regles

Discussion in 'LnS French Forum' started by nantais, Dec 20, 2005.

Thread Status:
Not open for further replies.
  1. nantais

    nantais Guest

    bonjour

    je vioudrais voir si j'ai bien compris
    qd on edite un regle looknstop il y a deux colonnes
    celle de gauche concerne t'elle bien d'ouvrir les ports concerne sur notre pc et celle de droite pour aller vers les ports concernes de l'autre pc
    est ce bien ca
    merci
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour :)

    Grosso modo c'est ça.

    Si ce sont des paquets soit entrants soit sortants il y a la source,
    c'est-à-dire l'origine de la connection soit la destination de la connection.

    Voir image 1 (exemple2.jpg)

    Si il y a des "échanges de rôles" , par exemple le PC se connecte à un site
    et lui envoie des paquets puis le site fait la même chose de sont côté,
    il est possible de faire deux règles séparées soit d'utiliser une règle qui
    permet les deux opération.

    Voir image 2 (exemple1.jpg avec le msg suivant)

    J'esoère que cela répond à ta question.
     

    Attached Files:

  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    suite
     

    Attached Files:

  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Ça donne ceci dans le log:

    je me connecte à un serveur sur son port 80 (avec mon navigateur)
    à partir du port local 1074,

    le serveur répond depuis son port 80 sur mon port local 1076...
    etc.

    Pour la plupart de tes applications (navigateur, courriel etc)
    tu utilises les port locaux 1024 à 5000 et les ports distants suivants:

    20 et 21 FTP
    80 et 443 Http et Https navigation
    110 Pop3 (relevé du courriel) et 25 smtp (envoi du courriel)

    etc.

    Avec ça je pense que tu va pouvoir te débrouiller.

    :)
     

    Attached Files:

  5. nantais

    nantais Guest

    un grand merci climenol pour tes explications qui sont tres clairs pour moi

    j'ai d'autres questions

    1: je n'ai mis par exemple aucune regle pour le port 21 ftp suis en plus derriere le routeur free et cela fonctionne tres bien avec cuteftp... est ce que cela veut dire qu'en prenant en compte dans les logiciels ouvert mon client ftp, looknstop ouvre de lui meme ce port, et sans doute que par defaut free l'ouvre dans la freebox?
    je suppose que c'est ca puis que l'on ne met aucune regle non plus pour les ports 80, 110 et 25 par exemple.
    En fait concernant looknstop, ouvre t'il de lui meme les port courants de et pour certains logiciels autorisés qu'il detecte?
    -j'ai la reponse pour certains, emule par exemple non, puisqu'il faut les ouvrir, et c'est surement comprehensible puisqu'ils sont modifiables.
    -si ce n'etais pas le cas, ne serait ce pas une maniere simple d'envisager un firewall pour les novices, car en plus si l'on cree une regle entre des ports client et serveurs comme tu l'expliques, du coup n'importe qui pourrait passer par là

    2: si je comprend bien aussi looknstop intervient entre la freebox et mon pc?

    3: c'est une question concernant msn : j'ai ouvert les ports 1863, et 6901 en tcp deuxieme colonne donc port cible d'un autre ordinateur, 6891 à 6900 tcp chez moi, et 6901 udp port cible autre ordinateur, tout cela en bricolant avec les regles qu'on trouve sur le site est ce bon, y a t'il d'autres ports, qd je cherche sur le net les avis divergent et sur le site looknstop on parle de tt les regles netmeeting?
    merci
     
  6. nantais

    nantais Guest

    si la lonkntop est entre la freebox et le pc, quand l'on redirige une plage de port de la freebox, si je comprend, cette plage de ports va etre redirigee vers le pc, mais vers les m ports ? ou vers n'imorte quels ports?, ceci pour savoir comment fabiquer une regle looknstop pour se genre de situation.
    si par exemple pour msn 6891 a 6900 tcp vers 192.68.0.1 comment fabriquer cette regle lloknstop
    d'apres ce que je pige 6891 a 6900 a droite puisque venant des ports ouvets freebox, et la m chose ouvert a gauche ou ce que je veux comme plage cest ca?
    merci d'avance
     
  7. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Il faut comprendre qu'il faut tenir compte de toutes les règles et de l'ordre de ces règles.
    Pas d'une règle à la fois indépendamment des autres.
    Si l'application FTP a accès au port 21 c'est qu'il est explicitement accessible
    par une des règles. Par exemple dans le jeu de règles évolué fourni avec look'n'Stop,
    la règle "Autorise les services internet standards" détermine que les ports locaux
    1025 à 5000 et tous les ports distants sont accessibles à n'importe laquelle de tes applications...
    C'est ce qui explique que le port Ftp 21 est accessible... (Rien à voir avec la FreeBox).

