Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

[windows] Quel firewall ?

4 views
Skip to first unread message

Stephane Catteau

unread,
Apr 12, 2009, 12:15:14 PM4/12/09
to

Bonjour,

Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
retrouvant dans l'obligation de changer de firewall, je n'ai aucune
idée du choix à faire.
Je cherche quelque chose de souple, d'efficace, de gratuit et de
stable. L'idéal ce serait quelque chose comme Sunbelt Personnal
Firewall mais qui ne me claquerait pas dans les doigts tous les deux
jours en m'obligeant à le désinstaller et le réinstaller.


Alain Montfranc

unread,
Apr 12, 2009, 12:20:52 PM4/12/09
to
Stephane Catteau a écrit

OpenOffice ?

ok => []


bacchus

unread,
Apr 12, 2009, 1:54:34 PM4/12/09
to
Stephane Catteau a écrit :
COMODO FIREWALL gratuit efficace d'après certain test ,mais en Anglais
et il faut un peu de connaissances pour bien le régler ,un petit tuto
interessant pour l'installation
http://www.malekal.com/tutorial_COMODO_Firewall.php

Stephane Catteau

unread,
Apr 12, 2009, 2:01:11 PM4/12/09
to
bacchus devait dire quelque chose comme ceci :

> COMODO FIREWALL gratuit efficace d'après certain test ,mais en Anglais
> et il faut un peu de connaissances pour bien le régler,

Pour l'anglais et surtout les connaissances, ça ira :D


> un petit tuto interessant pour l'installation
> http://www.malekal.com/tutorial_COMODO_Firewall.php

Bon, je vois pas la spécification des ports dans les captures des
fenêtres de définition des règles, mais elle doit y être puisque je la
vois dans le résumé des règles. Zoup, je vais tester ça.


bacchus

unread,
Apr 12, 2009, 2:16:17 PM4/12/09
to
Un petit comparatif:
http://www.matousec.com/projects/firewall-challenge/results.php
perso je n'ai pas installé l'antivirus intégré .

Stephane Catteau

unread,
Apr 12, 2009, 3:21:06 PM4/12/09
to
bacchus devait dire quelque chose comme ceci :

> Un petit comparatif:
> http://www.matousec.com/projects/firewall-challenge/results.php

Ca me laisse perplexe. Ils testent quoi au juste pour arriver à
classer Sunbelt PF derrière ZA Free :/ Il n'y a pourtant pas photo
entre les deux.
Quant à Comodo, il est finalement parti à la poubelle. La logique
initiale n'est pas trop mal, surtout le concept de regroupement des
ports de même nature et la création de groupe de règles à appliquer au
cas par cas suivant la nature du logiciel. Par contre la différence
qu'il fait entre les règles globales et les règles par logiciel casse
tout et rend sa configuration plus que casse-gueule.
Dommage que les tentatives de portage d'IPFilter puis PacketFilter
soient toutes avortées :(

Enfin, merci pour le lien, ça me donne des pistes à explorer.


Xavier Roche

unread,
Apr 12, 2009, 3:25:54 PM4/12/09
to
Stephane Catteau a écrit :

> Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
> retrouvant dans l'obligation de changer de firewall

Sinon, une solution, c'est un "vrai" firewall devant ; soit un petit
linux dédié, soit un mini routeur pas cher.

L'avantage, c'est qu'en cas de contamination de la machine sous windows,
l'éventuel malware ne pourra pas faire sauter cette barrière.

(Bon, je sais, cela ne répond pas à la question, mais dans la mesure où
d'autres ont donné des pistes, ce n'est pas grave ^^)

Stephane Catteau

unread,
Apr 12, 2009, 3:45:06 PM4/12/09
to
Xavier Roche devait dire quelque chose comme ceci :

>> Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
>> retrouvant dans l'obligation de changer de firewall
>
> Sinon, une solution, c'est un "vrai" firewall devant ;

J'ai déjà un Packet Filter des familles sur la passerelle. Cependant,
le problème d'un filtre IP déporté, c'est qu'il ne fait pas la
différence entre Firefox qui va sur le web et un trojan qui fait de la
fuite de données sur le port 80.
Sans compter le fait que l'ordinateur de mon fils est sur la même
branche du LAN, et je n'ai pas envie de me bouffer les saloperies qu'il
finira par accumuler ;)


Stephane Catteau

unread,
Apr 12, 2009, 3:46:39 PM4/12/09
to
Xavier Roche devait dire quelque chose comme ceci :

>> Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me


>> retrouvant dans l'obligation de changer de firewall
>
> Sinon, une solution, c'est un "vrai" firewall devant ;

J'ai déjà un Packet Filter des familles sur la passerelle. Cependant,


le problème d'un filtre IP déporté, c'est qu'il ne fait pas la
différence entre Firefox qui va sur le web et un trojan qui fait de la
fuite de données sur le port 80.
Sans compter le fait que l'ordinateur de mon fils est sur la même
branche du LAN, et je n'ai pas envie de me bouffer les saloperies qu'il

finira par accumuler ;) Enfin bon, au pire je ressors KPF, il tournait
très bien avant que je ne cherche à utiliser quelque chose de plus
récent.


reric

unread,
Apr 12, 2009, 5:13:06 PM4/12/09
to
Stephane Catteau a écrit :

> finira par accumuler ;) Enfin bon, au pire je ressors KPF, il tournait
> très bien avant que je ne cherche à utiliser quelque chose de plus
> récent.
>
>

celui là m'a parut bien :PC Tools Firewall Plus.
Mais je ne suis pas allé au bout de la configuration ;
en attendant d'avoir plus de temps, j'ai remis mon ancien FW

--
reric

Stephane Catteau

unread,
Apr 12, 2009, 5:53:57 PM4/12/09
to
reric n'était pas loin de dire :

> celui là m'a parut bien :PC Tools Firewall Plus.
> Mais je ne suis pas allé au bout de la configuration ;

J'ai essayé aussi. Il est bien, on peut définir les règles de façon
assez pointues, mais soit on a des règles pointues, soit on a des
règles par logiciel, je n'ai pas réussi à faire cohabiter les deux. Et
pour moi il a un autre défaut, la création des règles se fait comme la
création des règles dans OE. Ce n'est que psychologique, mais ça me
laisse une impression de pas sérieux dont je n'ai pas réussi à me
défaire ;)


> en attendant d'avoir plus de temps, j'ai remis mon ancien FW

Qui est ?


Message has been deleted

vince35

unread,
Apr 13, 2009, 5:14:07 AM4/13/09
to
Stephane Catteau a écrit :
un comparatif :
http://www.matousec.com/projects/firewall-challenge/results.php

Perso, J'évite les usines à gaz qui pèsent des dizaines de Mo
j'ai opté pour Online Armor Personal Firewall 3.0.0.190 Free

d'une simplicité extrème

Message has been deleted
Message has been deleted
Message has been deleted

Patrick 'Zener' Brunet

unread,
Apr 13, 2009, 9:12:10 AM4/13/09
to
Bonjour.

"Stephane Catteau" <steph....@sc4x.net> a écrit dans le message
de news mn.64477d948...@sc4x.org

Et bien finalement, moi j'ai abandonné l'idée du gratuit dans ce domaine, et
j'ai opté pour Look'n'Stop pour trois raisons:
- la politique de licence définitive,
- le très bon souvenir de la version gratuite: un système de règles avec un
paramétrage ultrasouple, la possibilitité de fonctionnement garanti
autonome, sans fenêtre de confirmation (je me souviens quand mon PC proxy
dépourvu d'écran faisait juste une rafale de bangs de temps en temps), et
une grande légèreté,
- le contrôle applicatif qui n'existait pas dans la version "lite".

Mais en fait le but est seulement d'affiner les choses au niveau des
stations, faute de pouvoir faire comprendre à un nombre croissant d'applis
théoriquement fermées que NON je ne veux pas de vos offres de mise à jour
sacrebleu !

En fait je crois que rien ne vaut un vrai firewall matériel, et je touche un
peu les limites des "diodes" intégrées dans les routeurs.
Par exemple, j'ai des NAS de Synology et Netgear qui ont l'air de papoter
régulièrement et ça me gonfle: théoriquement il ne devrait y avoir qu'un
accès NTP par jour pour la mise à l'heure.

Un petit Cisco PIX 501 si je peux mettre la main sur une occasion
intéressante ? Ou un ersatz genre IPCOP dans une minibox avec un disque
Flash ? Le vieux PC ça marche, mais ça consomme, ça chauffe, c'est bruyant,
et ça finit par lâcher d'un coup au plus mauvais moment...

--
Cordialement.

* Patrick BRUNET www.ipzb.fr www.ipzb-pro.com
* E-mail: lien sur http://zener131.eu/ContactMe

reric

unread,
Apr 13, 2009, 11:46:50 AM4/13/09
to
Stephane Catteau a écrit :

> reric n'était pas loin de dire :
>
>> celui là m'a parut bien :PC Tools Firewall Plus.
>> Mais je ne suis pas allé au bout de la configuration ;
>
> J'ai essayé aussi. Il est bien, on peut définir les règles de façon
> assez pointues, mais soit on a des règles pointues, soit on a des
> règles par logiciel, je n'ai pas réussi à faire cohabiter les deux. Et
> pour moi il a un autre défaut, la création des règles se fait comme la
> création des règles dans OE. Ce n'est que psychologique, mais ça me
> laisse une impression de pas sérieux dont je n'ai pas réussi à me
> défaire ;)

Du coup ça me donne envie de le réessayer .
Moi j'ai plus eu l'impression de complexité à bien " prendre en main "
et j'ai pas envie de jouer avec le feu sur mon pc principal .
à voir sur un pc test ,alors.

>> en attendant d'avoir plus de temps, j'ai remis mon ancien FW
>
> Qui est ?

payant !

Tiens, j' avais même testé certaines versions de FW payant qui, lorsque
tu coches ( dans son interface)
" bloquer toutes connexions ", des "choses" continuer à transiter : mdr

--
reric

bacchus

unread,
Apr 14, 2009, 6:33:48 AM4/14/09
to Patrick 'Zener' Brunet
Patrick 'Zener' Brunet a écrit :

> Et bien finalement, moi j'ai abandonné l'idée du gratuit dans ce domaine, et
> j'ai opté pour Look'n'Stop

Il me semble que PC-Tools Firewall et est basé sur le très bon
Look'n'Stop , je me trompe ?

bacchus

unread,
Apr 14, 2009, 6:34:21 AM4/14/09
to Patrick 'Zener' Brunet
Patrick 'Zener' Brunet a écrit :

> Et bien finalement, moi j'ai abandonné l'idée du gratuit dans ce domaine, et


> j'ai opté pour Look'n'Stop

bacchus

unread,
Apr 14, 2009, 6:41:08 AM4/14/09
to Stephane Catteau
Stephane Catteau a écrit :

> bacchus devait dire quelque chose comme ceci :
>
>> Un petit comparatif:
>> http://www.matousec.com/projects/firewall-challenge/results.php
>
> Ca me laisse perplexe. Ils testent quoi au juste pour arriver à
> classer Sunbelt PF derrière ZA Free :/ Il n'y a pourtant pas photo
> entre les deux.

