Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

[Résolu] Les protocoles et les logiciels

Bonsoir, malgré une étude (que je crois serrée) des ressources abondantes de FrameiP sur le sujet, je ne comprend toujours pas les protocoles et leurs articulations.... je suis trop obtus, point final Mon problème est simple : en ce moment, comme la plupart des newbees (soit 99.5% des usagers d'Internet) je suis sous DEUX firewalls, celui de XP et celui du modem-routeur (Netgear DG632) c'est aussi stupide que de mettre deux capotes l'une sur l'autre 😳 Comme le Firewall du modem me semble plus rigoureux que celui de XP (que les logiciels divers et variés configurent à leur aise) ❓ je vais configurer le firewall de Netgear correctement et éliminer celui de XP Encore faut-il le configurer correctement Je m'imaginais naïvement qu'il fallait le configurer en fonction des logiciels utilisés et des protocoles que ces logiciels utilisent Dans mon esprit : - Firefox employait TCP - Thunderbird SMTP et POP (et FTP pour les telechargements) - WS-FTP (logiciel de tranfert de fichiers sur site perso) utilisait FTP - eMule TCP et UDP Des lectures de droite et de gauche me montrent qu'il n'en est rien et 🙁 Un de vous peut-il me renseigner sur les protocoles utilisés pour les 4 logiciels cités... je pourrais ainsi établir les règles appliquées par le firewall Je vous en remercie

Salut Soccanayo ! Non, en réseau cela peut avoir une utilité, pas pour un utilisateur final, mais pour une entreprise qui souhaite un haut niveau de sécurité. Si jamais une faille est connue sur l'un des deux firewalls, l'utilisation d'un second permet de rester protéger. Dans mon esprit : - Firefox employait TCP - Thunderbird SMTP et POP (et FTP pour les telechargements) - WS-FTP (logiciel de tranfert de fichiers sur site perso) utilisait FTP - eMule TCP et UDP - Firefox utilise HTTP (couche 7, port 80) sur TCP (couche 4) - Thunderbird, SMTP (port 25/TCP) POP (110/TCP) et/ou IMAP (143/TCP) - WS-FTP, c'est plus compliqué. Le ftp est un protocole pourri qui ne tient pas comptes des principes les plus simples du modèle TCP/IP. Le filtrage/NAT de ce protocole est donc une ignominie. Par principe c'est le port 21/TCP, mais ce bougre de ftp négocie une seconde connexion pour le transfert des datas sur le port 20, mais cette fois le port du serveur est généré aléatoirement et transmis dans le paquet ftp... Il faut donc une sorte de proxy ftp qui lise les données et puisse extraire le port négocié pour l'ouvrir sur le firewall. Bref, bon courage pour le filtrer "proprement" sans un firewall qui sache gérer se protocole nativement. - Emule, 4662/TCP il me semble... mais ceci peut se configurer dans le logiciel. Par contre il faut mettre en oeuvre de la redirection de port pour rendre ta machine accessible aux autres et obtenir un high ID pour télécharger plus rapidement.

Bonjour, merci pour cette réponse substantielle Je parlais en tant que newbie, et, après lecture (ébahie) de la suite je me dis que pour l'usager lambda, un firewall c'est déja indémerdable intelligement, alors DEUX !!! Oui, typique de mes incompréhensions (et je ne suis pas le seul, hélas) La règle, il faut l'établir pour HTTP ou pour TCP (à vue de pif, je répondrai TCP) Alors là, toujours au pif, la règle doit être établie pour TCP port 25 et pour TCP port 110 Quant au FTP, parlons d'autre chose, il va me falloir une bonne semaine pour décortiquer ta réponse, ébaucher une idée de compréhension et me rendre compte que je n'ai pas les moyens de comprendre..... - une redirection de port ???? - une sorte de proxy FTP Je crois rêver....pas possible je vais me réveiller Et il y a des escrocs qui vous chantent "l'informatique, mais c'est très simple".... les choses sont toujours simples tant qu'on n'essaie pas de comprendre Et de plus, j'ai l'impression (comme ça, à vue de nez) que configurer le firewall de Netgear pour que le FTP passe, est impossible par quatre manoeuvres simples (et pas plus par 40 manoeuvres simples) Du coup, je ne sais plus que faire : - garder les choses en l'état (ça ne me plait pas, deux firewalls mal configurés c'est aussi bête que pas de firewall du tout) - essayer de suprimmer le firewall de Netgear et garder celui de XP - L'inverse me semble impossible (garder Netgear et supprimer XP) Il faut une bonne dose de masochisme pour se lancer dans de pareilles galères, mais ça me déplait de naviguer idiot 🙁 Merci et @+

