Livebox : Firewall oui ou non ?

Discussion in 'LnS French Forum' started by PROCYON, Oct 30, 2006.

Thread Status:
Not open for further replies.
  1. PROCYON

    PROCYON Registered Member

    Joined:
    Oct 30, 2006
    Posts:
    7
    Bonjour,

    J'ai utilisé LNS depuis plusieurs années, avec différents providers. Très content.

    J'ai maintenant Orange et sa Livebox, via Ethernet.
    On me dit qu'un Firewall n'est pas nécessaire. Alors, 3 questions :

    1.- Un firewall est-il nécessaire ?
    2.- Si oui, faut-il importer des règles et lesquelles, pour Windows XP et Firefox, sachant que je n'ai pas de réseau installé.

    3.- J'obtiens ces résultats avec le site "Shields UP!!" . Il me semble que c'est bon bien que SANS Firewall ? A part le ping.

    Merci par avance. Je n'y connais rien. Et à 75 ans, c'est trop tard !
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut PROCYON :)

    Qui ça "on" ? Les gars d' Orange ? :rolleyes:

    Les avis sont partagés là-dessus mais je vais vous donner mon opinion sur la chose:

    1- Un routeur peut servir de seconde couche de protection pour un système informatique.

    2- Un pare-feu à règles est plus flexible que n'importe quel routeur

    3- Un routeur pour un seul PC est un peu tiré par les cheveux...

    Mais voilà que c'est la mode chez les FAI d'Europe et vous n'avez pas le choix.

    Bref: oui un pare-feu est nécessaire.

    Il faut modifier les règles DHCP placées immédiatement après la règle DNS
    en vous basant sur les informations données par la commande ipconfig:

    Démarrer | exécuter | cmd /k
    puis dans la fenêtre noire et laide
    (ceci peut être changé pour mieux avec clic droit sur la bordure , propriétés etc etc)

    ipconfig /all

    (Voir les images qui suivent ce message)

    À part le ping donc pas stealth...
    Bravo! Cela signale que l'adresse Ip correspondant à votre PC est utilisée...


    L'âge n'est pas une excuse!

    [MOVE]Qui vous dit que je n'ai pas 100 ou plus? ;)[/MOVE]

    [MOVE]"J'ai toujours voulu mourir jeune, maintenant il est trop tard!" Jeanne Moreau.
    [/MOVE]
    Allez : HOP! Au boulot ! Devenez un PRO de LNS à partir d'aujourd'hui!

    :D
     
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
  4. PROCYON

    PROCYON Registered Member

    Joined:
    Oct 30, 2006
    Posts:
    7
     
  5. PROCYON

    PROCYON Registered Member

    Joined:
    Oct 30, 2006
    Posts:
    7
    Pour Climenole

    Je ne sais même pas comment répondre proprement. En cherchant ci-dessus, vous trouverez ma réponse. Mais sa présentation me fait honte.
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut PROCYON , jeune homme aux vertes espérances! :)

    Hé Hé ! :D

    1- Le vouvoiment: ça ne dépend pas des personnes mais de ma fantaisie !
    Parfois je mélange les deux ce qui rend mes posts étranges...
    (On ne sait plus sur quel pied danser...)

    Certains prétendent que je dis "vous" uniquement aux GROS parce que c'est au pluriel, ce qui est une calomnie !!!!! :blink:

    ;)

    2- l'Usine à Gaz... oui, un peu. Je travaille en ce moment à qq chose de plus simple. Les règles suggérées sont trop restrictives (etc...)

    J'ai aussi besoin de cobayes: les volontaires ne se bousculent pas à la porte cependant!!!

    3- La présentation TE fait honte... Donc c'est très loin de l'indifférence propre aux vieillards!!! ;) ;) ;)

    Pour le DHCP commence avec la règle DHCP du jeu de règles évolué et tu verra bien...

    Pour les MàJ de W xp il suffit de permettre à Generic Host Process (svchost.exe) d'accéder au port 53 en UDP et aux port 80 et 443 en TCP) dans le filtrage logiciel.
    Du côté du filtrage internet la règle du Jeu de règles évoluées : autoriser les services internet standards" permet ces mises à jour...

    Conservons notre calme et les choses simple s.v.p. ! ;)

    OK?

    Pour citer dans l'éditeur du forum il suffit d'utiliser le bouton "quote":

    Ça donne qq chose comme :

    ou

    QUOTE=Climenole entre [ ] puis cela se termine avec la balise /QUOTE entre [ ]

    Essaye sur ce forum pour tester:
    https://www.wilderssecurity.com/forumdisplay.php?f=7

    A+

    :)

    P.S. Sur les forums de Wilders Security et en particulier sur les forums de LNS on a droit au titre de "PÉPÈRE" à partir de 120 ans alors...