    Ce n'est pas L'n'S qui "ouvre des ports sur les serveurs mais l'application qui envoie les paquets TCP
    requis pour initier une connection. Par exemple lorsque tu utilises ton navigateur pour accéder au forum de L'n'S
    l'application est autorisée par la règle (très large...) "Autoriser les services internet standards"
    et cela lui permet:

    1- d'envoyer une une requête Domain Name Server en UDP au port 53 du serveur de ton F.A.I.
    pour "traduire" l'URL "http://www.wilderssecurity.com/forumdisplay.php?f=29"
    en adresse IP "64.91.226.241" correspondante,
    Règle "Autoriser la résolution des noms - DNS " en UDP port distant 53.

    2- d'envoyer au serveur correspondant à l'IP "64.91.226.241" une demande de connection au port HTTP 80
    (un paquet TCP avec le flag SYN...). Puis il y a l'Handshaking" entre le serveur et ton PC:
    le serveur accepte la connexion et renvoie un paquet TCP avec les flags SYN-ACK et la connection
    et la connection s'établi entre ton PC (le client) et le serveur hébergeant le forum de L'n'S.
    Règle "Autoriser les services internet standards" ports locaux 1024 à 5000 et tous les ports distants.

    Que racontes-tu ? Laisse faire EMule pour le moment...

    La question n'est pas d'ouvrir ou de fermer.

    La question est :
    créer une ou des règles pour telles ou telle application
    (les règles de base doivent être élaborées, précisées et renforcées...),
    déterminer quels ports locaux seront utilisés, quels ports distants le seront,
    quel protocole et si la connection est vers le serveur, vers le client(ton PC)
    ou dans les 2 directions...

    Pour ce qui est des ports distants à utiliser ce n'est pas toi, moi, L'n'S, ou la FreeBox
    qui détermine cela !!!

    Les ports distants (ceux des serveurs où tu te connectes...) sont déterminés par le service requis :

    HTTP = 80 (connection à un site sur un serveur web)
    HTTPS = 443 (connection encryptée sur un serveur web pour certaines opérations: bancaires par exemple...)
    FTP = 21 connexion
    20 données
    1024 à 65535 pour Ftp PASV
    Pop3 = 110 relève du courriel
    Smtp = 25 envoi du courriel
    Irc = 6667 à 6669

    ETc.

    Pour certaines applications il n'y a pas de ports standards mais l'utilisation "propriétaire" de certains ports . Un cas pendable est Msn Messenger:

    Port en TCP :
    80, 443,
    1863 (présence...)
    6901 et
    5060 (avec RSVP) pour la voix
    6891 à 6900 (ports locaux!!!) Transfert
    ETC. ...
    :-(


    Comprend ce que tu veux dire. "N'importe qui pourrait passer par là" o_O?
    C'est EXACTEMENT le contraire!!!
    Chez-moi l'ami tout est explicitement soumis à une ou des règles ...
    Un de ces jours je vais expliquer tout cela en long en large et en travers
    car il me semble qu'il y ait pas mal de confusion à ce sujet...


    Écoute l'ami, j'habite l'Amérique du Nord et pas de freeBox ici.
    Si j'ai bien compris ce qu'est ce machin européen c'est un modem adsl (+ routeur ?) ?
    Bien ça?

    De toute façon tu n'a pas pour le moment à te préoccuper de cela.
    Un modem ADSL est relié à la carte Ethernet du PC à des niveaux
    autres que ceux gérés par un pare-feu quel qu'il soit...
    Le pare-feu établi des règles de filtrage entre le client (ton PC)
    et les sites ou celui-ci se connecte. Point.


    Va voir là:
    http://www.messageries-instantanees.net/

    J'espère que c'est un peu plus clair maintenant.
    :)
     
  8. nantais

    nantais Guest

    merci Climenole pour cette longue reponse
    je vais essayer d'apprendre avec en la decortiquant
    la freebox c'est effectivement un medem qui peut srevir de routeur
    là tu as des explications ptete que tu comprendras mieux q moi ce quil faudrait ouvrir en mode routeur
    http://www.whynet.org/dossiers/reseaux/freebox-nat
    en tous cas merci je digere un peu tout ca pour avancer
     
  9. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
  10. nantais

    nantais Guest

    oui merci je vais regarder
     
Thread Status:
Not open for further replies.