Le plus de matoussec c'est surtout les leaktest , pour le blocage des
ports et autres filtrages , ils le font tous de bases , (enfin
normalement pour un firewall digne de ce nom ).Un test simple , le
leaktest de GRC.COM passe au travers de pctool firewall sans problemes .

Cornelia Schneider

unread,
Apr 14, 2009, 2:35:02 PM4/14/09
to
bacchus <repondres...@svp.fr> wrote in news:49E4684...@svp.fr:

> le
> leaktest de GRC.COM passe au travers de pctool firewall sans problemes

Si les "tests" de grc.com étaient une référence, ça se saurait...

Cela dit, je n'utilise moi aussi que des firewalls matériellement séparés
des ordinateurs à protéger.

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452

bacchus

unread,
Apr 14, 2009, 2:52:26 PM4/14/09
to
Cornelia Schneider a écrit :

>
> Si les "tests" de grc.com étaient une référence, ça se saurait...
>
> Cela dit, je n'utilise moi aussi que des firewalls matériellement séparés

Bonsoir , grc n'est pas forcement une référence pour certain mais il a
au moins le mérite de se mettre à portée de tous , sont leaktest n'est
ni meilleur ni moins bon que les autres , mais il perce la défense de
certains firewalls .Le plus des solutions software du genre PCTOOLS
OUTPOST ETC ... c'est justement de trouver des solutions a ces problèmes
, sinon le firewall intégré a crosoft suffirait largement (lol) .Il
est vrai que de se protéger derrière un parefeu hardware est plus
sécurisant , mais tous le monde ne peu pas dédier une machine pour cela .

Cornelia Schneider

unread,
Apr 14, 2009, 5:36:39 PM4/14/09
to
bacchus <repondres...@svp.merci> wrote in news:49e4db7e$0$27584
$426a...@news.free.fr:

> tous le monde ne peu pas dédier une machine pour cela

Il suffit d'un routeur séparé qui fait ça.

Stephane Catteau

unread,
Apr 14, 2009, 7:06:21 PM4/14/09
to
MELMOTH devait dire quelque chose comme ceci :

>> Je cherche quelque chose de souple, d'efficace, de gratuit et de
>> stable
>

> *PCTools Firewall Plus*
> http://www.pctools.com/fr/firewall/

Personnellement ce que je reproche le plus à PCTools Firewall et COMODO
Firewall, c'est la séparation qui est faite entre le filtrage par
application et le filtrage global.

Par exemple, je n'ai aucune envie que les logiciels Microsoft
communiquent avec Microsoft (mais je soigne ma parano, rassurez-vous).
Cependant, dans le même temps Windows Media Player (que j'utilise encore
ponctuellement) télécharge les Codecs manquant, donc lui doit pouvoir
passer ; même chose pour les navigateurs HTTP autre qu'IE, qui doivent
être en mesure d'accéder au site de Microsoft.
Je ne peux donc pas faire une règle globale sur le filtre IP en bordure
du réseau et me retrouve obligé de filtrer cela au niveau de la machine
elle-même. Avec KPF ou Sunbelt, j'ai des règles qui ressemblent à ceci :

- Autoriser Firefox pour les ports HTTP(S)/(S)FTP
- Autoriser [autre navigateur hors IE et OPERA] pour les ports HTTP(S)/(S)FTP
- Interdire les adresses ADs des OPERA version 6.x et 7.x sur le port HTTP
- Autoriser OPERA pour les ports HTTP(S)/(S)FTP
- Autoriser Windows Media Player
- Interdire les adresses Microsoft
- Autoriser IE pour les ports HTTP(S)/(S)FTP

Avec des logiques de configuration qui différencient les règles sur les
applications, des règles globales, ce n'est pas possible. COMODO est un
brin plus souple, mais comme les règles globales sont appliquées en
premier et que la première règle matchée est la règle appliqué, il faut
créer une règle d'interdiction pour l'ensemble des applications, ce qui
alourdit considérablement le jeu de règle et augmente d'autant les
risques d'erreur humaine.


Stephane Catteau

unread,
Apr 14, 2009, 7:13:19 PM4/14/09
to
mdnews devait dire quelque chose comme ceci :

>>> Un petit comparatif:
>>> http://www.matousec.com/projects/firewall-challenge/results.php
>> Ca me laisse perplexe. Ils testent quoi au juste pour arriver à
>> classer Sunbelt PF derrière ZA Free :/ Il n'y a pourtant pas photo
>> entre les deux.
>

> Ils mettent dans le même "challenge" les détecteurs "de tout" et
> firewall "pur".

Ok, donc du coup un filtre IP facile et souple à configurer, se
retrouve moins bien classé qu'un filtre IP minimaliste, non pas parce
qu'il filtre mal, mais parce qu'il ne peut pas protéger les personnes
qui n'ont pas une bonne politique anti-[malware en tout genre]. Parce
que bon, qui ici a déjà remercié la capacité anti-leak de son firewall
? Dès lors que l'on s'occupe du problème en amont (ne pas installer
n'importe quoi, ne pas cliquer sur les pièces-jointes inconnues, et
avoir un bon anti-virus) il est beaucoup moins utile de s'en occuper en
amont.


> Côté petit FW uniquement FW: look'n'stop (payant, mais pas cher, et
> lot de 5 licences (lifetime en plus) pour une poignée de cahuetes)
> Nécessite de s'y connaitre pour configurer finement.

Je connais, et fut un temps où ils ne m'aimaient pas chez l'éditeur ;)
Il est bon oui, il est même probable qu'il soit devenu excellent depuis
le temps, mais franchement payer pour quelque chose qui existe en
gratuit je n'aime pas trop.


Stephane Catteau

unread,
Apr 14, 2009, 7:28:16 PM4/14/09
to
Patrick 'Zener' Brunet n'était pas loin de dire :

> Mais en fait le but est seulement d'affiner les choses au niveau des
> stations, faute de pouvoir faire comprendre à un nombre croissant d'applis
> théoriquement fermées que NON je ne veux pas de vos offres de mise à jour
> sacrebleu !

Oui, et c'est du coup la raison pour laquelle je préfère le gratuit.
Devoir payer pour que les logiciels fassent effectivement ce que je
leur ait demandé, y a pas, ça me défrise.


> En fait je crois que rien ne vaut un vrai firewall matériel, et je touche un
> peu les limites des "diodes" intégrées dans les routeurs.

Rien ne vaut les deux, d'autant plus maintenant que, les "box" ADSL
aidant, de plus en plus de personnes se retrouvent avec un LAN à la
maison, la plus part du temps en WIFI. Le fitre IP en bordure du réseau
pour assurer la perméabilité du réseau, tant depuis l'extérieur que
depuis l'intérieur (un filtrage sur l'adresse IP des machines suffit à
bloquer tous les petits cons qui sucent ton WIFI), et un filtrage par
application sur les machines elles-mêmes pour les réglages plus fins.
Après tout, une bonne politique de filtrage IP ne consiste pas à
empécher les méchants de rentrer, mais aussi à empécher ceux qui sont
rentré de pouvoir sortir. Et ce dernier point ne peut pas être fait
entièrement d'une manière déportée.


> Un petit Cisco PIX 501 si je peux mettre la main sur une occasion
> intéressante ?

Sinon il y a Packet Filter, sur un OpenBSD ou un FreeBSD, le tout se
contentant parfaitement d'un Pentium 75. Avec une machine un peu plus
puissante (et encore) on peut même rajouter quelques services pour le
réseau, comment un serveur NTP par exemple.


> Le vieux PC ça marche, mais ça consomme, ça chauffe, c'est bruyant,
> et ça finit par lâcher d'un coup au plus mauvais moment...

Mon P75 a tenu cinq ans, sans compter le temps durant lequel il
servait de station de travail, mais c'est vrai qu'il suce pas mal et
qu'un chauffage d'appoint en été ça n'est pas utile ;)


Stephane Catteau

unread,
Apr 14, 2009, 7:36:20 PM4/14/09
to
reric n'était pas loin de dire :

>>> celui là m'a parut bien :PC Tools Firewall Plus.
>>> Mais je ne suis pas allé au bout de la configuration ;
>> J'ai essayé aussi. Il est bien, on peut définir les règles de façon
>> assez pointues, mais soit on a des règles pointues, soit on a des
>> règles par logiciel, je n'ai pas réussi à faire cohabiter les deux. Et
>> pour moi il a un autre défaut, la création des règles se fait comme la
>> création des règles dans OE. Ce n'est que psychologique, mais ça me
>> laisse une impression de pas sérieux dont je n'ai pas réussi à me
>> défaire ;)
>
> Du coup ça me donne envie de le réessayer .
> Moi j'ai plus eu l'impression de complexité à bien " prendre en main "
> et j'ai pas envie de jouer avec le feu sur mon pc principal .

C'est le paradoxe de son interface de configuration en effet. Tous s'y
défini verbalement[1], donc d'un côté ça fait simpliste, parce que les
phrase semblent enfantine, mais dans le même temps il y a tellement de
mots que l'on a toujours l'impression de passer à côté de quelque chose
d'important.


>>> en attendant d'avoir plus de temps, j'ai remis mon ancien FW
>> Qui est ?
>
> payant !

Et de trois... je vais finir par croire qu'il n'y a plus de qualité
dans le gratuit, du moins de ce côté là.


> Tiens, j' avais même testé certaines versions de FW payant qui, lorsque
> tu coches ( dans son interface)
> " bloquer toutes connexions ", des "choses" continuer à transiter : mdr

Ce qui ramène au filtre IP intégré à Windows qui laissent passer
certaines connexions parce qu'elles sont considérées comme
indispensables. Bon, Microsoft a fait des efforts et cela est
maintenant exceptionnel, mais en contre partie lorsque tu installes un
logiciel tu vois apparaitre un message disant que "les règles du
firewall on été créés pour permettre le bon fonctionnement du
logiciel", et en bon utilisateur lambda tu te dis que si c'est pour "le
bon fonctionnement du logiciel", il ne faut surtout pas y toucher.


