accès à internet en entrée et sortie, ports, etc.

[Gece]

Bon, je sais, c'est large comme question. <BR>J'ai un vieux pc sur lequel j'ai envie depuis longtemps de monter un firewall. Comme, de plus, Linux m'intéresse (même si je n'y connais rien et que je n'ai pas encore franchi le Rubicon), Smoothwall me semble tout indiqué. <BR>Alors je lis toute la doc sur le site de Smoothwall (installation, config, FAQ) et je surfe sur les forums... résultat, ma tête explose. <BR>Je comprends qu'un firewall comme Smoothwall, ça fonctionne sur le principe suivant: tout ce qui n'est pas expressément autorisé, est interdit. C'est la que les questions commencent à se bousculer. <BR>1. Est-ce que c'est vrai dans les 2 sens (en entrée et en sortie)? <BR>2. Si c'est vrai en entrée, TOUTES les connexions venant du net vont se planter, non? Sauf, si je dis à mon Smoothie d'accepter les connexions venant de tel IP. Jusque là, est-ce que j'ai compris? <BR>3. Si oui, comment est-ce que je lui dis ça? Est-ce que c'est là que j'utilise la config "port forwarding" ou "external service access"? ou les 2? <BR>4. Question suivante, comment est-ce que je devine quoi mettre dans le "destination port"? Je lis dans de nombreux sujet du forum que, pour tel ou tel type de communication, il faut ouvrir tel port... mais comment le sait-on, où peut-on trouver cette info? <BR>5. En sortie vers le web, est-ce que mon Smoothie acceptera toutes les demandes venant de la zone verte ou est-ce que je dois lui donner des instructions de config particulières? Par exemple, si j'ai configuré windows 2000 en auto update sur mon pc principal (oui, j'ai honte mais j'ai dit au début que je n'ai pas encore franchi le pas), c'est mon pc qui lance la requête. Est-ce qu'elle franchira le firewall et est-ce que la réponse de Bill Gates ne se cassera pas le nez sur Smoothie (je me rends compte que ça rejoint mes questions 2, 3 et 4 ci-dessus). <BR>6. Est-ce que je serai informé des programmes résidant sur le dur de mon pc principal qui cherchent à accéder à internet? Je suis habitué à Zone Alarm Pro et mon expérience est qu'il y a quelquefois des demandes que je refuse car elles me semblent non justifiées ou hors contexte. Si ce n'est pas le cas, est-ce que ça veut dire que toute requête d'accès vers le net partira et plus grave me semble-t-il - que toute réponse à cette requête reviendra sur mon pc? <BR>7. Pour finir, j'ai une question concernant MSN. D'après ce que j'ai lu sur ce forum, ça marche avec la version 6. sans problème ou faut-il bidouiller (et alors, je reviens encore à mes question 2, 3 et 4 ci-dessus). <BR>Merci d'avance à tous ceux qui auront la patience de me lire et, encore plus, de me répondre <IMG SRC="images/smiles/icon_confused.gif">

[Rbill]