    ;)
     
  7. PROCYON

    PROCYON Registered Member

    Joined:
    Oct 30, 2006
    Posts:
    7
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut PROCYON :)

    Ici (à Québec) pas de neige mais aux alentours oui.

    C'est un peu tôt cette année.

    Tant pis! On fera des bonhommes de neige à l'Halloween !

    :)
     
  9. Wanderer_

    Wanderer_ Registered Member

    Joined:
    Jun 17, 2006
    Posts:
    2
    Bjr Procyon,

    Tu as quoi comme LiveBox Sagem ou Inventel??
    Les Inventel sont à mon sens plus faciles à paramétrer pour un débutant
    On ne peut que confirmer ce qu'à dit le très prolixe et talentueux Climéole,
    le firewall applicatif est nécessaire car il va gérer les sorties, ta Livebox
    gère les entrées. Quoique j'ai fais une expérience il y a quelques jours, sur une LB Inventel (firmware 5.08.15-fr), j'ai placé le niveau de filtrage au Niveau Haut: résultat de l'opération est que les appels VoIP entrants ne passaient plus :-/
    Mystérieuses ces petites Boxs
     
  10. JW28

    JW28 Registered Member

    Joined:
    Dec 31, 2005
    Posts:
    2
    Location:
    Chartres, France
    Bonjour à tous,

    Je viens de faire une recherche sur le thème protection ping dans le forum et je lis ce fil... et je dois dire que je ne comprends pas bien les réponses.

    Voilà. Ayant installé sur ma machine, derrière la Livebox d'Orange, le soft SPAMfighter, j'ai dû rajouter 2 règles afin d'autoriser les flux TCP et UDP sur le port 2409. Ce que je fis très simplement en allant sur le journal et en cliquant sur créer règle à partir d'une ligne du journal (Merci LNS !).

    Puis je suis allé sur le site Shields UP! afin de vérifier l'état de mon (mes, si j'inclus le parefeu de la Livebx) parefeu, et à ma grande surprise bien que tous mes ports soient stealth (furtifs) j'avais un message "Failed" à cause du "Ping reply".

    Ma question toute simple est, comment configurer une règle afin de ne plus répondre aux demandes de ping ?

    Merci pour votre aide... et bon Noël quand même !
    PS. Maintenant il doit y avoir de la neige au Québec ! Ici à Chartres en France il fait froid, enfin entre -3 et +3 il a fait beau soleil jusqu'à aujourd'hui où il fais gris.:cool:

    Bien cordialement, JW28
     
    Last edited: Dec 23, 2006
  11. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Par défaut Look 'n' Stop bloque bien les pings entrants, il n'y a pas de règle à ajouter, just vérifier que la règle "ICMP - Tout le reste" est bien là et bloquante.

    Il se peut que ce soit la livebox qui réponde au ping de manière autonome sans même transmettre les paquets au PC.
    Certains routeurs font cela.

    Frédéric
     
  12. JW28

    JW28 Registered Member

    Joined:
    Dec 31, 2005
    Posts:
    2
    Location:
    Chartres, France
    Merci Frederic pour cette réponse.

    J'ai en effet la règle ICMP bloque le reste.

    Je vais voir le set-up de ma live box peut etre je peux bloquer le ping reply ici.

    Sinon je ne crois pas que ce soit dramatique.

    En tous les cas je suis très content de LN5205.

    Je vous souhaite à tous une bonne St Sylvestre et aussi une bonne et heureuse année 2007.

    Bien cordialement.
     
  13. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Bonjour à tous :D

    Avant de poser mes propres questions, je confirme tout d'abord que la Livebox Inventel (je ne connais pas bien la Sagem) répond en effet par défaut au ping de manière autonome, que vous ayez un firewall personnel sur votre PC ou pas.

    Vous pouvez décocher la case "Répondre au Ping sur l'Internet" si vous choisissez d'utiliser le niveau de sécurité "personnalisé" du pare-feu intégré de la Livebox. Cependant vous devrez activer manuellement les règles de filtrage qui vous intéressent, contrairement aux modes automatiques des niveaux "minimum", "moyen" (filtrage en entrée) et "élevé" (filtrage en entrée et en sortie).

    Le niveau "élevé" bloque peut-être le ping automatiquement (pas testé) mais ne conviendra sans doute pas aux utilisateurs qui n'utilisent pas uniquement les services internet standards.

    Pour ce qui est de la question "Faut-il avoir un firewall personnel sur son PC en plus de celui de la Livebox ?" mon avis est OUI ! Car à mon sens, si vous décidez de connecter plusieurs ordinateurs à celle-ci, vous pouvez avoir besoin de mettre en place des niveaux de sécurité différents sur chacun des postes en fonction de leur utilisation. La Livebox n'étant qu'une première "barrière" routant le trafic.

