question bête !

par **seb57** » 10 Mai 2003 13:05

est ce que le fait de forwarder un port a pour conséquence d'ouvrir ce port ??? explication: j'ai forwardé le port 4662 vers ma machine de la dmz (c'est pour la mule mais je pense que vous l'aviez compris <IMG SRC="images/smiles/icon_biggrin.gif"> ) et conclusion en faisant un scan externe le port 4662 est ouvert. Donc si j'ai tout compris forwarder un port n'a pour seul interet que de diriger les attaques éventuel vers une machine bien précise au lieu de l'ouvrir bêtement et d'avoir une jolie porte d'entrée sur l'ensemble des réseaux (green et orange) <IMG SRC="images/smiles/icon_smile.gif">

par **Vinzstyle** » 10 Mai 2003 13:10

Forwarder un port à pour effet de rediriger ce port vers une de tes machines qui se trouvent derrière le firewall. Dans ton cas, tu as redirigé le port 4662 vers la DMZ, donc à chaque fois que ton firewall recevra eds données sur ce ports ils les enverra à ta DMZ. C'est un peu comme un lien si tu préfère.

par **seb57** » 10 Mai 2003 13:19

oui oui ça ok je l'avait bien compris c'est pour ca que je l'ai fait justement et c'est aussi pour ca que j'ai une dmz ! mais est ce normal que ce port apparaisse ouvert suite a ce transfert de port ? <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 10 Mai 2003 13:25

OUI ! Ca a deja ete posté plusieurs fois ! La nouvele version d'IPCop considère que si tu forward un port, c'est pas pour faire joli, et que tu as un serveur qui ecoute derière. Donc il l'ouvre par defaut ! Si tu veux le refermer, il faut le faire à la main dans iptables ! Thomas

par **antolien** » 10 Mai 2003 13:27

mais dans ce cas, si tu veux fermer ce port, à quoi cela sert de le forwarder ? il y un truc que je comprend pas...

par **Vinzstyle** » 10 Mai 2003 13:33

Oui, pareil pour moi.

par **remi** » 10 Mai 2003 13:34

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-05-10 13:25, tomtom a écrit: OUI ! Ca a deja ete posté plusieurs fois ! La nouvele version d'IPCop considère que si tu forward un port, c'est pas pour faire joli, et que tu as un serveur qui ecoute derière. Donc il l'ouvre par defaut ! Si tu veux le refermer, il faut le faire à la main dans iptables ! Thomas </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Si tu supprime le forward, le port est refermé, non ??

par **tomtom** » 10 Mai 2003 13:43

Je pense.... Mais il n'est plus forwarde <IMG SRC="images/smiles/icon_biggrin.gif"> Bon, je vais essayer d'expliquer pourquoi cette distinction existe, et pourquoi elle ne sert plus à rien ! IPCop 1.2 : IPchains. Un paquet qui arrive travers systématiquement la chaine INPUT. Ensuite, une decision est prise ; routage? process local ? Si le paquet est routé, le paquet traverse la chaine FORWARD. Sinon, rien du tout, il est delivré au process correspondnat. Bilan : si on vaut avoir un serveur sur la DMZ, il faut : 1- ouvrir le port 80 (chaine INPUT) 2- forwarder le port 80 vers le bon serveur en DMZ (avec un masquerade habile <IMG SRC="images/smiles/icon_wink.gif"> ) 3- Autoriser le paquet dans la chaine forward à aller vers la DMZ (chaine FORWARD) IPCop 1.3 : IPTables : Un paquet qui arrive est soumis à la decision de routage en premier ! En fait, il est d'abbord soumis au masquerade (table nat, chaine PREROUTing "avant le routage!) Ensuite, apres avoir eventuellement changé d'ip destination, il est soumis à la decision de routage. Si c'est pour une autre machine (un seerveur de mule en DMZ), il travers la chaine FORWARd UNIQUEMENT si c'est pour un process local, il ne travere QUE INPUT Bilan : si on vaut avoir un serveur sur la DMZ, il faut : 1- forwarder le port 80 vers le bon serveur en DMZ (avec un masquerade habile <IMG SRC="images/smiles/icon_wink.gif"> ) 2- Autoriser le paquet dans la chaine forward à aller vers la DMZ (chaine FORWARD) Et pas besoin d'ouvrir. Bon, vous avez pigé pourquoi AVANT, il fallait "ouvrir" le port, c'est à dire autoriser dans la tables INPUT. Ce n'est plus nécessaire maintenant, et c'est là encore une belle évolution entre ipchains et iptables (pour les reacs qui ne veulent pas changer <IMG SRC="images/smiles/icon_biggrin.gif"> ) Thomas