Ok, alors pour t'aider dans ce cas je te propose la solution qui me semble la plus simple. Pas de firewall du tout ! Tu me diras que ce n'est peut-être pas très sérieux pour la sécurité, mais si, cela ne pose pas de problème. Tout simplement, ton routeur netgear va faire de la NAT, et donc interdire par la même occasion tout traffic vers la(es) machine(s) derrière. Tes machines pourront faire ce qu'elles veulent sur Internet, mais par contre elles ne seront pas joignables de l'extérieur, donc pas joignables par les pirates ou les virus. [url=http://www.lalitte.com/nat.htm#4.3_-_Avantages_et_inconv%E9nients_de_la_NAT_dynamique]Explications sur la NAT[/url] Pour Emule, tu pourras rendre le port 4662 disponible si tu souhaites pouvoir télécharger vite. [url=http://www.lalitte.com/nat.htm#6_-_Comment_rendre_joignables_les_machines_de_mon_r%E9seau_local_alors_que_je_nai_quune_seule_adresse_publique_]Port forwarding[/url] Si tu souhaites y voir plus clair, tu peux lire le document au complet sur la nat: [url]http://www.lalitte.com/nat.htm[/url]

Bonjour, et merci pour la peine que tu prends !!! Ca me fout un coup de mou terrible quand je constate que je suis trop vieux pour comprendre (et assimiler) les difficultés, travers et solutions possibles des problèmes techniques Ton explication joufflue sur le protocole FTP, pourri d'origine, me tue Que des gens dont on peut supposer qu'ils ne sont pas des imbéciles aient crée une telle insanité me débilite Concernant mon pb, je tourne autour encore un moment, et il me faudra bien prendre une décision, insatisfaisante par définition Merci encore

Salut [code:1:b77b569fef]donc pas joignables par les pirates ou les virus. [/code:1:b77b569fef] Je n'irai pas jusque là. NAT ou pas, en naviguant sur le web avec IE tu peux ramasser un trojan. De même avec ton client mail tu peux recevoir des virus et des trojans en ouvrant une pièce jointe voire même en réception de courriel au format html (si possible, préférer le format texte). C'est encore pire avec un mauvais usage du P2P et d'MSN. Il est clair qu'un firewall ne sera pas d'un grand secours dans ces cas là car les flux seront déjà initialisés depuis le réseau en interne. Tu risques de te retrouver avec une machine zombifée (surtout si ton windows n'a pas de protection), de plus en plus lente et qui envoie des messages à ton insu. nono

Salut NAT ou pas, en naviguant sur le web avec IE tu peux ramasser un trojan. Je suis nullos, certes, mais pas au point d'utiliser IE 😈 Raison pour laquelle je balance systématiquement les courriels inconnus et surtout les pièces jointes (il y a + de 10 ans, je m'étais fait cueillir par "Happy New Year" ou qque chose du genre) Oui, le P2P m'est (presque) indispensable, donc j'ai un KAV qui pare au plus pressé... quand à MSN, tout ce qui rappelle de près ou de loin Micromachin, je fuis... ça, je comprend pas ce que ça veut dire 🙁 Sans doute que le message est infecté avant d'avoir atteint la carte réseau, dans le systus interne (Processeur + applis+ ....) Mon KAV me semble assez efficace, il a alerté sur un programme chargé chez "Developpez" (peu suspect de mauvaises intentions) qui contenait un adware !!! : mes coups de mou me viennent quand j'ai l'impression profonde que je ne suis même pas assez compétent pour poser ma question Je la pose (à ma manière ) et la pointure qui me répond rajoute du brouillard à mon brouillard perso.... alors désespéré je pousse sur ce forum un grand cri sauvage... et puis ça passe et je retourne essayer de comprendre... pas très confortable... heureusement, dans les moments "clairs" mon sens de l'humour me permet de ne pas mettre la tête dans le four et d'ouvrir le gaz 😀 Mon gros souci du moment est : COMPRENDRE les réseaux... et c'est pas une petite affaire, même si mes ambitions sont modestes Ce forum FrameIP est où je n'ai jamais lu de conneries... Quant à comprendre ce que la pointure m'explique, c'est une autre paire de socquettes M'enfin, ça viendra : la queue du chat est bien venue 😆 Merci et @+