    De plus les utilisateurs de wifi savent sûrement qu'ils peuvent se faire "pirater" leur connexion, et du coup avoir un "co-administrateur" discret qui gère lui aussi la sécurité de leur Livebox. Donc il faut [à mon avis] assurer la sécu de chaque poste individuellement. Et pour ce faire vous avez bien entendu Look 'n' Stop qui je pense jouera pleinement son rôle.

    C'est là que vient mon tour de poser une question (ou peut-être plusieurs). J'utilisais jusqu'ici le jeu de règles évolué compris dans le programme, que j'ai repauffiné à ma sauce, et qui m'allait très bien jusqu'à ce que je souhaite pousser un peu plus loin le degré de sécurité et de journalisation des évènements. J'ai donc chargé le jeu de règles de Climenole qui est très clair et détaillé (merci encore pour toutes ces explications).

    Mon problème est qu'il bloque tout le trafic internet ! La raison principale est qu'il était prévu à la base pour être utilisé avec un modem et non derrière un routeur (me semble-t-il). Il faut donc vraisemblablement ajouter les 2 règles citées ci-dessous pour activer le DHCP, permettant ainsi à Look 'n' Stop de communiquer avec le routeur (Livebox) :

    Seulement dans mon cas, qu'elles soient placées en début de liste ou bien juste après la règle des DNS, elles ne me permettent toujours pas d'accéder à Internet ! Pourtant je ne remets pas en cause leur utilité, et j'ai pris soin de renseigner mon adresse de DNS dans la règle concernée. Je me demande donc quelles sont mes alternatives pour parvenir à utiliser ces règles (qui m'ont pourtant l'air fameuses) avec ma config PC + Livebox. Aurais-je oublié quelque chose ?

    Si quelqu'un pouvait éclairer ma lanterne ^^
    Merci d'avance !
     
  14. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    (re) salut k3at0n :)

    D'abord merci pour les éclaicissents à propos des "ping" de la LiveBox ("Boîte Vivante" : il y a un hamster dedans... :blink: )


    Jette un coup d'oeil là-dessus:
    http://www.looknstop.com/Fr/rules/rules.htm#wifi

    Pas d'autre idée... Il est tard et je me couche. (Cerveau en "idle")

    o_O
     
  15. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Oops :p

    J'ai oublié de préciser que je suis connecté à la Livebox en Ethernet.
    J'ai un autre PC également connecté à la Livebox en Ethernet.

    Je m'interroge d'ailleurs par rapport aux adresses locales que j'obtiens automatiquement car elles me semblent assez "éloignées" de la première adresse disponible : j'ai par exemple un PC en 192.168.1.45 et l'autre en 192.168.1.63 !

    Pourquoi pas 192.168.1.2 et 192.168.1.3 par exemple ? Est-ce important ?
    Mon problème avec le jeu de règles "Climenole" pourrait-il venir de là ? Sachant qu'avec le jeu de règles évolué de base tout fonctionne parfaitement.
     
  16. karim

    karim Registered Member

    Joined:
    Jan 21, 2007
    Posts:
    2
    bonjour,

    un pare feu logiciel est necessaire pour les paquets sortants. J'ai moi-meme la livebox sagem et le pare feu est tres bon mais comment savoir si un programme sur mon PC veut acceder à Internet et surtout s'il en a le droit o_O
    réponse: pare feu logiciel et l'excellent LNS !!!
     
  17. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    re salut :D

    Alors.....

    Je vois apparaître dans le journal la règle DNS qui a donc l'air de fonctionner correctement.

    En revanche, le blocage principal que je vois dans le journal est la règle du VEROUILLAGE FINAL de type ARP avec ceci dans la colonne "Complement" : IP:mon@IP MAC:00:00:00:00:00:00

    Est-ce encore un problème de DHCP ? Est-ce que çà vous aide à m'aider ? o_O

    Je dois pas en être bien loin ! hi hi
    Merci d'avance.
     
  18. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Re :D

    Je crois que je viens de cerner le problème, sans pour autant avoir de solution !! En fait si je ferme LnS et que je le relance, les règles fonctionnent et s'affiche dans le journal ! Mais au bout de juste quelques secondes, ce même message de blocage VERROUILLAGE FINAL apparaît dans le journal et tout est donc bloqué à nouveau ! :mad:

    Please heeelp ^^
    Voyez-vous d'où çà peut venir ?
     
  19. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Sur cette avalanche de réponses :p , je repars en fait sur la base du jeu de règles évolué que j'ai modifié, en y ajoutant mes propres règles, et en me servant de la logique du jeu de Climenole.

    Problème "résolu".

    @+ :D
     
  20. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut k3at0n :)

    Et voilà! Tu as tout fait comme un PRO ! :thumb:

    :)
     
Thread Status:
Not open for further replies.