[1]
Par exemple au niveau des choix ont a :
[] Lorsque le protocole est
[] Lorsque le port destination est

Ce qui donne en bas un début de règle :
Lorsque le protocole est TCP ou UDP
ET Lorsque le port destination est HTTP


Stephane Catteau

unread,
Apr 14, 2009, 7:37:27 PM4/14/09
to
bacchus devait dire quelque chose comme ceci :

>> Et bien finalement, moi j'ai abandonné l'idée du gratuit dans ce domaine, et
>> j'ai opté pour Look'n'Stop

> Il me semble que PC-Tools Firewall et est basé sur le très bon
> Look'n'Stop , je me trompe ?

Euh, le point fort de Look'n'Stop, c'était son interface d'une
simplicité intuitive, donc j'ai des doutes.


Stephane Catteau

unread,
Apr 14, 2009, 7:48:06 PM4/14/09
to
bacchus n'était pas loin de dire :

>> Si les "tests" de grc.com étaient une référence, ça se saurait...

> Bonsoir , grc n'est pas forcement une référence pour certain mais il a
> au moins le mérite de se mettre à portée de tous [...]

GRC a le défaut de sa qualité, ou inversement. De part son caractère
grand public il a ammené beaucoup d'utilisateurs lambda à s'intéresser
à ce qui sort et entre sur son ordinateur, ce qui est une bonne chose.
Cependant, on ne peut pas être à la fois grand public et réaliste,
Surtout lorsqu'il y a une logique commerciale (fut-elle juste
personnelle pour le cas du consultat en sécurité Steve Gibson) et donc
une volonté d'avoir un impact important auprès du public, pour se
targuer ensuite d'avoir x millions de visiteurs.
Ainsi est-ce à Gibson que l'on doit la connerie que l'on retrouve sur
la plus part des firewalls personnel Windows, à savoir que lorsqu'un
port est fermé, il ne faut surtout pas répondre et laisser mourrir la
connexion de son beau TimeOut. Non seulement c'est contraire aux RFC,
mais en plus c'est la porte ouverte pour un magnifique DDoS, puisqu'il
suffit de bombarder une machine de connexions fantomes vers des ports
fermés pour saturer la pile IP. Ayant lui-même été victime de quelques
DDoS, je doute que Gibson pratique encore ainsi pour ses propres
machines, mais il n'en continue pas moins à précauniser cette approche
minimaliste.


Regis

unread,
Apr 16, 2009, 3:25:54 AM4/16/09
to
Cornelia Schneider a écrit :

> bacchus <repondres...@svp.merci> wrote in news:49e4db7e$0$27584
> $426a...@news.free.fr:
>> tous le monde ne peu pas dédier une machine pour cela
> Il suffit d'un routeur séparé qui fait ça.

Si la box (live, free, alice...) fait deja routeur, peut on esperer
moins de trous de securité ?

Par exemple, la livebox thomson mini integre une "sorte" de parefeu
"petit"," moyen", "grand", qu'il faut cocher, mais j'ai remarque, qu'en
choisissant le plus costaud, la connexion Internet en patit :-(

Faut il acheter un routeur derriere le routeur de la box ?

Amicalement,

Régis.

--

Stephane Catteau

unread,
Apr 16, 2009, 5:24:55 AM4/16/09
to
Regis n'était pas loin de dire :

>>> tous le monde ne peu pas dédier une machine pour cela
>> Il suffit d'un routeur séparé qui fait ça.
>
> Si la box (live, free, alice...) fait deja routeur, peut on esperer
> moins de trous de securité ?

Le seul apport d'un routeur en matière de sécurité, c'est qu'en temps
normal il ne sait pas où rediriger les connexions entrantes (vers une
backdoor par exemple). Du moins lorsque celui-ci fait la liaison entre
le vaste monde et un réseau en adresse IP privée.
Il s'agit là d'un effet de bord de l'utilisation des adresses IP
privées, qui ne peuvent pas être adressées (atteintent) en dehors du
réseau qui les contient[1] ; toute connexion entrante se fait donc avec
l'adresse IP du routeur (ou de la box suivant le cas). Or, une fois que
la demande de connexion est arrivée au routeur, celui-ci se retrouve
avec, d'un côté une demande de connexion, et de l'autre côté deux,
trois, voire pourquoi pas cent ordinateurs. Comme le routeur n'est pas
en mesure de deviner auquel de ces ordinateurs la demande de connexion
est destinée, il la droppe (envoie à la poubelle).
Attention toutefois, la plus part des box et des modem-routeurs ont la
possibilité de désigner un ordinateur comme destinataire de ces
connexions entrantes. En général ils appellent cela "DMZ", ce qui est
une grosse erreur mais bon bref. Si une adresse IP est indiquée dans
cette zone, c'est à elle que seront envoyés toutes les connexions
entrantes, ce qui limite l'intérêt du routeur en terme de filtrage.


> Par exemple, la livebox thomson mini integre une "sorte" de parefeu
> "petit"," moyen", "grand", qu'il faut cocher, mais j'ai remarque, qu'en
> choisissant le plus costaud, la connexion Internet en patit :-(

D'une manière générale, il ne faut pas se fier aux firewalls qui
travaillent par niveau de sécurité. D'une part parce que l'on ne sait
jamais avec certitude ce qu'ils font et ne font pas, mais en plus parce
qu'ils ne définissent pas forcément les risques de la même façon que
toi.
A titre d'exemple, à ses débuts, le service UPnP de Windows était
tellement mal foutu qu'il suffisait de lui envoyer deux/trois petits
riens pour que Windows parte en carafe. Le filtrage des données
accédant à ce port était donc de mise, d'autant plus qu'à l'époque il
ne servait pas à grand chose pour un particulier. Pour autant, je doute
qu'un firewall travaillant par niveau de sécurité l'ait un jour filtré
autrement qu'au niveau maximum puisque, dans l'esprit des concepteurs
de ces firewalls, UPnP était un service utile qu'il fallait laisser
accessible.


> Faut il acheter un routeur derriere le routeur de la box ?

Non. Les fonctions de routage de la box se suffisent en elles-mêmes,
rajouter un routeur derrière n'ajouterait rien à la sécurité du réseau.

[1]
Je met volontairement de côté le cas où un réseau privé serait séparé
en deux, avec par exemple une branche en 10.0.0.0/8 et l'autre en
192.168.0.0/16. Dans une tel cas les deux parties du réseau peuvent
communiquer l'une avec l'autre sans problèmes, du moins tant qu'il n'y
a pas un passage, fut-il furtif, par le vaste monde et que celui-ci ne
soit pas encapsulé dans un tunnel.


Cornelia Schneider

unread,
Apr 16, 2009, 9:42:09 AM4/16/09
to
Regis <l.t...@wanadoo.fr> wrote in news:49e6dd84$0$17067$ba4acef3
@news.orange.fr:

> Si la box (live, free, alice...) fait deja routeur, peut on esperer
> moins de trous de securité ?

L'ennui des boxes est leur opacité. Si la box se laisse utiliser comme un
simple modem (donc sans fonctions de routage ni filtrage), on peut mettre
un vrai routeur derrière, dans lequel on peut explicitement paramétrer ce
qu'il fait et filtre ou pas. Pour ma part j'utilise entre autres un LinkSys
avec un firmware tiers (DD-WRT). (derrière un simple modem, pas une box,
parce que je me fous du triple play, que mon FAI ne propose d'ailleurs pas
Rien que pour avoir un firewall à réglages fins, ça vaut à mon avis le
coup. En tout cas pour l'utilisation que je fais de ma connexion.

Regis

unread,
Apr 16, 2009, 11:11:29 AM4/16/09
to
Regis a écrit :

> Faut il acheter un routeur derriere le routeur de la box ?

Merci Stéphane et merci Cornélia pour vos reponses,

En fait je me posais la question du routeur car je n'ai aucune confiance
dans la Livebox, meme si cette derniere, a ce qu'on m'a dit, avait un
programme de gestion Linux, ce qui lui confererait une meilleure
securité, oui surement, mais j'aime bien mettre les mains dans le
camboui, c'est a dire pouvoir gerer au plus juste le parefeu, je suis de
l'epoque vieux-linux :-)

J'ai quatre machines : un PC sous Vista, un PC sous XP/LInux en dual
boot, un tres vieux PC sous Linux Ubuntu 8.10 et enfin, un portable
MacBook, pour le PC sur Vista, j'ai fait l'acquisition de Comodo
Internet Security a $39.00 et sur le PC XP c'est Kaspersky Internet
Security 2009 qui vaut plus cher, quand je suis sous Linux, je sais que
je ne crains rien car les attaques sont rares et je ne suis pas ce que
l'on peut appeler une cible interessante, parceque si c'est pour
connaitre mes coordonnees, suffit de se connecter a un site perso et
j'ai tout ce qu'il faut pour etre emmerder par telephone ;-)

En fait, je ne laisse aucune machine allumée pour par exemple jouer le
parefeu, j'ai installe un switch et un NAS qui lui beneficie d'une
interface Web et Ftp, ce dernier est allume en permanence mais comme un
NAS est un disque dur securisé par mot de passe, je suis plus
tranquille, car j'ai toujours besoin d'un document au boulot, alors j'ai
fait des regles NAT 80 et 21 vers le NAS pour pouvoir downloader /
uploader et ceci facilement, comme les fichiers sont petits, ca va vite.

Une fois a la maison, je tape \\nas sous Windows ou je specifie le NAS
sous Linux pour pouvoir charger ou decharger du travail sur ces disques
durs et ca marche au poil.

En guise de reference, c'est un Linksys NAS200 (que j'ai payé 90 euros)
dont j'ai upgradé le firmware et ai mis deux disques durs de 500 Go en
SATA 2 en LVM, donc j'ai de la place pour mes petits fichiers et cote
parefeu, c'est derriere ma Livebox plus la protection par mots de passe,
et je pense que ce montage est plutot securisant pour mon boulot et la
maison.

Voila,

Amicalement,

Régis.

--


Patrick 'Zener' Brunet

unread,
Apr 16, 2009, 1:42:25 PM4/16/09
to
Bonsoir.

"Regis" <l.t...@wanadoo.fr> a écrit dans le message
de news 49e6dd84$0$17067$ba4a...@news.orange.fr


> Cornelia Schneider a écrit :
>> bacchus <repondres...@svp.merci> wrote in
>> news:49e4db7e$0$27584 $426a...@news.free.fr:
>>> tous le monde ne peu pas dédier une machine pour cela
>> Il suffit d'un routeur séparé qui fait ça.
>
> Si la box (live, free, alice...) fait deja routeur, peut on esperer
> moins de trous de securité ?
>

Ca dépend de comment on la configure, en supposant qu'on arrive à le faire.

