Merci encore, car tu as raison cela fonctionne mes ports sont bloqués (verif pas les liens que tu m'as donné) Alors, je vais à mes bouquin..A bientôt. Argenlos

par **tstatus** » 04 Mai 2003 00:38

excuses moi mais cela veut dire quoi exactement ? donc si j'ai bien compris ipcop est une vrai passoire ou pas !!!! théoriquement j'ai lu qu'il laisse tout sortir mais laisse que les ports principaux utilisés est ce le cas ? ts

par **seb57** » 04 Mai 2003 09:43

non c'est tout le contraire d'une passoire !!! enfin pour ce qui rentre par contre c'est vrai que pour ce qui sort ..... donc antivirus a jour obligatoire car pour les troyens y bloquera rien mais c'est pas ce qu'on lui demande. Relis le post precedent et tu verra que tout tes port sont stealth sauf le 113 par default mais tu peut supprimer cette regle si elle ne te sert pas. et tu si tu as installer ipcop tu peux faire les test online il y a des liens plus haut. CONCLUSION : Ne te sert pas d'ipcop pour égouter les pates ça marche pas !!! <IMG SRC="images/smiles/icon_lol.gif">

par **ShonGail** » 04 Mai 2003 10:53

un instant ... un troyen installé sur une machine cliente n'initie pas de connexion lui-même. c'est la partie cliente du troyen, installée sur une bécanne en dehors du réseau local, qui à travers internet, tente d'initier une connexion vers une machine infecté. ce type de connexion est donc bien bloqué par le firewall d'ipcop.

par **seb57** » 04 Mai 2003 12:10

ben lis ce post je suis pas tout afait d'accord avec toi pour ce qui est de la protection d'icop contre les troyen et autre $%#&! <a href="http://forums.ixus.net/viewtopic.php?t=1716&13" target="_blank">http://forums.ixus.net/viewtopic.php?t=1716&13</a> antolien :"Un backdoor ou trojan utilisent TON poste pour ouvrir des ports, donc si ton firewall accepte les connexions au dessus du 1024 (comme ipcop ou smooth...) en sortie, tu restes vulnérable aux attaques exterieures. Et si tu regarde la définition de virus de trend, certains préviennent même les hackers par irc !!! Donc il faut bien faire attention aux règles par défaut de ton firewall. Le mieux pour une sécurité optimale, c'est de tout bloquer sauf les ports que tout le monde utilise(http, ftp, smtp, etc...) et pour ça, c'est du iptables ou ipchains à manier sur un firewall." donc antivirus a jour sur les client obligatoire enfin chacun fait comme y veut mais bon mieux vaut prevenir que guerir <IMG SRC="images/smiles/icon_smile.gif">

par **ShonGail** » 04 Mai 2003 12:50

le firewall laissera en effet passer l'envoi d'un message de la part d'un trojan vers une ip publique pour prevenir de son installation sur un poste précis. mais un trojan installé sur une machine est la partie serveur. En aucun cas il n'initiera la connexion lui-même. C'est au pirate, avec la partie client, de se connecter au trojan fraichement installé. or sa tentative de connexion aboutiera sur ton ipcop dont le firewall protege les ports. Même si les ports étaient grand ouverts, le trojan n'est pas installé sur l'ipcop mais sur une machine cliente avec ip privée. Il faudrait donc pour que sa connexion aboutisse que : 1. le port soit ouvert pour les connexions entrantes (ce qui n'est pas le cas) 2. que tu ais forwardé le port vers ta machine cliente. C'est d'ailleurs ce qu'un utilisateur qui a installé VNC ou consorts sur une machine de son réseau est obligé de faire pour pouvoir se connecter à elle à partir d'internet : ouvrir le port et le forwarder. Or un trojan n'est rien d'autre qu'une sorte de VNC bidouillé pour s'installer et tourner à ton insu.

par **seb57** » 04 Mai 2003 13:21

Oui je suis d'accord avec toi mais les $%#&! qui renvoient a ton insu tout ce qui est frappé sur le clavier ca passe non ??? Enfin ce que je voulaie dire a la base même si c'etait peut etre pas clair c'est qu'il ne faut pas confondre firewall et antivirus chacun a son propre role et a choisir pour l'utilisateur de base qui se connecte que pour recuperer ses mail et consulter une page web de temps en temps mieux vaut un bon anti viruset eventuellement un firewall, qu'un firewall seul. Il a plus de chance de choper un virus que d'avoir une attaque enfin ca n'engage que moi <IMG SRC="images/smiles/icon_wink.gif">

par **ShonGail** » 04 Mai 2003 13:39

C'est vrai que dans le cas d'un trojan, c'est avant tout un antivirus et un peu de jugeotte qui sont nécessaires <IMG SRC="images/smiles/icon_smile.gif"> mais ipcop protège des connexions directes venant d'internet les postes d'un réseau, ce qui rend impossible techniquement la connexion par internet à un trojan installé sur une machine de son réseau.

par **seb57** » 04 Mai 2003 14:23

en fait on pense la même chose mais on c'etait pas compris Je m'etait mal exprimé désolé <IMG SRC="images/smiles/icon_wink.gif">

par **tstatus** » 04 Mai 2003 20:34

Merci pour ces échanges qui me renseignent bien. je souhaite savoir comment créer une règle de blocage d'un port, j'ai fait un test et on me dit que j'ai un port ouvert. Je suis allé dans service et là je ne vois pas quel menu faut il prendre et comment faut il faire ? Je suis allé dans transfert de port mais ca ne doit pas être cela car après je refais un test et pareil ? merci par avance car là je ne sais pas ts

Pas de regle de filtrage et tout passe http, pop..

Qui est en ligne ?