Salut Pour faire simple : Le NAT permet de masquer les adresses de ton réseau privé vis à vis de l'extérieur. Les adresses des réseaux privés sont définies par la RFC 1918. 10.0.0.0/8 donc 10.0.0.0 à 10.255.255.255 172.16.0.0/12 donc 172.16.0.0 à 172.131.255.255 192.168.0.0/24 donc 192.168.0.0 à 192.168.255.255 Aucune de ces adresses ne sont routables sur l'internet. Donc personne ne peut joindre ton réseau privé en initialisant une connextion depuis l'extérieur. Si une machine de ton réseau privé initialise une connexion sur un serveur de l'internet. Le paquet IP émis pas ta machine traversera ton NAT. L'adresse IP source (ex 192.168.1.10) de ce paquet IP sera remplacée par l'adresse IP dite «puplique» ou officielle, celle que ton FAI te fournit (ex 77.210.3.45). Ton NAT marque cette connexion dans une table NAT. Ensuite le paquet est acheminé jusqu'à son destinataire. Cette opération se nomme le «Source-NAT». Quand le destinataire répond, il le fait ton adresse officielle (donc 77.210.3.45). Ce paquet est acheminé au travers d'Internet jusqu'à ton routeur NAT. Ton NAT consulte sa table NAT, trouve une entrée associée à cette connexion et fait l'opération inverse du Source-NAT, c'est à dire le Destination-NAT. Il remplace l'adresse IP destination (l'adresse officielle 77.210.3.45) par l'adresse IP de la machine destinataire (l'adresse 192.168.1.10). Pour l'instant, je n'ai pas causé de firewall car ce n'était pas utile. En général, les firewall laissent tout sortir du réseau privé et ne laisse rien entrer sauf les réponses au trafic que les machines du réseau privé ont initialsé. Maintenant si tu souhaites installer un serveur web sur ton réseau privé qui puisse être accessible depuis l'extérieur, cela se complique un peu 😉 À savoir, un serveur web attend les connexions sur le port TCP 80. Ton serveur (par exemple 192.168.1.10) ne peut être directement accessible depuis l'extérieur à cause de ton adresse privée (non routable sur le net). Donc les machines extérieures devront initialiser la connexion en pointant l'adresse officielle (77.210.3.45), celle du NAT. Mais si tu n'as pas configuré ton NAT pour dire que tout trafic arrivant sur l'adresse 77.210.3.45 port 80 doit être redirigé vers l'adresse 192.168.1.10 port 80, cela ne fonctionnera pas. En effet, le NAT ne saura pas où aiguiller ce trafic car il n'y a pas d'entrée dans sa table NAT associant l'adresse privée et l'adresse officielle. Tu dois donc manuellement configurer cette opération. Cette technique d'ouverture de port se nomme Port-Forwarding et se réalise sur en général sur le routeur-NAT-firewall (la boiboite de ton FAI). Tu peux tester la vunérabilité de ton firewall sur le site de zebulon: http://www.zebulon.fr/outils/scanports/test-securite.php Si tu obtiens ce message... Félicitation ! Votre sécurité semble optimale ! La totalité des ports TCP testés sont masqués, votre ordinateur ne donne donc aucune réponse aux tests de ports effectués. Votre machine est donc invisible aux yeux de pirates potentiels. ...tu peux presque dormir sur tes deux oreilles. Je dis «presque» car il n'y a pas de système inviolable. Donc rester vigilant, il n'y a rien de pire que de se sentir protéger en reposant sa confiance sur un quelconque système. J'espère avoir pu amener quelques éléments de réponse à tes questions Cordialement nono

j'ai fait une petite erreur lire : Les adresses des réseaux privés sont définies par la RFC 1918. 10.0.0.0/8 donc 10.0.0.0 à 10.255.255.255 192.168.0.0/24 donc 192.168.0.0 à 192.168.255.255 au lieu de : Les adresses des réseaux privés sont définies par la RFC 1918. 10.0.0.0/8 donc 10.0.0.0 à 10.255.255.255 192.168.0.0/24 donc 192.168.0.0 à 192.168.255.255 a+ nono