Déjà, ne pas oublier que ces engins sont prévus pour une télémaintenance,
faite depuis chez votre ISP par des techniciens mal identifiés, modestement
payés et chez qui existe un turnover important. Beaucoup de "trucs internes"
doivent donc relever du secret de Polichinelle.

Personnellement, je n'ai aucune confiance en un tel système de sécurité.
Donc j'ai mon propre routeur firewall et je subis cette chose en attendant
que sa dernière raison d'être (la téléphonie) ait disparu.

> Par exemple, la livebox thomson mini integre une "sorte" de parefeu
> "petit"," moyen", "grand", qu'il faut cocher, mais j'ai remarque,
> qu'en choisissant le plus costaud, la connexion Internet en patit
> :-(

Oui, et même avec le "minus" ! :-@

Pour des raisons professionnelles, j'ai besoin d'une DMZ pour y connecter un
PC de maintenance plus ou moins imposé et dont je ne veux pas sur mon LAN.
Considérant ce que j'ai écrit plus haut,
A priori il est toujours impossible configurer la LB en mode bridge, donc en
simple modem ADSL, et même en connectant mon routeur en DMZ, le journal de
la LB montre qu'au-delà du simple freinage, elle filtre encore des paquets !

> Faut il acheter un routeur derriere le routeur de la box ?
>

Ca présente plusieurs avantages: notamment, au-delà de la sécurité, celui de
vous monter une config LAN qui soit indépendante de votre ISP (*).
Mais l'idéal alors est de choisir un ISP (parmi ceux disponibles) dont la
Box accepte de passer en mode bridge.

(*) Par exemple: Si vous avez plusieurs stations connectées entre elles,
avec des sauvegardes etc. le jour où vous déménagez et qu'avec une autre box
on vous impose un changement de numéro de sous-réseau, vous êtes très
content...

A vrai dire, j'avais fait le choix de cet ISP parce que contrairement aux
autres, il est aussi câbleur. En 2007 j'ai eu une coupure physique de ma
ligne et le précédent, après la réinstallation d'Outlook Express (sans
rire), m'a simplement suggéré de demander gentiment à l'Opérateur Historique
s'il voulait bien chercher la panne...

D'ailleurs je me demande ce qui est prévu légalement dans ce cas, lorsqu'on
a choisi le dégroupage total chez un autre ISP qu'Orange...

Cornelia Schneider

unread,
Apr 16, 2009, 12:32:50 PM4/16/09
to
Regis <l.t...@wanadoo.fr> wrote in news:49e74aa4$0$12631$ba4acef3
@news.orange.fr:

> j'aime bien mettre les mains dans le
> camboui, c'est a dire pouvoir gerer au plus juste le parefeu, je suis de
> l'epoque vieux-linux :-)

Dans ce cas un routeur au firmware modifié ne devrait pas te faire peur, je
pense... Voir p.ex. <http://en.wikipedia.org/wiki/Openwrt> si tu veux voir
tout ce qui est possible avec des routeurs grand public.

Regis

unread,
Apr 17, 2009, 2:54:08 AM4/17/09
to
Cornelia Schneider a écrit :

> Dans ce cas un routeur au firmware modifié ne devrait pas te faire peur, je
> pense... Voir p.ex. <http://en.wikipedia.org/wiki/Openwrt> si tu veux voir
> tout ce qui est possible avec des routeurs grand public.

Assuremment, mais jusqu'a preuve du contraire, "ma" Livebox ne
m'appartient pas, je la loue, si je foire un flashage comme cela s'est
deja passé pour un de mes vieux PC, je serais contraint de l'acheter et
ceci en panne, donc, j'en prend grand soin, j'ai besoin du telephone et
de la connexion Internet, pour ce qui est de la TV, je m'en fous, j'en
ai pas besoin, je ne suis pas très TV, mais je suis très PC, faudrait
d'ailleurs que j'aille a l'ophtalmo : deja 7 heures de bronzage intensif
au boulot de ma retine, et une deuxieme couche de bronzage a la maison,
et je crois que ma vue en a pris un coup depuis la derniere paire de
lunettes.

Bon, pour en revenir a la box, je prefere la laisser telle qu'elle,
autant si ca aurait ete uhn routeur standard, je me serais permis, mais
là, c'est du trapeze sans filet !

Amicalement,

Régis.

--

Pascal Hambourg

unread,
Apr 17, 2009, 4:55:18 AM4/17/09
to
Salut,

Stephane Catteau a écrit :


>
> Ainsi est-ce à Gibson que l'on doit la connerie que l'on retrouve sur
> la plus part des firewalls personnel Windows, à savoir que lorsqu'un
> port est fermé, il ne faut surtout pas répondre et laisser mourrir la
> connexion de son beau TimeOut. Non seulement c'est contraire aux RFC,
> mais en plus c'est la porte ouverte pour un magnifique DDoS, puisqu'il
> suffit de bombarder une machine de connexions fantomes vers des ports
> fermés pour saturer la pile IP.

La pile IP de qui ? Pas celle de la machine protégée par le firewall, en
tout cas, puisqu'elle ne voit même pas les demandes de connexion
bloquées par le firewall.

Cornelia Schneider

unread,
Apr 17, 2009, 5:48:27 AM4/17/09
to
Regis <l.t...@wanadoo.fr> wrote in news:49e82793$0$12658$ba4acef3
@news.orange.fr:

> pour en revenir a la box, je prefere la laisser telle qu'elle

Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement
pas de firmware tiers pour les boxes fournies par les FAI), mais de la
faire fonctionner en simple modem/bridge, si c'est possible, et de mettre
un routeur plus élaboré derrière elle.

Message has been deleted

Fabien LE LEZ

unread,
Apr 17, 2009, 12:03:50 PM4/17/09
to
On Fri, 17 Apr 2009 17:39:56 +0200, xav...@groumpf.org (Xavier):

>Plus de filtrage de pubs

Elles ne connaissent pas AdBlock+ et Customizegoogle ?

Cornelia Schneider

unread,
Apr 17, 2009, 3:48:16 PM4/17/09
to
xav...@groumpf.org (Xavier) wrote in
news:1iybv14.1s03hsho8no3kN%xav...@groumpf.org:

> Il y a toujours la posibilité, si la box ne peut pas faire bridge
> (j'ai eu un ZyXel un peu chatouilleux là-dessus, je l'ai laissé en
> routeur) d'ouvrir tous les ports de la box vers un routeur/passerelle
> (ce qui est appelé improprement DMZ dans l'interface d'admin des
> boxes) et ensuite de faire finement le filtrage/redirection vers les
> postes du LAN, voire une *vraie* DMZ à l'aide d'un logiciel adapté -
> OpenBSD Packet Filter a ma préférence, mais il y en a d'autres.

Oui, ça peut effectivement marcher comme ça aussi.

[...]

> Bises à toi (si je puis me l'autoriser)

Oui oui :-)

Stephane Catteau

unread,
Apr 17, 2009, 5:58:36 PM4/17/09
to
Pascal Hambourg devait dire quelque chose comme ceci :

Pour ne pas avoir à réinventer la roue, avec tout ce que cela
impliquerait comme problèmes, les filtre IP travaillent en plaçant des
hooks sur la pile IP[1]. Du coup je ne comprends pas ta remarque. Que
le firewall soit directement sur la machine protégée ou sur une machine
déportée ne change pas grand chose. Dans les deux cas la pile IP d'une
machine par laquelle la connexion est obligée de passer est saturée,
donc dans les deux cas il y a (D)DoS.
Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans
ce cas, quoi ?

[1]
Autrement dit ils "interceptent" les données à différents niveaux de
la pile IP, pour les traiter avant elle, et éventuellement les lui
transmettre ensuite.


Regis

unread,
Apr 18, 2009, 4:27:30 AM4/18/09
to
Cornelia Schneider wrote:
>> pour en revenir a la box, je prefere la laisser telle qu'elle
> Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement
> pas de firmware tiers pour les boxes fournies par les FAI), mais de la

C'est vrai que moi, tout de suite, je pense a tout ratiboiser, brut de
decoffrage, mais j'ai encore une mauvaise perception de l'architecture
box, puis ce genre d'architecture, c'est occulte, ou alors, si quelqu'un
s'y connait, qu'il me contacte, je serais interesse par la mise au
point, comme tu me l'as souligné Cornelia, d'un passage en mode
modem/bridge, sans biensur niquer le telephone, car j'en ai vraiment besoin.

> faire fonctionner en simple modem/bridge, si c'est possible, et de mettre
> un routeur plus élaboré derrière elle.

Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
firewall huit ports ? J'ai cherche mais je truove que des quatre ports,
or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant
pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter,
pas que je sois radin, mais avec Linux, on peut faire marcher de
vieilles machines et ca, c'est tres interessant, enfin, je passe...

Bien amicalement,

Régis.

--

Regis

unread,
Apr 18, 2009, 4:41:51 AM4/18/09
to
Xavier wrote:

> DMZ

La Livebox le permet, mais bon, faudrait connaitre deja quelqu'un qui a
testé, ou alors peux tu me guider, ceci en me conseillant un bon routeur ?

> Un vieux PC de récup, même pas trop puissant, pourvu qu'il accepte au
> moins deux (ou trois) cartes Ethernet fera l'affaire.

Le seul vieux PC que j'ai est un desktop malheureusement :-(

> En plus, c'est très pédagogique. J'ai comme ça, pendant plus de dix
> ans échangé des connaissances et des expériences entre mon réseau-de-
> chez-moi où je testais des trucs, et celui de ma boîte, où ils
> étaient très contents que mes modifications ne tombent pas le réseau
> pendant trois jours.

"Pedagogique", ca je veux bien te croire, c'est en tatonnant en
empiriste que l'on peut que se former et comprendre !

Tiens, hier, plantage du disque dur de mon vieux PC : un probleme de
demarrage bien que le disque dur soit neuf, j'ai perdu mon S.E (abime
par ci par la), et cette nuit, j'ai tout remonte, la je poste avec ce
dernier, j'ai Xfce4 et je l'ai mis en serveur de fichiers, ca marche,
mais ca mouline un petit peu :-p

J'ai un vieux PC au bureau, mais c'est un 300 Mhz, une grande tour avec
512 Mo de RAM, mais j'ai plus de place chez moi :-)

Bien amicalement,

Régis.

--

Pascal Hambourg

unread,
Apr 18, 2009, 5:04:12 AM4/18/09
to
Stephane Catteau a écrit :

>
> Pour ne pas avoir à réinventer la roue, avec tout ce que cela
> impliquerait comme problèmes, les filtre IP travaillent en plaçant des
> hooks sur la pile IP[1].

Oui, en tout cas c'est ce que fait netfilter.

