 |
|
| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
hammett
Membre indispensable
Inscrit le: 31 Déc 2005
Messages: 12800
Localisation: Colombes
|
 Posté le: Dim 19 Fév 2006 am 00:29 Sujet du message: |
 |
|
| jxh a écrit: | sauf erreur ou omission il est le premier freenaute apprenti sorcier de la marne membre du top ten ce clubnews
a mon idée ça se fête  
bienvenue et longue vie a rcvt51 newlook  |
En son honneur, je vais faire le sacrifice de 100 poulets.
_________________
Orange Open
"Le monde se divise en deux catégories : ceux qui ont un pistolet chargé, et ceux qui creusent. Toi, tu creuses !" Blondin/C.Eastwood -
Le Bon, la Brute le Truand - S.Léone 1966
"Par ailleurs, le cinéma est un art" André Malraux |
|
| Revenir en haut de page |
|
 |
Rincevent
Membre indispensable
Inscrit le: 20 Juin 2005
Messages: 3489
Localisation: Université de l'Invisible, Ankh-Morpork
|
| Posté le: Dim 19 Fév 2006 am 00:40 Sujet du message: |
|
|
| hammett a écrit: |
En son honneur, je vais faire le sacrifice de 100 poulets. |
Merci. 
Pourquoi pas 1493 ? Un par ko/s supplémentaire par rapport au 256 que CI m'assurait être la capacité maximale de ma ligne... 
Désolé pour le HS, mais bon, je me devais de répondre à ces gentillesses de jxh et hammett.
_________________
Des histoires de sorciers aussi, mais là, c'est bien écrit et plein d'humour :Discworld
DT free 31 dB 15847/1196 kbps 8 ms.
+ Orange Zen "nu" 35 dB 12360/1019 28 ms. |
|
| Revenir en haut de page |
|
|
jxh
Coordinateur du forum
Inscrit le: 20 Juin 2005
Messages: 9420
Localisation: montpellier
|
| Posté le: Dim 19 Fév 2006 am 00:44 Sujet du message: |
|
|
ta simple présence parmi nous justifie tout les hs de la terre et puis de toutes façons ce soir c'est fête et les firewall on s'en balance
_________________
When I was just a baby my mama told me. Son,
always be a good boy, don't ever play with guns.
But I shot a man in Reno just to watch him die
now every time I hear that whistle I hang my head and cry.. |
|
| Revenir en haut de page |
|
|
Dumboton
Membre indispensable
Inscrit le: 20 Juin 2005
Messages: 10316
Localisation: 95170
|
| Posté le: Dim 19 Fév 2006 am 10:25 Sujet du message: |
|
|
Voici les règles du firewall de la CI.Box :
> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpts:16600:16603 <-- VOIP
ACCEPT udp -- anywhere anywhere udp dpt:2427 <-- VOIP
ACCEPT icmp -- anywhere anywhere icmp echo-request <-- ping
ACCEPT 2 -- anywhere anywhere <-- tous paquets IGMP
ACCEPT udp -- anywhere anywhere udp dpt:2427 <-- VOIP
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED <-- tout ce qui lié à une demande d'un process interne est autorisé
ACCEPT tcp -- anywhere <-- reaim
...
ACCEPT tcp -- anywhere <-- reaim
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' <-- logging des infractions aux règles
DROP all -- anywhere anywhere <-- tout est bloqué sauf ce qui est au-dessus
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere 192.168.1.33 udp dpt:11315 <- Vos règles NAT
....
ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:1723 <- Vos règles NAT
ACCEPT all -- anywhere 224.0.0.0/3 <--- autorise les flux depuis serveurs multicast
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <--**
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <-- doublon (très courant sur le tecom)
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED <-- autorise tout ce qui a été initialisé ou lié à un process derrière le firewall
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' <-- logging des infractions aux règles
DROP all -- anywhere anywhere <--- tout est refusé sauf ce qui est au-dessus
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere 239.255.255.250 <---blocage des requetes UpnP vers cette IP (bug sécuritaire de XP) voir *
Donc tout est autorisé en sortie sauf cette règle.