Bonjour, merci Nono pour ces réponses "joufflues" Je commence à comprendre assez bien ces questions de routage, NAT et masques Mon souci du moment est le firewall (je devrais écrire LES firewalls) J'ai XP qui a un firewall (qui peut être mis hors circuit) J'ai un routeur-modem Netgear qui inclue aussi un firewall qui,, ne peut pas être mis hors jeu ??? Le firewall Netgear est configuré par défaut et (comme tu l'écris) il devrait tout laisser sortir et ne rien laisser entrer (l'aide Netgear le précise bien !!!) Or toutes mes applis Internet tournent parfaitement Donc Netgear ne bloque Reset général de Netgear, appel d'un technicien (qui sèche comme moi) Je ne comprend pas, et CA (en clair ça me rend con) Je ne sais pas trop que faire sauf tourner autour du pot en poussant de grands cris sauvages 😈 @+

Oui, mais attention, les notions en réseau sont fourbes ! "il devrait tout laisser sortir et ne rien laisser entrer " doit être traduit par: "Il devrait laisser sortir toute connexion initialisée depuis le réseau local, et donc rentrer toutes les réponses" ET "Il devrait bloquer toute tentative d'accès depuis l'extérieur vers mon réseau local" Ce qui explique que tu aies le droit de tout faire, mais que tu continues à être protégé.

j'ai enfin compris cette histoire de firewall !!! elalitte écrit "il devrait tout laisser sortir et ne rien laisser entrer " doit être traduit par: "Il devrait laisser sortir toute connexion initialisée depuis le réseau local, et donc rentrer toutes les réponses" c'est exactement cela ... je le répète avec mes mots : Avec toutes les applis j'initialise les échanges, donc tout passe Mais avec le P2P (eMule et autres..) quand un correspondant initie l'échange d'un fichier de moi vers lui, c'est lui qui initie, donc le firewall bloque. Raison pour laquelle j'ai une lowID en P2P Solution : j'établis une règle dans le firewall qui permet l'accès pour cette appli et je teste que malgré cela, .. et ça ce n'est pas affiché !!! Je reviendrai donner le résultat des courses ici Voila un bon pas de fait Merci à vous et @+

Solution : j'établis une règle dans le firewall qui permet l'accès pour cette appli et je teste que malgré cela, Ce n'est pas suffisant, il faut EN PLUS rediriger le port sur lequel les personnes se connectent de l'extérieur (4662 je crois) vers ta machine. Voir: [url=http://www.lalitte.com/nat.htm#6_-_Comment_rendre_joignables_les_machines_de_mon_r%E9seau_local_alors_que_je_nai_quune_seule_adresse_publique_]pb de NAT[/url]

B'soir socaanayo, je rentre de ma journée de taf et je vois que tu as enfin compris 😉 C'est un peu l'objet de FrameIP d'ailleurs 😉 Pour emule, je ne sais pas car je ne pratique pas. Mais d'après ces deux tutos pour XP, il faut les ports 4662 TCP et 4672 UDP http://www.emule-france.com/forum/configuration-firewall-xp-mule,t31076.htm http://www.zmaster.fr/informatique_article_201.html à noter que je suis pas sous windows, je ne peux pas vérifier la conformité des boîtes de dialoques. Sur le netgear, je pense qu'il faudra également et nécessairement ouvrir les ports 4662 TCP et 4672 UDP de l'adresse officielle vers les ports 4662 TCP et 4672 UDP vers l'adresse IP de ta machine sur ton réseau privé. Cordialement nono

Je suis nullos, certes, mais pas au point d'utiliser IE 😈 lol? Y a des failles sur Firefox & co également, ne l'oublie pas ! Perso j'utilise les deux en parallèle, et aucun problème des 2 cotés m'enfin ... 🙂

Bonsoir, je crois avoir mis à profit tous les messages de cette discussion Je souhaite maintenant la clore, mais je ne sais pas comment faire, en tentant une réponse, le titre (auquel je souhaitait ajouter [RESOLU] n'est pas proposé La poule a trouvé un couteau 😳 Je tente le coup quand même Ben non, le RESOLU ne marche pas Merci

Il faut en fait éditer ton premier message qui donne le titre du fil de discussion.