> Du coup je ne comprends pas ta remarque. Que
> le firewall soit directement sur la machine protégée ou sur une machine
> déportée ne change pas grand chose. Dans les deux cas la pile IP d'une
> machine par laquelle la connexion est obligée de passer est saturée,
> donc dans les deux cas il y a (D)DoS.
> Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans
> ce cas, quoi ?

Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile
IP". Que veux-tu dire exactement par là ?

Christophe Bachmann

unread,
Apr 18, 2009, 8:39:51 AM4/18/09
to
Regis a écrit :

> Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
> firewall huit ports ? J'ai cherche mais je truove que des quatre ports,
> or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant
> pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter,
> pas que je sois radin, mais avec Linux, on peut faire marcher de
> vieilles machines et ca, c'est tres interessant, enfin, je passe...
>

Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre
port, tu en as pour moins cher qu'un routeur huit ports, et en plus tu
peux choisir comment grouper tes machines pour optimiser les trafics.

--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France

siger

unread,
Apr 19, 2009, 6:05:14 AM4/19/09
to
Stephane Catteau a écrit :

> Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
> retrouvant dans l'obligation de changer de firewall, je n'ai aucune
> idée du choix à faire.


> Je cherche quelque chose de souple, d'efficace, de gratuit et de

> stable. L'idéal ce serait quelque chose comme Sunbelt Personnal
> Firewall mais qui ne me claquerait pas dans les doigts tous les deux
> jours en m'obligeant à le désinstaller et le réinstaller.

Bonjour,

J'utilise depuis longtemps Kerio v2 et quelques, et je vois que
personne n'en parle. Est-il urgent que je change ? ;-)


--
siger

Stephane Catteau

unread,
Apr 19, 2009, 2:14:44 PM4/19/09
to
Regis n'était pas loin de dire :

> [...] mais j'ai encore une mauvaise perception de l'architecture
> box, puis ce genre d'architecture, c'est occulte, [...]

Dans les faits une box n'est rien d'autre qu'un modem. S'il ne peut
pas passer en mode bridge il lui reste quand même la possibilité de
rediriger les connexions entrantes vers une machine unique, qui serait
alors ton routeur.


> Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
> firewall huit ports ?

Un routeur/firewall quatre ports et derrière l'un des ports tu places
un switch sur lequel tu mets les PC.


Stephane Catteau

unread,
Apr 19, 2009, 2:34:58 PM4/19/09
to
Pascal Hambourg devait dire quelque chose comme ceci :

>> Du coup je ne comprends pas ta remarque. Que


>> le firewall soit directement sur la machine protégée ou sur une machine
>> déportée ne change pas grand chose. Dans les deux cas la pile IP d'une
>> machine par laquelle la connexion est obligée de passer est saturée,
>> donc dans les deux cas il y a (D)DoS.
>> Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans
>> ce cas, quoi ?
>
> Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile
> IP". Que veux-tu dire exactement par là ?

Je viens de me relire, et c'est moi qu'y ais plantu en fait. Je
pensais écrire un truc et j'en ai écrit un autre, du coup c'était pas
aussi clair que ça. Je vais donc la refaire autrement.

Résumé du fonctionnement standard d'une connexion entrante :

1) La machine d'origine essaie de se connecter sur le port xy
2) La machine cible reçoit une demande de connexion vers le port xy
3) La pile IP prend en charge cette demande de connexion et alloue
l'espace nécessaire pour la traiter.
4) Le filtre IP prend le relais et décide de ce qu'il va faire.
5a) Le filtre IP accepte la connexion, il rend la main à la pile IP qui
continue son travail
5b) Le filtre IP rejète proprement la connexion, il renvoie un RST si
c'est du TCP, le message ICMP qui va bien dans les autres cas.
5c) Le filtre IP rejète salement la connexion, il drop le paquet, ce
qui coupe la connexion au niveau de la machine d'origine.

Les ports "stealth" à la Gibson rajoute un option :
5d) Le filtre IP refuse la connexion mais décide que c'est au client de
la couper.


Dans le cas 5a, l'espace alloué par la pile IP est encore utilisé
pendant une fraction de seconde, jusqu'à ce que le paquet soit transmis
au serveur.
Dans les cas 5b et 5c, l'espace alloué est aussitôt libéré.
Mais dans le cas 5d, l'espace alloué reste utilisé pendant une
trentaine de seconde, délais moyen avant que le client ne décide qu'il
y a TimeOut pour la connexion. Alors certes, une pile IP bien faite
n'arrivera jamais à bout d'espace, parce qu'elle peut en allouer à
hauteur de la RAM + le swap. Par contre la table interne qui lui permet
de faire le lien entre l'espace alloué et la connexion elle-même n'est
pas extensible à l'infinie et finira par saturer. Il faudra un nombre
conséquent de connexions, mais ça n'est pas vraiment le plus difficile
pour quelqu'un qui cherche à faire un DDoS.


Stephane Catteau

unread,
Apr 19, 2009, 2:42:12 PM4/19/09
to
siger devait dire quelque chose comme ceci :

> J'utilise depuis longtemps Kerio v2 et quelques, et je vois que
> personne n'en parle.

Si si, moi j'en ai parlé, comme solution de repli si je ne trouvais
rien d'autre ;)


> Est-il urgent que je change ? ;-)

Ca dépend. Kerio est vieux et il avait déjà quelques problèmes à
l'époque. Pour te faire une idée, tu peux aller regarder ce qu'ils
pensent de Sunbelt sur le comparatif pointé dans la discussion
<http://www.matousec.com/projects/firewall-challenge/results.php>.
Comme Sunbelt a repris Kerio, ce dernier passerait encore moins bien
les tests.
Cela étant dit, les tests effectués concernent en fait le comportement
annexe et non le seul filtrage IP. Donc si tu as une utilisation saine
de ton ordinateur, ce qui te mets à l'abris de 95% des virus/trojan et
compagnie, tu n'as pas besoin de ces comportements annexes[1] et Kerio
est parfaitement valable.


[1]
A titre d'exemple, certains firewall sont maintenant capable de
détecter qu'une application tierce est venue se greffer sur un
programme autorisé à utiliser internet. Si tu ne risques pas d'avoir de
malware, tu ne risques pas non plus d'avoir une application tierce qui
viendrait se greffer blablabla. Du coup tu n'as pas non plus besoin de
cette protection de la mort qui tue qu'elle est vachement super mais
inutile pour toi.


Christophe Bachmann

unread,
Apr 19, 2009, 3:07:31 PM4/19/09
to
Stephane Catteau a écrit :

> Pascal Hambourg devait dire quelque chose comme ceci :
>
> 5c) Le filtre IP rejète salement la connexion, il drop le paquet, ce
> qui coupe la connexion au niveau de la machine d'origine.
>
> Les ports "stealth" à la Gibson rajoute un option :
> 5d) Le filtre IP refuse la connexion mais décide que c'est au client de
> la couper.
>
>
> Dans les cas 5b et 5c, l'espace alloué est aussitôt libéré.
> Mais dans le cas 5d, l'espace alloué reste utilisé pendant une
> trentaine de seconde, délais moyen avant que le client ne décide qu'il
> y a TimeOut pour la connexion.

Je comprends mal la différence entre le 5c et le 5d. En quoi le fait de
dropper le paquet et laisser mourir la connection par time-out
diffère-t-il de bloquer le paquet et laisser mourir la connection par
time-out, du point de vue de la machine appelante ?

Et dans ce cas, pourquoi implémenter spécifiquement un cas 5d et ne pas
utiliser un cas 5c ?

Fabien LE LEZ

unread,
Apr 19, 2009, 3:23:01 PM4/19/09
to
>3) La pile IP prend en charge cette demande de connexion et alloue
>l'espace nécessaire pour la traiter.

J'ai de gros problèmes pour comprendre ton message, et j'aimerais bien
qu'on m'explique...

Si j'ai bien tout saisi, il y a deux acceptions différentes du mot
"pile" ("stack") :

- La "pile IP" est l'organisation des différentes couches (par
exemple, IP -> UDP -> application), avec la gestion des headers
successifs (header IP -> header UDP -> données).

- La pile TCP (ou TCP/IP) est le mécanisme de suivi des connexions TCP
en cours.

Par ailleurs, par "connexion", on entend "connexion TCP" -- il y a
peut-être d'autres types en laboratoire, mais pas dans la nature.

Quand la machine-source veut ouvrir une connexion TCP sur la
machine-cible, elle lui envoie un paquet SYN.

Si la machine-cible le reçoit, elle vérifie :
- que le(s) filtre(s) IP le considère(nt) comme acceptable ;
- qu'une application est en mesure d'accepter la connexion (i.e.
écoute sur le port).

Si toutes les connexions sont réunies, la machine-cible alloue les
ressources sur la pile TCP pour gérer la connexion, et envoie un
paquet SYN-ACK.

Dans le cas contraire, le paquet est ignoré, et il n'y a pas de
connexion (du point de vue de la machine-cible).
Un paquet RST est envoyé, ou pas.
Si le paquet RST est bien envoyé, et si la machine-source le reçoit,
elle sait immédiatement que la connexion est refusée ; sinon, elle
attend le timeout, ce qui peut saturer sa propre pile TCP.

Le mode "stealth" consiste à ne pas envoyer de paquet RST. Ça a une
influence sur la pile TCP de la machine-source, mais aucune sur celle
de la machine-cible.

Ça, c'est bien sûr dans le cas idéal. Si le firewall est foireux, il
peut refuser la connexion (avec ou sans envoi de RST), mais laisser la
pile TCP de la machine allouer de l'espace pour la connexion
"fantôme". Mais c'est un bug du logiciel en question, pas un problème
avec la méthode.

Voilà donc ce que j'ai compris. Est-ce exact ? Complètement faux ?
Autre chose ?

Merci d'avance pour vos commentaires...


Fabien LE LEZ

unread,
Apr 19, 2009, 3:26:22 PM4/19/09
to
On Sun, 19 Apr 2009 20:42:12 +0200, Stephane Catteau
<steph....@sc4x.net>:

>Cela étant dit, les tests effectués concernent en fait le comportement
>annexe et non le seul filtrage IP.

Si j'ai bien compris, le gros souci avec Kerio 2.x, c'est qu'on peut
envoyer un paquet IP en deux morceaux -- Windows reconstitue le paquet
en aval de Kerio, ce qui fait que ce dernier ne voit pas le paquet en
entier, et peut donc laisser passer des paquets dangereux.

>Sunbelt

Rien à voir. Sunbelt est basé sur Kerio 4.x, qui n'a pas ce problème.