[*]En fait, votre ordinateur contacte à l'adresse 239.255.255.250 (groupe de serveurs IANA, importants serveurs de résolution de noms sur Internet) via le port 1900 en utilisant le protocole SSDP (Simple Service Discovery Protocol) pour repérer toutes les machines Plug and play.
[**] Nouveau, voici ce qui me donne google :
Ce patch par Marc Boucher <marc+nf@mbsi.ca> ajoute une nouvelle target qui vous permet d'examiner et de changer le MSS dans les paquets TCP SYN, pour contrôler la taille maximum pour cette connexion.
Comme l'explique Marc lui même, c'est un hack, utilisé pour résoudre les problèmes engendrés par ces FAIs têtus comme des mules qui bloquent les paquets ICMP Fragmentation Needed à tort.
clamp-mss-to-pmtu Bloque la valeur du MSS à (path_MTU - 40)
en relation avec la TV ?? ou des problèmes de fragmentation de paquets comme on a connu avec le CT et le ftp vers free
PS : J'ai pas le courage de remplacer le caractère supérieur qui est mal transcrit par le forum alors qu'en prévisualisation c'est OK 
_________________
CI c'était des hommes, un service et de la qualité
Dernière édition par Dumboton le Mer 08 Mar 2006 am 09:29; édité 1 fois |
|
| Revenir en haut de page |
|
|
hammett
Membre indispensable
Inscrit le: 31 Déc 2005
Messages: 12800
Localisation: Colombes
|
| Posté le: Dim 19 Fév 2006 am 11:39 Sujet du message: |
|
|
Voici mes tableaux. Avec le Tecom AH4021.
C'est une première avec Printkey2000 et pixnofrag.
Géniaux ces outils
Les résultats sont obtenus après :
- L'utilisation du lien donné par Jxh pour remettre en place le Firewall devenu inactif avec la V42 du modem.
Lien de Jxh :
http://192.168.1.1/ntwksum2.cgi?enblFirewall=1&amp;enblIgmp=1&amp;enblService=1&amp;serviceName=pppoa_8_35_1
- Tous les ports sont masqués maintenant apres le test fait sur le lien donné par Dumboton.
Lien de Dumboton :
http://www.zebulon.fr/outils/scanports/test-securite.php
Telnet ce sera pour plus tard avec un peu plus d'assurance de ma part.
_________________
Orange Open
"Le monde se divise en deux catégories : ceux qui ont un pistolet chargé, et ceux qui creusent. Toi, tu creuses !" Blondin/C.Eastwood -
Le Bon, la Brute le Truand - S.Léone 1966
"Par ailleurs, le cinéma est un art" André Malraux |
|
| Revenir en haut de page |
|
|
jxh
Coordinateur du forum
Inscrit le: 20 Juin 2005
Messages: 9420
Localisation: montpellier
|
| Posté le: Dim 19 Fév 2006 am 11:47 Sujet du message: |
|
|
| Dumboton a écrit: | Voici les règles du firewall de la CI.Box :
> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpts:16600:16603 <-- VOIP
ACCEPT udp -- anywhere anywhere udp dpt:2427 <-- VOIP
ACCEPT icmp -- anywhere anywhere icmp echo-request <-- ping
ACCEPT 2 -- anywhere anywhere <-- tous paquets IGMP
ACCEPT udp -- anywhere anywhere udp dpt:2427 <-- VOIP
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED <-- tout ce qui lié à une demande d'un process interne est autorisé
ACCEPT tcp -- anywhere <-- reaim
...
ACCEPT tcp -- anywhere <-- reaim
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' <-- logging des infractions aux règles
DROP all -- anywhere anywhere <-- tout est bloqué sauf ce qui est au-dessus
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere 192.168.1.33 udp dpt:11315 <- Vos règles NAT
....
ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:1723 <- Vos règles NAT
ACCEPT all -- anywhere 224.0.0.0/3 <--- autorise les flux depuis serveurs multicast
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <--**
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU <-- doublon (très courant sur le tecom)
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED <-- autorise tout ce qui a été initialisé ou lié à un process derrière le firewall
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' <-- logging des infractions aux règles
DROP all -- anywhere anywhere <--- tout est refusé sauf ce qui est au-dessus
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere 239.255.255.250 <---blocage des requetes UpnP vers cette IP (bug sécuritaire de XP) voir *
Donc tout est autorisé en sortie sauf cette règle.
[*][/i]En fait, votre ordinateur contacte à l'adresse 239.255.255.250 (groupe de serveurs IANA, importants serveurs de résolution de noms sur Internet) via le port 1900 en utilisant le protocole SSDP (Simple Service Discovery Protocol) pour repérer toutes les machines Plug and play. [/i]
[**] Nouveau, voici ce qui me donne google :
Ce patch par Marc Boucher <marc+nf@mbsi.ca> ajoute une nouvelle target qui vous permet d'examiner et de changer le MSS dans les paquets TCP SYN, pour contrôler la taille maximum pour cette connexion.
Comme l'explique Marc lui même, c'est un hack, utilisé pour résoudre les problèmes engendrés par ces FAIs têtus comme des mules qui bloquent les paquets ICMP Fragmentation Needed à tort.
clamp-mss-to-pmtu Bloque la valeur du MSS à (path_MTU - 40)
en relation avec la TV ?? ou des problèmes de fragmentation de paquets comme on a connu avec le CT et le ftp vers free
PS : J'ai pas le courage de remplacer le caractère supérieur qui est mal transcrit par le forum alors qu'en prévisualisation c'est OK |
encore une fois une de + un topo nickel auquel je n'arrive pas a tout comprendre
une question tout de meme les ports réservé à la téléphonie si j'ai bien lu sont en permanence ouverts
peuvent ils etre utilisé selon vous a d'autres fins moins utiles
en clair sont ils un accés a nos p c justifiant avec quelques autres que tu cite également le maintien d'un firewall logiciel   
_________________
When I was just a baby my mama told me. Son,
always be a good boy, don't ever play with guns.
But I shot a man in Reno just to watch him die
now every time I hear that whistle I hang my head and cry.. |
|
| Revenir en haut de page |
|
|
Dumboton
Membre indispensable
Inscrit le: 20 Juin 2005
Messages: 10316
Localisation: 95170
|
| Posté le: Dim 19 Fév 2006 pm 12:16 Sujet du message: |
|
|
Les ports VOIP de toutes façons sont interceptés par la box et donc ne peuvent atteindre le PC.
Par contre comme beaucoup de firewalls, celui de la box ne controle pas ce qui sort (excepté la requete upnp signalée), uniquement ce qui rentre.
_________________
CI c'était des hommes, un service et de la qualité |
|
| Revenir en haut de page |
|
|
jxh
Coordinateur du forum
Inscrit le: 20 Juin 2005
Messages: 9420
Localisation: montpellier
|
| Posté le: Dim 19 Fév 2006 pm 12:20 Sujet du message: |
|
|
| Dumboton a écrit: | Les ports VOIP de toutes façons sont interceptés par la box et donc ne peuvent atteindre le PC.
Par contre comme beaucoup de firewalls, celui de la box ne controle pas ce qui sort (excepté la requete upnp signalée), uniquement ce qui rentre. |
donc en cas de spyware par exemple cherchant a acceder au net depuis mon pc 'dans un but forcement inavouable ) le firewall logiciel reste le seul a meme de me le signaler
moralité je garde les deux
_________________
When I was just a baby my mama told me. Son,
always be a good boy, don't ever play with guns.
But I shot a man in Reno just to watch him die
now every time I hear that whistle I hang my head and cry.. |
|
| Revenir en haut de page |
|
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Profil
Se connecter pour vérifier ses messages privés
Connexion
