[RESOLU] Blockuttraffic + emule

[boubbae]

Slt à tous

Contrairement à tous, je voudrais donner accès à Emule pour un poste.
Quand je désactive BOT, j'arrive à me connecter mais quand je l'active je n'y arrive plus.
J'ai IPCOP 1.4.18 avec BOT 2.3.2. J'ai coché "lien autorisé, connexions établies" et le "mode avancé". Voilà ce que j'ai fait :
- j'ai créé 2 services (TCP XXXX & UDP XXXX)
- j'ai créé un regroupement téléchargement (Emule, FTP, FTP_data)

Ensuite j'ai créé la règle suivante :
- téléchargement
. SOURCE
* interface par défaut => vert
* réseau par défaut => Green network
. DESTINATION
* interface par défaut => any
* réseau par défaut => any
* service utilisé / regroupements de service => téléchargement
. ADDITIONNEL
* règle activée
* journaliser la règle
* action de règle => ACCEPTER

Ne voyant que ça ne marchait pas, j'ai créé ça :
- TCP_EMULE
. SOURCE
* interface par défaut => vert
* format : IP - adresse : mon ip
* port source utilisé XXXX
. DESTINATION
* interface par défaut => any
* réseau par défaut => any
* service utilisé / services => TCP_EMULE
. ADDITIONNEL
* règle activée
* action de règle => ACCEPTER

- UDP_EMULE
. SOURCE
* interface par défaut => vert
* format : IP - adresse : mon ip
* port source utilisé XXXX
. DESTINATION
* interface par défaut => any
* réseau par défaut => any
* service utilisé / services => UDP_EMULE
. ADDITIONNEL
* règle activée
* action de règle => ACCEPTER

Et malgré ça, je n'arrive tjrs pas à me connecter.
Est-ce que quelqu'un a une idée ?

Merci.

[Billou02]

Salut,

Crois tu qu'un site sur la sécurité va répondre a une question comme la tienne ?

[boubbae]

Ben oui pourquoi ?
Y'a des questions sur comment bloquer emule et ben moi c'est comment ouvrir emule pour 1 poste avec filtrage @ MAC.

[Billou02]

ou l'art de créer une brêche dans un réseau a peu près propre

[boubbae]

Parce que toi, tu as tout fermé ? (pop, smtp, domain, MSN, etc..)
Si c'est le cas, bravo mais bon j'vois trop l'intérêt de tout bloquer sur un réseau privé.

De toute façon, tu ne peux pas sécuriser un réseau à 100% (ça se saurait) donc moi avec emule ou pas, ça ne change pas grand chose (1 porte de + ou de -).

Mais bon, si quelqu'un sait comment faire, ça m'intéresse.

[Franck78]

corrige déjà le texte de ton sujet.

Ensuite, utilise (j'ai l'impression de radoter) tcpdump pour determiner jusqu'ou s'établit le dialogue. Pour fonctionner en HIGH-ID, un transfert de port particulier(ex:55755) est necessaire. Ce numéro de port est bien sur renseigné dans IPCop et emule.


@Billou2: dis donc, tu tiens la forme mon Billou. Retour en fanfare

[boubbae]

Je ne vois pas pourquoi changer le texte du sujet (blockouttraffic + emule).
ça veut dire que j'ai blockouttraffic + emule et après j'explique que ça ne marche pas.

Pour ce qui est du transfert de port, je crois que tu n'as pas lu ce que j'ai marqué mais je ne t'en veux aps, ça arrive à tout le monde.

Si quelqu'un sait comment faire, ça m'intéresse ?
Merci encore.

[Bacchus156]

Tu vas être obligé d'accorder un accès total (au moins les ports > 1024) vers l'extérieur pour le poste faisant tourner emule pour la bonne raison que chaque client est configuré avec des ports différents.
A ne pas faire sur une machine sensible!!

[boubbae]

ah ouais quand même !! En fait ce que je fais, c'est que je désactive BOT, après je me connecte à un serveur puis je réactive bot. Tant que je suis connecté au serveur, ça marche mais si je veux changer de serveur, pouf il n'arrive pas à se connecter et je suis en high_id quand bot est réactivé.