En premiere réponse pour l'ensemble de tes questions, <BR>Il existe une fonction 'rechercher' sur Ixus qui fonctionne bien. <BR>Si tu ne trouves pas dans Smoothwall, <BR>regarde du coté de Ipcop! <BR>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-23 15:43, Gece a écrit: <BR>Bon, je sais, c'est large comme question. <BR>J'ai un vieux pc sur lequel j'ai envie depuis longtemps de monter un firewall. Comme, de plus, Linux m'intéresse (même si je n'y connais rien et que je n'ai pas encore franchi le Rubicon), Smoothwall me semble tout indiqué. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est vrai que c'est vaste... Mais il faut bien se lancer.. Simplement, je me permets de te conseiller IPCop plutot que Smoothwall. Tout d'abbord parceque la license est plus claire; Ensuite, parceque ici il y a plus d'utilisateurs de IPCop, et que donc tu pourras plus facilement te faire aider. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Alors je lis toute la doc sur le site de Smoothwall (installation, config, FAQ) et je surfe sur les forums... résultat, ma tête explose. <BR>Je comprends qu'un firewall comme Smoothwall, ça fonctionne sur le principe suivant: tout ce qui n'est pas expressément autorisé, est interdit. C'est la que les questions commencent à se bousculer. <BR>1. Est-ce que c'est vrai dans les 2 sens (en entrée et en sortie)? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Non. En fait, que ce soit sur IPcop ou smoothwall, tout est autorisé en sortie (on fait confiance à son lan, c'est un firewall personnel. Par contre c'est vrai pour ce qui rentre. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>2. Si c'est vrai en entrée, TOUTES les connexions venant du net vont se planter, non? Sauf, si je dis à mon Smoothie d'accepter les connexions venant de tel IP. Jusque là, est-ce que j'ai compris? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>A peu près... En fait, tu n'es pas obligé de specifier des ip, tu peux autoriser tout internet à acceder à certains services sur ton firewall, ou sur un serveur situé dans une zone spéciale appelée DMZ (si tu as 3 cartes reseau). <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>3. Si oui, comment est-ce que je lui dis ça? Est-ce que c'est là que j'utilise la config "port forwarding" ou "external service access"? ou les 2? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Tout depend. External services acces donnera des acces à des services situés sur le firewall lui même (configuration à distance per le net par exemple) tandis que transfert d eports servira à transferer automatiquement une connexion arrivant sur ton firewall à une autre machine servant de serveur (un serveur web par exemple). Normalement, on place ce serveur dans une zone particulière (voir plus haut, DMZ) <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>4. Question suivante, comment est-ce que je devine quoi mettre dans le "destination port"? Je lis dans de nombreux sujet du forum que, pour tel ou tel type de communication, il faut ouvrir tel port... mais comment le sait-on, où peut-on trouver cette info? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>La liste des ports "bien connus" se trouve un peu partout sur le web et en particulier <BR>ici même sur ixus (je me rappelle plus trop ou, mais ca y est). <BR>exemple : ftp = 21, http=80, ssh=22 ... <BR>Pour lesports un peu bizarres, une simple question dans le forum ou une recherche dans google te donneront des reponses rapidement. <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>5. En sortie vers le web, est-ce que mon Smoothie acceptera toutes les demandes venant de la zone verte ou est-ce que je dois lui donner des instructions de config particulières? Par exemple, si j'ai configuré windows 2000 en auto update sur mon pc principal (oui, j'ai honte mais j'ai dit au début que je n'ai pas encore franchi le pas), c'est mon pc qui lance la requête. Est-ce qu'elle franchira le firewall et est-ce que la réponse de Bill Gates ne se cassera pas le nez sur Smoothie (je me rends compte que ça rejoint mes questions 2, 3 et 4 ci-dessus). <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Sans problème si tu as une version assez recente et donc utilisant le filtre "netfilter", donc oui pour IPCop 1.3 et je ne sais pas la version pour Smooth <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>6. Est-ce que je serai informé des programmes résidant sur le dur de mon pc principal qui cherchent à accéder à internet? Je suis habitué à Zone Alarm Pro et mon expérience est qu'il y a quelquefois des demandes que je refuse car elles me semblent non justifiées ou hors contexte. Si ce n'est pas le cas, est-ce que ça veut dire que toute requête d'accès vers le net partira et plus grave me semble-t-il - que toute réponse à cette requête reviendra sur mon pc? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Par defaut, ce genre de services n'est pas activé. Ces firewalls sont fait pour se proteger de l'exterieur, aps de l'interieur. De plus, à la différence d'un firewall personnel, un firewall dedié ne pourra pas savoir quelle application cherche à se connecter. Ceci-dit, il n'est pas du tout interdit d'utiliser ZA ou autres firewalls personnels en plus d'ipcop ou smooth pour se protteger par exemple des trojans... <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>7. Pour finir, j'ai une question concernant MSN. D'après ce que j'ai lu sur ce forum, ça marche avec la version 6. sans problème ou faut-il bidouiller (et alors, je reviens encore à mes question 2, 3 et 4 ci-dessus). <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Sans problème apparemment ! <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Merci d'avance à tous ceux qui auront la patience de me lire et, encore plus, de me répondre <IMG SRC="images/smiles/icon_confused.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Pas de quoi, quand les questions sont precises et justifiées, ça fait plaisir ! <BR> <BR> <BR>Thomas

[Gece]

Merci pour ces réponses. Je vais réfléchir à tout ça, continuer à consulter la doc et je reviendrai peut-être ensuite avec d'autres questions. Encore merci.

[Rbill]

Désolé d'avoir été un peu brut sur ma réponse <BR>car j'estimais qu'en recherchant dans les forums <BR>tu aurais pu avoir pas mal de solutions... <BR>Mais avant que je ré-intervienne... <BR>Tomtom l'a fait comme à son habitude avec brio!

[Gece]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-23 23:55, Rbill a écrit: <BR>Désolé d'avoir été un peu brut sur ma réponse <BR>car j'estimais qu'en recherchant dans les forums <BR>tu aurais pu avoir pas mal de solutions... <BR>Mais avant que je ré-intervienne... <BR>Tomtom l'a fait comme à son habitude avec brio! <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Salut Rbill, ce n'est pas pour te jeter la pierre, mais quand on démarre dans Linux, qu'on n'y connait rien et , qu'en plus, comme moi, on n'est pas informaticien, on cherche évidemment sur les forums et on comprend environ 20% de ce qu'on lit et encore... mais bon, no problèmo! <BR>A+ sur le forum <BR>Gece <IMG SRC="images/smiles/icon_smile.gif">