Pascal Hambourg

unread,
Apr 19, 2009, 4:52:34 PM4/19/09
to
Stephane Catteau a écrit :

>
> Résumé du fonctionnement standard d'une connexion entrante :
>
> 1) La machine d'origine essaie de se connecter sur le port xy
> 2) La machine cible reçoit une demande de connexion vers le port xy
> 3) La pile IP prend en charge cette demande de connexion et alloue
> l'espace nécessaire pour la traiter.
> 4) Le filtre IP prend le relais et décide de ce qu'il va faire.

Dans l'infrastructure netfilter du noyau Linux utilisée par iptables, ce
n'est pas comme ça que ça marche. Le hook d'entrée d'iptables se trouve
en amont du code de la couche TCP. Si le paquet de demande de connexion
est rejeté avec une réponse à l'émetteur (cible REJECT) ou bloqué
silencieusement (cible DROP), alors le code de la couche TCP ne le voit
pas et n'alloue rien. A noter que si iptables rejette le paquet avec un
TCP RST ou un ICMP destination unreachable, c'est le code d'iptables et
non de la couche TCP de la pile qui envoie le paquet de réponse.

> 5c) Le filtre IP rejète salement la connexion, il drop le paquet, ce
> qui coupe la connexion au niveau de la machine d'origine.
>
> Les ports "stealth" à la Gibson rajoute un option :
> 5d) Le filtre IP refuse la connexion mais décide que c'est au client de
> la couper.

Comme Christophe j'ai du mal à voir la différence entre les deux.

Message has been deleted

Pascal Hambourg

unread,
Apr 20, 2009, 5:03:10 AM4/20/09
to
MELMOTH a écrit :
>
> Il devrait pourtant bien savoir que "ce qui se conçoit bien s'énonce
> *clairement* "...

Le type qui a proféré cette énormité n'a sûrement jamais fait
d'informatique.

Vivien Moreau

unread,
Apr 20, 2009, 5:24:32 AM4/20/09
to
Pascal Hambourg <boite-...@plouf.fr.eu.org> a tapoté :

Nicolas Boileau ? Non en effet :-)

--
Vivien Moreau / Tuxicomane

Message has been deleted

Az Sam

unread,
Apr 20, 2009, 6:23:40 AM4/20/09
to

"Fabien LE LEZ" <gram...@gramster.com> a écrit dans le message de news:
gdumu49udliaml9kk...@4ax.com...

>
> Le mode "stealth" consiste à ne pas envoyer de paquet RST. Ça a une
> influence sur la pile TCP de la machine-source, mais aucune sur celle
> de la machine-cible.

moi ce que j'ai compris dans l'explication de S. Catteau, c'est ce qu'il decrit
_sur la machine cible_ en fin de paragraphe.
c'est a dire que en cas de drop, l'espace est libéré sur la machine qui recoit
tandis qu'en cas de stealth, l'expace reste alloué jusqu'a time out.

Maintenant est ce bien ce meccanisme (time out de la cible ??), je vous lis avec
attention ;-)


--
Cordialement,
Az Sam.

Az Sam

unread,
Apr 20, 2009, 6:35:38 AM4/20/09
to
"Fabien LE LEZ" <gram...@gramster.com> a écrit dans le message de news:
9iumu45mrfgcqrv2n...@4ax.com...

>
> Si j'ai bien compris, le gros souci avec Kerio 2.x, c'est qu'on peut
> envoyer un paquet IP en deux morceaux -- Windows reconstitue le paquet
> en aval de Kerio, ce qui fait que ce dernier ne voit pas le paquet en
> entier, et peut donc laisser passer des paquets dangereux.

Oui vieux pb qui valait a Kerio 4 d'etre soi disant meilleur, et qui se corrige
de cette facon :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
Ajoutez une nouvelle Valeur DWORD "EnableFragmentChecking" valeur : 1

Il y a aussi, la perte de configuration des regles (tres ennuyeux), des
plantages Kernel et des erreurs de tampons memoire a l'epoque (c'ets peut etre
plus le cas avec nos machines actuelles)


mes sources en archives sur Kerio V2.x :
http://babin.nelly.free.fr/kerio.htm
http://kerio215.free.fr/#astuces


--
Cordialement,
Az Sam.

Pascal Hambourg

unread,
Apr 20, 2009, 6:48:28 AM4/20/09
to
MELMOTH a écrit :

>
>> Le type qui a proféré cette énormité n'a sûrement jamais fait
>> d'informatique.
>
> Hum...
> J'ai programmé

Je parlais de l'auteur de cette phrase, pas de ceux qui la citent.

Cornelia Schneider

unread,
Apr 18, 2009, 8:38:54 AM4/18/09
to
Regis <re...@regux.com.invalid> wrote in news:49e98ef3$0$17068$ba4acef3
@news.orange.fr:

> Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
> firewall huit ports ? J'ai cherche mais je truove que des quatre ports,
> or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant
> pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter,
> pas que je sois radin, mais avec Linux, on peut faire marcher de
> vieilles machines et ca, c'est tres interessant, enfin, je passe...

Rien ne t'empêche de mettre un switch derrière le routeur. J'utilise
actuellement un LinkSys WRT54GL (routeur), sous DD-WRT, derrière un LinkSys
AM200 (modem/bridge) et devant un switch Ethernet huit ports. Ce qui me
donne 11 ports Ethernet au total.

Cornelia Schneider

unread,
Apr 18, 2009, 12:32:10 PM4/18/09
to
Christophe Bachmann <Chri...@JMVD.Info> wrote in news:49e9ca17$0$17069
$ba4a...@news.orange.fr:

> Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre
> port, tu en as pour moins cher qu'un routeur huit ports

Mais ça ne fait toujours que sept ports disponibles, d'où mon conseil d'un
switch huit ports. Le différence de prix est de toutes façons minime. Et on
n'a d'expérience jamais trop de ports disponibles...

Regis

unread,
Apr 21, 2009, 3:54:47 AM4/21/09
to
Salut Cornelia, salut a tous,

> Rien ne t'empêche de mettre un switch derrière le routeur. J'utilise
> actuellement un LinkSys WRT54GL (routeur), sous DD-WRT, derrière un
> LinkSys AM200 (modem/bridge) et devant un switch Ethernet huit ports.
> Ce qui me donne 11 ports Ethernet au total.

En fait, j'ai la livebox, et branché dessus un switch de huit ports, de
ce fait, je crois que je ne vais toucher a rien, le NAS est securise et
quand bien meme il ne le serait pas, je ne me soucis pas des donnees
presentes dessus, donc ca fait :

1) Une Livebox
2) Un switch DLINK :
2.1) Un PC sous Ubuntu 8.04
2.2) Un PC sous Windows XP SP3 en dual boot avec UBuntu 8.10
2.3) Un PC sous Vista
2.4) Un MacBook sous Mac OS X
2.5) Un NAS200 de Linkys
2.6) Un cable du switch a la Livebox

Et il me reste donc deux ports de libre (une camera IP + aut'chose).

Quand je ne suis pas a la maison, seul le NAS est allumé, donc...

Merci quand meme pour vos conseils.

Bien amicalement,

Régis.

--
Si je dois mettre un routeur derriere un routeur, je m'en sors plus :-)

Christophe Bachmann

unread,
Apr 21, 2009, 1:04:46 PM4/21/09
to
Cornelia Schneider a écrit :

> Christophe Bachmann <Chri...@JMVD.Info> wrote in news:49e9ca17$0$17069
> $ba4a...@news.orange.fr:
>
>> Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre
>> port, tu en as pour moins cher qu'un routeur huit ports
>
> Mais ça ne fait toujours que sept ports disponibles, d'où mon conseil d'un
> switch huit ports. Le différence de prix est de toutes façons minime. Et on
> n'a d'expérience jamais trop de ports disponibles...
>
> Cornelia
>
Là, j'avoue que je ne connais pas le prix actuel de switchs huit ports
comparés aux prix des switch quatre ports. Par contre on n'a
effectivement jamais assez de ports dispo.

A part ça en effet la différence n'est pas notable, la fiabilité des
switchs n'offrant pas de supériorité à l'option switchs en cascade, et
ne connaissant pas le type de trafic dans le réseau de l'OP je ne sais
pas si une architecture en cascade a un avantage par rapport à une
architecture à plat.

Le seul avantage clair que je vois à multiplier les petits appareils
c'est la facilité à reconfigurer en fonction de l'évolution du réseau
et des localisations. Par exemple deux petits switchs dans deux pièces
différentes reliées par un câble (ou par CPL) au routeur, l'inconvénient
est de multiplier les alimentations , et les connections
inter-équipements qui sont des sources d'ennuis potentielles.

Ceci dit l'OP n'annonce que 6 machines donc sept ports sont suffisants
pour acheter un switch supplémentaire au besoin. ;-)

Fabien LE LEZ

unread,
Apr 21, 2009, 2:03:13 PM4/21/09
to
On Tue, 21 Apr 2009 19:04:46 +0200, Christophe Bachmann
<Chri...@JMVD.Info>:

>Là, j'avoue que je ne connais pas le prix actuel de switchs huit ports
>comparés aux prix des switch quatre ports.

Tout est là : http://www.clubic.com/comparer-prix/hub-reseau/

En pratique, il n'y a quasiment pas de switchs 4 ports -- c'est
soit 5, soit 8.

Chez D-Link (un exemple comme un autre) :

100 Mbps, 5 ports : 10 EUR
100 Mbps, 8 ports : 13 EUR

1 Gbps, 5 ports : 25 EUR
1 Gbps, 8 ports : 35 EUR

Ludovic - F5PBG

unread,
Apr 22, 2009, 1:13:26 AM4/22/09
to
>
>Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
>retrouvant dans l'obligation de changer de firewall, je n'ai aucune
>idée du choix à faire.
>Je cherche quelque chose de souple, d'efficace, de gratuit et de
>stable. L'idéal ce serait quelque chose comme Sunbelt Personnal
>Firewall mais qui ne me claquerait pas dans les doigts tous les deux
>jours en m'obligeant à le désinstaller et le réinstaller.
>

Pas le temps de lire toutes les réponses...

Je te donne juste mon avis :
Celui de ton système d'exploitation (firewall de Windows)
couplé à celui de ta box (Freebox, etc...) est ahma bien
suffisant.

Si tu es chez Orange, la livebox a l'avantage de filtrer les
ports sortants.

A+
Ludovic.

Fabien LE LEZ

unread,
Apr 22, 2009, 12:56:50 PM4/22/09
to
On Wed, 22 Apr 2009 07:13:26 +0200, Ludovic - F5PBG

>Celui de ton système d'exploitation (firewall de Windows)
>couplé à celui de ta box (Freebox, etc...) est ahma bien
>suffisant.