Merci j'ai du me melanger les pieds parce que j'avais tenté cela et eu l'impression que "ça marchait pas" Merci

Re, qques messages plus haut, nono écrit tu maintiens bien le mot "remplacée" ce qui signifie que la NAT modifie l'en-tete Ethernet existante et qu'il ne rajoute pas un nouvel en-tête par dessus l'ancien ? Ce point est pour ma compréhension Merci

[u:d56d9c5e80]Pour info aussi[/u:d56d9c5e80]: Mozilla Firefox Malformed JPEG File Denial of Service Vulnerability 2008-06-27 http://www.securityfocus.com/bid/29984 Sun Java SE Multiple Security Vulnerabilities 2008-06-26 http://www.securityfocus.com/bid/28083 Mozilla Firefox Unspecified Arbitrary File Access Weakness 2008-06-24 http://www.securityfocus.com/bid/29905 Mozilla Client Products Multiple Remote Vulnerabilities 2008-06-24 http://www.securityfocus.com/bid/20957 Mozilla Firefox Unspecified Remote Code Execution Vulnerability 2008-06-24 http://www.securityfocus.com/bid/29802 Mozilla Firefox 3 Unspecified Buffer Overflow Vulnerability 2008-06-20 http://www.securityfocus.com/bid/29794 Mozilla Firefox/SeaMonkey JavaScript Garbage Collector Memory Corruption Vulnerability 2008-06-16 http://www.securityfocus.com/bid/28818 Multiple Web Browser BMP Partial Palette Information Disclosure and Denial Of Service Vulnerability 2008-06-11 http://www.securityfocus.com/bid/27826 Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.12 Multiple Remote Vulnerabilities 2008-06-11 http://www.securityfocus.com/bid/28448 Mozilla Firefox chrome:// URI JavaScript File Request Information Disclosure Vulnerability 2008-06-11 http://www.securityfocus.com/bid/27406 Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.11 Multiple Remote Vulnerabilities 2008-06-11 http://www.securityfocus.com/bid/27683 Mozilla Firefox/Thunderbird/SeaMonkey Character Encoding Cross-Site Scripting Vulnerabilities 2008-06-11 http://www.securityfocus.com/bid/29303 Mozilla Firefox Action Prompt Delay Security Mechanism Bypass Vulnerability 2008-06-10 http://www.securityfocus.com/bid/24293

Pour socaanayo [code:1:d7c48014bd]Re, qques messages plus haut, nono écrit Citation: L'adresse IP source (ex 192.168.1.10) de ce paquet IP sera remplacée par l'adresse IP dite «publique» ou officielle tu maintiens bien le mot "remplacée" ce qui signifie que la NAT modifie l'en-tete Ethernet existante et qu'il ne rajoute pas un nouvel en-tête par dessus l'ancien ? Ce point est TRES IMPORTANT pour ma compréhension [/code:1:d7c48014bd] Oui je maintiens mes propos : L'adresse IP source (ex 192.168.1.10) de ce paquet IP sera remplacée par l'adresse IP dite «publique» ou officielle J'ai bien dis "remplacée". Cela signifie que le NAT modifie l'en-tête du ). Les ports (TCP ou UDP) sont également modifiés. Il n'y a pas de nouvel en-tête par dessus (on ne fait pas de tunnel ou d'IPsec ou autre artifice). Pour ethenet (donc couche 2) cela est sans rapport car côté FAI la technologie est différente, protocole de niveau 2 différent. La trame est tout simplement changée. Est-ce-que ce schéma t'aide à comprendre ? http://zenith.noel.free.fr/frameip/FrameIPnat.png La station du LAN privé contacte le serveur web., j'ai fait l'aller et le retour. Observe bien les adresses et ports des en-têtes IP et TCP. Cordialement nono http://zenith.noel.free.fr/frameip/echange-frameip.png