Normalement sur un firewall tu ouvres ton TCP et UDP et ça marche. Pourquoi quand tu fais la même chose à bot ça ne marche pas ?

[Franck78]

Et bien puisque nous ne savons pas lire et que toi tu ne saisis pas la subtilité entre "corrige" et "change", nous voila mal barré

[Bacchus156]

Parce que ce qu'on appelle communément "firewall" dans les routeurs grand public ne filtre que le traffic entrant et non le sortant.
Si dans les paramètres de bot tu actives la journalisation des paquets bloqués tu en verras une tripotée correspondant aux accès tentés par emule vers des ports aléatoires.

[Franck78]

Normalement sur un firewall tu ouvres ton TCP et UDP et ça marche.

J'adore cette nouvelle approche de l'utilisation du firewall. C'est les recommandations 2008 ?

[ccnet]

Un nouveau modèle de firewall : le RJ45 !!

[Billou02]

pour la mule :
transfert d'un port en TCP (transfert de ports Ipcop -> ip de ton lan) et d'un autre en UDP
il faut que les deux soient renseignés et dans la mule et dans le cop

BlockOUTTraffic, c'est pour le traffic sortant :

Port client

- eMule utilise le port 4662 par défaut pour le téléchargement des données à partir d’un autre client. Il est inutile de modifier ce réglage sauf si ce port est bloqué par exemple par un routeur ou un pare-feu.

Dans ce cas vous avez une ID faible (lowID). Utilisez ce script (merci à TheDonkeyNetwork) pour vérifier si le port est ouvert.

Port UDP

- Ce port supporte le protocole étendu d’eMule qui consiste en l’échange de sources entre Clients et la demande de sources entre clients eMule compatibles.

L’utilisation de l’UDP entre clients réduit la surcharge de connexions et diminue aussi la charge des serveurs.

Il est nécessaire d’acheminer ce port en cas d’utilisation d’un routeur et de l’ouvrir par réglage du pare-feu. Si vous n’avez pas la possibilité de l’ouvrir, cochez "désactivé". De cette manière le mode de communication conventionnel est rétabli (non recommandé).

Donc ouvre le port UDP dans blockouttraffic !
N'oublie pas d'ouvrir aussi le pare-feu windows et d'y ajouter emule.exe comme ayant droit d'acceder a n'importe quelle ip sur le net...

des questions ?

@Billou2: dis donc, tu tiens la forme mon Billou. Retour en fanfare

Ouaip retour en force dans la communauté, fini les c.o.n.n.e.r.i.e.s

Je ne vois pas pourquoi changer le texte du sujet (blockouttraffic + emule).

Relis ton texte, il te manque une lettre !

Ensuite j'ai créé la règle suivante :
- téléchargement
. SOURCE
* interface par défaut => vert
* réseau par défaut => Green network
. DESTINATION
* interface par défaut => any
* réseau par défaut => any
* service utilisé / regroupements de service => téléchargement
. ADDITIONNEL
* règle activée
* journaliser la règle
* action de règle => ACCEPTER

En gros tu acceptes de tout laisser sortir de Green vers Red (comme ce que fait ipcop de base) et ca ne marche pas. tu crois pas que ton soucis est ailleurs que dans l'ipcop ?

[boubbae]

Un nouveau modèle de firewall : le RJ45 !!

J'adore cette nouvelle approche de l'utilisation du firewall. C'est les recommandations 2008 ?

Oui tu ne le savais pas ? Je suis content de t'avoir apporter quelque chose.


Décidemment vous ne savez vraiment pas lire.

En fait ce que je fais, c'est que je désactive BOT, après je me connecte à un serveur puis je réactive bot. Tant que je suis connecté au serveur, ça marche mais si je veux changer de serveur, pouf il n'arrive pas à se connecter et je suis en high_id quand bot est réactivé.

Je vais radoter comme dit Franck78 mais si quelqu'un sait comment faire, ça m'intéresse !!!

Sans être indiscret, vous (Franck78 - Billou02 - ccnet) travaillez dans quoi ?