Aucun des deux n'est capable d'empêcher un programme précis (par
exemple, iexplore.exe) de sortir.

Ludovic - F5PBG

unread,
Apr 24, 2009, 5:55:25 PM4/24/09
to

>>Celui de ton système d'exploitation (firewall de Windows)
>>couplé à celui de ta box (Freebox, etc...) est ahma bien
>>suffisant.
>
>Aucun des deux n'est capable d'empêcher un programme précis (par
>exemple, iexplore.exe) de sortir.

Le but est d'éviter que cela rentre...
Mais ta réponse est toutefois erronée en ce qui concerne
la livebox qui filtre les ports en sortie, à condition bien sûr
de paramétrer correctement le firewall de la livebox.

Cordialement,
Ludovic.

Pascal Hambourg

unread,
Apr 24, 2009, 6:16:59 PM4/24/09
to
Ludovic - F5PBG a écrit :

Le monsieur a écrit "empêcher *un programme précis*", pas un port précis.

Roland Garcia

unread,
Apr 24, 2009, 6:22:05 PM4/24/09
to
Ludovic - F5PBG a écrit :

Erronée ? ah bon ?

Expliquez moi comment votre Livebox filtrera iexplore.exe tout en
laissant passer firefox.exe ?

--
Roland Garcia

Ludovic - F5PBG

unread,
Apr 25, 2009, 7:43:07 AM4/25/09
to
>
>Expliquez moi comment votre Livebox filtrera iexplore.exe tout en
>laissant passer firefox.exe ?
>

Inutile d'un firewall pour cela...

Dans Internet explorer :
Outils>options internet>contenu>Activer le contrôle d'accès
Placer toutes les options sur "limité"

Au revoir...

Roland Garcia

unread,
Apr 25, 2009, 6:21:43 PM4/25/09
to
Ludovic - F5PBG a écrit :


Ah ? et comment ferez vous pour mechant-trojan.exe ?


--
Roland Garcia

Stephane Catteau

unread,
Apr 26, 2009, 4:37:53 AM4/26/09
to
Fabien LE LEZ n'était pas loin de dire :

>> 3) La pile IP prend en charge cette demande de connexion et alloue
>> l'espace nécessaire pour la traiter.
>
> J'ai de gros problèmes pour comprendre ton message, et j'aimerais bien
> qu'on m'explique...

Je vais essayer, mais le temps n'étant pas une denrée abondante en ce
moment je ne suis pas sûr d'arriver à faire mieux que la dernière fois.


> Si j'ai bien tout saisi, il y a deux acceptions différentes du mot
> "pile" ("stack") :
>
> - La "pile IP" est l'organisation des différentes couches (par
> exemple, IP -> UDP -> application), avec la gestion des headers
> successifs (header IP -> header UDP -> données).

Je n'ai jamais vraiment compris pourquoi on l'appellait "pile", mais
tu as bon. La pile IP est (devenue ?) l'ensemble du code gérant la
couche réseau IP et les couches de transport utilisables sur IP.


> - La pile TCP (ou TCP/IP) est le mécanisme de suivi des connexions TCP
> en cours.

Qui constitue donc une partie de la pile IP. Dans le lot il y a aussi
la pile, non ordonnée, qui s'occupe de gérer les paquets fragmentés.


> Par ailleurs, par "connexion", on entend "connexion TCP" -- il y a
> peut-être d'autres types en laboratoire, mais pas dans la nature.

vip.


[snip]


> Dans le cas contraire, le paquet est ignoré, et il n'y a pas de
> connexion (du point de vue de la machine-cible).
> Un paquet RST est envoyé, ou pas.
> Si le paquet RST est bien envoyé, et si la machine-source le reçoit,
> elle sait immédiatement que la connexion est refusée ; sinon, elle
> attend le timeout, ce qui peut saturer sa propre pile TCP.
>
> Le mode "stealth" consiste à ne pas envoyer de paquet RST. Ça a une
> influence sur la pile TCP de la machine-source, mais aucune sur celle
> de la machine-cible.

Vi.
[Note pour moi-même: ne pas se lancer dans une réponse qui demande
beaucoup de mots lorsque l'on a pas le temps :( ]

Pour ceux que ça intéresse, ma connerie venait de l'architecture de
mon LAN, avec un routeur/filtre IP/Nat devant les machines serveurs. Je
ne sais pas pourquoi je l'ai assimilé à la machine cible, ce qui m'a
fait foirer en beauté.


> Voilà donc ce que j'ai compris. Est-ce exact ? Complètement faux ?
> Autre chose ?

c'est exact.


> Merci d'avance pour vos commentaires...

De rien.


Stephane Catteau

unread,
Apr 26, 2009, 4:42:33 AM4/26/09
to
Fabien LE LEZ devait dire quelque chose comme ceci :

>> Cela étant dit, les tests effectués concernent en fait le comportement
>> annexe et non le seul filtrage IP.
>
> Si j'ai bien compris, le gros souci avec Kerio 2.x,

Je les ai accumulé ce jour là :( J'étais parti sur Kerio 4.x


> c'est qu'on peut envoyer un paquet IP en deux morceaux -- Windows
> reconstitue le paquet en aval de Kerio, ce qui fait que ce dernier ne
> voit pas le paquet en entier, et peut donc laisser passer des paquets
> dangereux.

C'est valable dans les deux sens, tous paquets fragmentés qui entre ou
sort ne passe pas entre les mains de Kerio 2.x, ce qui constitue
effectivement une faille. Cela dit, à l'heure actuelle il ne doit plus
y avoir des masses d'attaques/malwares ciblants cette faille, mais il
suffit d'une fois.


Stephane Catteau

unread,
Apr 26, 2009, 4:46:33 AM4/26/09
to
Fabien LE LEZ devait dire quelque chose comme ceci :

>> Celui de ton système d'exploitation (firewall de Windows)


>> couplé à celui de ta box (Freebox, etc...) est ahma bien
>> suffisant.
>
> Aucun des deux n'est capable d'empêcher un programme précis (par
> exemple, iexplore.exe) de sortir.

Pis je suis chez Free avec une box, *et* chez Orange avec un modem
traditionnel, ce qui n'arrange rien au problème ;)


Stephane Catteau

unread,
Apr 26, 2009, 4:49:13 AM4/26/09
to
Ludovic - F5PBG devait dire quelque chose comme ceci :

>> Aucun des deux n'est capable d'empêcher un programme précis (par
>> exemple, iexplore.exe) de sortir.
>
> Le but est d'éviter que cela rentre...

Ben non. Le but d'un firewall est d'éviter que cela rentre *et* que
cela sorte.


> Mais ta réponse est toutefois erronée en ce qui concerne
> la livebox qui filtre les ports en sortie, à condition bien sûr
> de paramétrer correctement le firewall de la livebox.

Sa réponse était au contraire tout ce qu'il y a de plus correct.

--
Il faudrait quand même voir à se rappeler que si j'ai aussi honte
d'avoir posé cette question, c'est parce que j'étais l'auteur et le
mainteneur de la FAQ du forum sur les firewalls


Stephane Catteau

unread,
Apr 26, 2009, 4:52:41 AM4/26/09
to
Ludovic - F5PBG n'était pas loin de dire :

>> Expliquez moi comment votre Livebox filtrera iexplore.exe tout en
>> laissant passer firefox.exe ?
>
> Inutile d'un firewall pour cela...

Ah ?


> Dans Internet explorer :
> Outils>options internet>contenu>Activer le contrôle d'accès
> Placer toutes les options sur "limité"

Alors prenons un cas bien plus intéressant :

Empécher les versions 6.x et 7.x d'Opera d'accéder aux serveurs de pub
qui leur sont liés, tout en leur permettant un accès total au reste du
vaste monde et en permettant aux autres navigateur d'y accéder, dès
fois qu'il y ait des serveurs intéressants sur mes mêmes adresses IP.


Stephane Catteau

unread,
Apr 26, 2009, 4:54:04 AM4/26/09
to
Roland Garcia devait dire quelque chose comme ceci :

>>> Expliquez moi comment votre Livebox filtrera iexplore.exe tout en
>>> laissant passer firefox.exe ?
>>
>> Inutile d'un firewall pour cela...
>>
>> Dans Internet explorer :
>> Outils>options internet>contenu>Activer le contrôle d'accès
>> Placer toutes les options sur "limité"
>>
>> Au revoir...
>
>
> Ah ? et comment ferez vous pour mechant-trojan.exe ?

Il a pas une option l'empéchant d'accéder au réseau ? Pff, il est mal
fait...


Erwan David

unread,
Apr 26, 2009, 4:57:55 AM4/26/09
to
Stephane Catteau <steph....@sc4x.net> écrivait :

Si, l'option existe : elle est dans les réglages de l'interface chaise-clavier.

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé

Pascal Hambourg

unread,
Apr 26, 2009, 5:40:46 AM4/26/09
to
Stephane Catteau a écrit :

>>
>> - La "pile IP" est l'organisation des différentes couches (par
>> exemple, IP -> UDP -> application), avec la gestion des headers
>> successifs (header IP -> header UDP -> données).
>
> Je n'ai jamais vraiment compris pourquoi on l'appellait "pile"

Parce que c'est un empilement de couches : physique, liaison, réseau,
transport...

> Dans le lot il y a aussi
> la pile, non ordonnée, qui s'occupe de gérer les paquets fragmentés.

Ça fait partie de la couche IP.

>> Par ailleurs, par "connexion", on entend "connexion TCP" -- il y a
>> peut-être d'autres types en laboratoire, mais pas dans la nature.

SCTP Notamment. Très séduisant, mais peu utilisé à cause de
l'omniprésence de TCP.

> Pour ceux que ça intéresse, ma connerie venait de l'architecture de
> mon LAN, avec un routeur/filtre IP/Nat devant les machines serveurs.

Dans ce cas la couche TCP du routeur n'intervient pas de toute façon
pour les connexions dont il n'est pas la cible et qu'il ne fait que
router/NATer.

Stephane Catteau

unread,
Apr 27, 2009, 4:23:16 AM4/27/09
to
Pascal Hambourg n'ᅵtait pas loin de dire :


>> Pour ceux que ᅵa intᅵresse, ma connerie venait de l'architecture de


>> mon LAN, avec un routeur/filtre IP/Nat devant les machines serveurs.
>

> Dans ce cas la couche TCP du routeur n'intervient pas de toute faᅵon

> pour les connexions dont il n'est pas la cible et qu'il ne fait que
> router/NATer.