par **seb57** » 10 Mai 2003 15:30

elle etait pas si bête cette question !!! merci pour cette petite explication donc si j'ai bien compris il ne faut pas forwarder le port via le gnu mais faire le faire a la mano en mode console pour y inscrire des instructions plus complexe et surtout ne pas ouvrir le port en question ? <IMG SRC="images/smiles/icon_confused.gif">

par **tomtom** » 10 Mai 2003 16:00

Desolé, tu n'as pas bien compris... Si tu as un serveur en DMZ, tu forward le port depuis le gui. Ca n'ouvre rien du tout, mais c'est sur que ca va alsiser les paquets vers le serveur, sinon quel est l'interet de forwarder ????? Si tu as un serveur dans le green, non accessible par internet, tu ne forward rien du tout et si tu as qqchose qui tourne sur le ipcop (ssh par exemple), et que veux y acceder depuis le net, tu l'ouvre... C'est pas compliqué, non ? Qu'est-ce qui te pose problème ? Tom

par **seb57** » 10 Mai 2003 16:16

bon alors effectivement on c'est pas compris " La nouvele version d'IPCop considère que si tu forward un port, c'est pas pour faire joli, et que tu as un serveur qui ecoute derière. Donc il l'ouvre par defaut ! Si tu veux le refermer, il faut le faire à la main dans iptables ! Thomas " 1) le fait de forwarder un port a pour conséquence de l'ouvrir 2) pour le refermé il faut le faire a la main dans iptables conlusion: il est forwardé mais fermé ???

par **tomtom** » 10 Mai 2003 16:27

Ecoute je ne comprends pas pourquoi tu te poses des questions existentielles... Ca veut dire quoi pour toi ouvert, forwardé, etc ? un port ouvert, ca veut dire que vu de l'internet tu peux initier une connexion sur ce port.... OK Alors effectivement, si tu forward le port 80 vers ton apache en dmz, le port est accesible, et donc il est ouvert. mais le port 80 sur la machine LOCALE n'est pas ouvert pour autant. Pigé ? Une requet sur port 80 part en DMZ. Si tu fermes à la main la connexion au port 80, tu n'auras plus rien qui ira sur ta DMZ. La différence avec IPChains, c'est qu'avant tu devais obligatoirement OUVRIR le port 80 (local aussi) pour que le FORWARD fonctionne. Thomas

par **seb57** » 10 Mai 2003 16:38

ah ok j'avais pas pigé que tu parlais du port sur ipcop et celui de la machine locale pour moi forwarder c'est dirigé les connections a un ou plusieur port sur une adresse précise. et ouvrir un port c'est l'ouvrir !!! je ne pensais pas que le forward ouvrait le port. donc reconclusion je forward le 4662 et je gére séparement la sécurité sur la machine de la dmz. j'espére que j'ai pigé cette fois sinon tu vas me <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_bise.gif">

par **tomtom** » 10 Mai 2003 16:44

Voila <IMG SRC="images/smiles/icon_smile.gif"> Et il ne faut pas t'etonner si dans les tests de snas de port ton port apparait ouvert. [out of topic] C'est tout à fait normal, puisque'il faut bien que les gens puissent atteindre ta mul pour copier des musqiues qu'ils ont deja achetées bien sur mais ils ne veulent pas user leurs CD's <IMG SRC="images/smiles/icon_wink.gif"> [/out of topic] Thomas

par **seb57** » 10 Mai 2003 16:52

non emule c'est juste comme ça je telecharge rien et ne partage rien et puis la musique j'en écoute pas j'ai même pas de haut parleur sur le pc et puis pas de graveur non plus <IMG SRC="images/smiles/icon_biggrin.gif"> je posais juste la question au cas ou je l'utiliserais un jour mais pour télécharger que du libre de droit c'est évident <IMG SRC="images/smiles/icon_eek.gif"> merci pour ton explication tomtom <IMG SRC="images/smiles/icon_smile.gif">

question bête !

Qui est en ligne ?