C'est une bᅵte machine de rᅵcupᅵration avec un packet filter dessus,
donc sa fonction principale est de filtrer. Le nat est juste une
consᅵquence de l'absence d'adresse IP routable attribuᅵes aux machines
qui sont derriᅵre lui[1]. Comme la machine n'est pas configurᅵe pour
agir comme un bridge, il me semble peu probable qu'il y ait un
transfert direct d'une interface ᅵ l'autre.
Cela dit, maintenant que j'ai eu un peu plus de temps pour rᅵflᅵchir
au problᅵme, le paquet ne doit probablement pas dᅵpasser la couche
rᅵseau, puisque c'est ᅵ ce niveau lᅵ que la pile IP s'apercevra que le
paquet ne lui est pas destinᅵ et qu'elle le redirigera sur la bonne
interface.

[1]
D'ailleurs avant que la prᅵcᅵdente machine ne me lache, c'ᅵtait un
simple filtre IP placᅵ derriᅵre la passerelle ; genre j'ai accumulᅵ les
raisons de bien m'embrouiller l'esprit au moment oᅵ j'allais avoir mon
heure de gloire ;)


Ludovic - F5PBG

unread,
May 1, 2009, 5:13:36 PM5/1/09
to
Solution :
Utiliser Mozilla Firefox...

;op

Ludovic - F5PBG

unread,
May 1, 2009, 5:16:04 PM5/1/09
to
>
> Ben non. Le but d'un firewall est d'�viter que cela rentre *et* que
>cela sorte.
>

Le firewall qui emp�che juste que cela rentre
est bien suffisant...

Maintenant, pour ceux qui sont sous Vista,
le firewall natif filtre dans les deux sens.

Fabien LE LEZ

unread,
May 1, 2009, 5:28:04 PM5/1/09
to
On Fri, 01 May 2009 23:16:04 +0200, Ludovic - F5PBG :

>pour ceux qui sont sous Vista,

Y'en a ?

Stephane Catteau

unread,
May 2, 2009, 3:38:54 AM5/2/09
to
Ludovic - F5PBG devait dire quelque chose comme ceci :

>> Ben non. Le but d'un firewall est d'ᅵviter que cela rentre *et* que
>> cela sorte.
>
> Le firewall qui empᅵche juste que cela rentre
> est bien suffisant...

Absolument pas. Quoi que l'on en pense, Windows a ᅵvoluᅵ et il est
possible de le configurer pour qu'il n'y ait pas (ou presque, hᅵlas) de
porte d'entrᅵe exploitable, et cela sans mᅵme utiliser le firewall
d'origine. A l'inverse, les attaques de l'intᅵrieur ont tendance ᅵ ᅵtre
de plus en plus facile, notament parce que la politique sᅵcuritaire de
Microsoft est tellement ᅵnervante que tout le monde fini par la
dᅵsactiver. Avec l'invasion, maintenant largement consommᅵe, de Flash
et le fleurissement des widgets et compagnie, le danger vient
maintenant de l'intᅵrieur et c'est donc au niveau du contrᅵle des
connexions sortantes que ce joue la sᅵcuritᅵ d'un poste personnel.


Roland Garcia

unread,
May 2, 2009, 4:40:25 AM5/2/09
to
Stephane Catteau a ᅵcrit :

> Ludovic - F5PBG devait dire quelque chose comme ceci :
>
>>> Ben non. Le but d'un firewall est d'ᅵviter que cela rentre *et* que
>>> cela sorte.
>> Le firewall qui empᅵche juste que cela rentre
>> est bien suffisant...
>
> Absolument pas. Quoi que l'on en pense, Windows a ᅵvoluᅵ et il est
> possible de le configurer pour qu'il n'y ait pas (ou presque, hᅵlas) de
> porte d'entrᅵe exploitable, et cela sans mᅵme utiliser le firewall
> d'origine. A l'inverse, les attaques de l'intᅵrieur ont tendance ᅵ ᅵtre
> de plus en plus facile, notament parce que la politique sᅵcuritaire de
> Microsoft est tellement ᅵnervante que tout le monde fini par la
> dᅵsactiver. Avec l'invasion, maintenant largement consommᅵe, de Flash
> et le fleurissement des widgets et compagnie, le danger vient
> *maintenant* de l'intᅵrieur et c'est donc au niveau du contrᅵle des

> connexions sortantes que ce joue la sᅵcuritᅵ d'un poste personnel.

*maintenant* c'est tout de mᅵme depuis l'an 2000. Dᅵjᅵ ᅵ l'ᅵpoque il
commenᅵait ᅵ y avoir des posts sur les chevaux de Troie et la nᅵcessitᅵ
de les bloquer en sortie, notamment par ZA qui venait de sortir.


--
Roland Garcia

preno...@wanamou.fr

unread,
May 2, 2009, 7:19:17 AM5/2/09
to
Ludovic - F5PBG wrote :

>> Ben non. Le but d'un firewall est d'�viter que cela rentre *et* que
>> cela sorte.
>>
>
> Le firewall qui emp�che juste que cela rentre
> est bien suffisant...

N'importe quoi. C'est gr�ce � ce genre de
conseil frelat� qu'on a encore des millions
de PC infect�s et zombifi�s, qui r�pandent du
spam et des virus � tout vent......... Si au
moins ces machines �taient filtr�es aussi en
sortie (notamment le port smtp) par un fw
externe (typiquement: la box), le probl�me ne
serait pas totalement r�solu mais n'aurait pas
pris l'ampleur actuelle.

Contente-toi de donner des conseils sur ce
que tu sait, Vuillermet. Comme ca se r�sume
a pas grand-chose, au moins on aura la paix.
:) :) :)

Ludovic - F5PBG

unread,
May 12, 2009, 12:59:32 AM5/12/09
to
>
> Absolument pas. Quoi que l'on en pense, Windows a �volu� et il est
>possible de le configurer pour qu'il n'y ait pas (ou presque, h�las) de
>porte d'entr�e exploitable, et cela sans m�me utiliser le firewall
>d'origine.
>

Alors donne la m�thode, ne te contente pas d'une simple phrase.

Si le PC est correctement prot�g�, il n'y a pas
de raison que des donn�es s'�chappent.

Jusqu'� preuve du contraire, tous ceux qui ont
suivi cette m�thode :
http://inforadio.free.fr/articles.php?lng=fr&pg=57
n'ont jamais �t� inqui�t� par l'�vasion de leur
donn�es...

Maintenant, une protection de plus ne peut pas
faire de mal mais elle n'est pas indispensable,
surtout sur des PC un peu anciens qui rament
d�j� assez...

Cordialement,
Ludovic.

Stephane Catteau

unread,
May 12, 2009, 7:40:07 AM5/12/09
to
Ludovic - F5PBG devait dire quelque chose comme ceci :

>> Absolument pas. Quoi que l'on en pense, Windows a ᅵvoluᅵ et il est


>> possible de le configurer pour qu'il n'y ait pas (ou presque, hᅵlas) de

>> porte d'entrᅵe exploitable, et cela sans mᅵme utiliser le firewall
>> d'origine.
>
> Alors donne la mᅵthode, ne te contente pas d'une simple phrase.

C'est d'une simplicitᅵ enfantine, s'assurer que les services
vulnᅵrables ne dᅵmarrent pas et configurer les autres pour qu'ils ne
puissent ᅵtre exploitᅵs de l'extᅵrieur. N'importe quel site de pseudo
sᅵcuritᅵ informatique l'explique en long en large et en travers depuis
longtemps.


> Si le PC est correctement protᅵgᅵ, il n'y a pas
> de raison que des donnᅵes s'ᅵchappent.

Mᅵme si le PC est *correctement* protᅵgᅵ, donc s'il y a un filtre IP
qui s'occupe aussi de la sortie, il existe un risque. Un risque minime,
mais un risque quand mᅵme. Du bon vieux vers qui se propage par email
au plus vicieux exᅵcutable Flash qui cache un trojan dans sa base
exᅵcutable, les vecteurs d'infection sont multiples et l'imagination
des pas gentils sans limite. La plus grande faille reste l'utilisateur
et tout le monde est succeptible de se faire avoir au petit jeu du
social engineering.


> Jusqu'ᅵ preuve du contraire, tous ceux qui ont
> suivi cette mᅵthode :
> http://inforadio.free.fr/articles.php?lng=fr&pg=57
> n'ont jamais ᅵtᅵ inquiᅵtᅵ par l'ᅵvasion de leur
> donnᅵes...

J'ose espᅵrer que ce n'est pas ton site, parce que rien qu'en
survolant le texte on tombe sur une ᅵnorme connerie :
"Voici ᅵgalement un site parmi d'autres pour tester la vulnᅵrabilitᅵ de
votre ordinateur : http://www.pcflank.com/leaktests_info.htm"
Pour ton information, un leaktest n'a de sens que si la machine est
ᅵquipᅵe d'un filtre IP filtrant *aussi* les connexions sortantes,
puisque le principe consiste ᅵ se faire passer pour un logiciel
autorisᅵ ᅵ sortir, de faᅵon justement ᅵ bᅵnᅵficier de cette
autorisation.

Accessoirement, pcflank n'est plus une rᅵfᅵrence depuis bien
longtemps. Je viens encore de faire leur scan de port, et il persiste ᅵ
me dire que les ports 21, 23, 80, 135, 137, 138, 139, 1080 et 3128 sont
ouverts sur ma machine. Sauf que la passerelle est un FreeBSD et que
s'il est possible que j'ai merdᅵ et laissᅵ SSH ouvert sur l'extᅵrieur,
je garantie que tous les autres ports sont fermᅵs, surtout la sᅵrie des
13x puisque ce n'est pas une machine Windows.


> Maintenant, une protection de plus ne peut pas
> faire de mal mais elle n'est pas indispensable,
> surtout sur des PC un peu anciens qui rament

> dᅵjᅵ assez...

Mauvais argument, le vieux PIII de mon fils n'est pas plus lent parce
qu'il est pourvu d'un filtre IP qui s'occupe de gᅵrer les connexions
sortantes.


Pascal

unread,
Dec 6, 2009, 8:26:43 AM12/6/09
to
Serait t'il possible, afin d'aider au choix de lister les firewall de
qualitᅵ et le retour d'experience des utilisateurs agrᅵmentᅵs
d'arguments sᅵrieux.
ᅵa m'aiderait grandement dans mon choix et j'ose imaginer que je ne
serai pas le seul

Le site de matousec met en vant les avantages de certains firewall
vᅵritables usine ᅵ gaz.

Je suis tombᅵ sur openfirewall qui m'al'air bien (basᅵ sur tdi et wipfw)
qu'en penser.

merci pour vos rᅵponses et la liste qui je n'en doute pas ne va cesser
de grandir !!!


merci

Message has been deleted
0 new messages