Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
mouhahaha
Nouveau
Inscrit le: 12 Déc 2004
Messages: 4
|
Posté le: Dim 12 Déc, 2004 Sujet du message: Config du firewall du speedtouch 510v4+firewall software |
|
|
Bonjour !
Je posséde le modem/routeur speedtouch 510V4 avec le dernier firmware et je voudrais en savoir plus sur le firewall qu'il posséde.
Comment bloquer tout les ports sauf ceux que je dit.
Bloquer uniquement certains ports.
Autoriser uniquement certain ports etc...
Et aussi est-il necessaire d'avoir un firewall software ?
Si oui lequel(avant j'avait outpost mais il n'etait pas assez stable à mon gout,un plantage sur 5 démmarage environ ce qui fait beaucoup).
Tant que j'y suis quel antivirus me conseillez-vous ?
(J'ai utilisé kapersky utilisé trop de ressource,avast.avg... sont t-ils efficace?).
Merci d'avance pour votre aide !
@+ |
|
Revenir en haut |
|
|
wolfvorine
Habitué
Inscrit le: 19 Mai 2004
Messages: 16
|
Posté le: Lun 13 Déc, 2004 Sujet du message: |
|
|
Salut ,
Tu peux trouver toute tes reponses sur le site www.forpage.com
Sinon le firewall peut avoir 3 possibilites de fonctionnement
Soit tu filtre uniquement sur le nat...
LAN ==> WAN autoriser
Soit tu utilise le filtrage d'entre du routeur + le nat
LAN <==> WAN autoriser dans les 2 sens
et tu autorise uniquement les port a sortir.
Personnellement, j'utilise l'option 2
et sa donne:
Regle Firewall
:firewall rule create chain=IN_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=IN_ROUTEUR index=1 prot=icmp icmptype=echo-request action=accept
:firewall rule create chain=IN_ROUTEUR index=2 srcintf=!eth0 log=yes action=drop
:firewall rule create chain=IN_ROUTEUR index=3 prot=udp dstport=bootpc action=accept
:firewall rule create chain=IN_ROUTEUR index=4 srcintf=eth0 prot=tcp dstport=ftp-data action=accept
:firewall rule create chain=IN_ROUTEUR index=5 srcintf=eth0 prot=tcp dstport=ftp action=accept
:firewall rule create chain=IN_ROUTEUR index=6 srcintf=eth0 prot=tcp dstport=telnet action=accept
:firewall rule create chain=IN_ROUTEUR index=7 srcintf=eth0 prot=tcp dstport=www-http action=accept
:firewall rule create chain=IN_ROUTEUR index=8 prot=udp dstport=snmp log=yes action=count
:firewall rule create chain=IN_ROUTEUR index=9 log=yes action=drop
:firewall rule create chain=OUT_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=OUT_ROUTEUR index=1 dstintf=eth0 action=accept
:firewall rule create chain=OUT_ROUTEUR index=2 prot=udp dstport=bootps action=accept
:firewall rule create chain=OUT_ROUTEUR index=3 prot=icmp icmptype=echo-reply action=accept
:firewall rule create chain=OUT_ROUTEUR index=4 prot=udp srcport=snmp log=yes action=count
:firewall rule create chain=OUT_ROUTEUR index=5 log=yes action=drop
:firewall rule create chain=INPUT index=0 srcintfgrp=wan prot=tcp syn=yes ack=no log=yes action=drop
:firewall rule create chain=INPUT index=1 srcintfgrp=wan prot=tcp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=2 srcintfgrp=wan prot=tcp dstport=593 action=drop
:firewall rule create chain=INPUT index=3 srcintfgrp=wan prot=tcp dstport=445 action=drop
:firewall rule create chain=INPUT index=4 srcintfgrp=wan prot=udp srcport=dns action=accept
:firewall rule create chain=INPUT index=5 srcintfgrp=wan prot=udp dstport=dns action=accept
:firewall rule create chain=INPUT index=6 srcintfgrp=wan prot=udp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=7 srcintfgrp=wan prot=udp log=yes action=drop
:firewall rule create chain=FORWARD index=0 srcintfgrp=wan prot=udp srcport=!dns log=yes action=drop
:firewall assign hook=input chain=INPUT
:firewall assign hook=sink chain=IN_ROUTEUR
:firewall assign hook=forward chain=FORWARD
:firewall assign hook=source chain=OUT_ROUTEUR
Petit cours:
D'abord assigner un nom pour chaque chain en majuscule
hook=INPUT ==> firewall d'entre
hook=SINK ==> entre du routeur
hook=FORWARD ==> les paquets passe par la chain INPUT sans tenir compte du nat statique
hook=SOURCE ==> sortie du routeur
Par defaut cette conf firewall autorise tout ton LAN a accede au NET pour tout service (HTTP, POP, SMTP ........) mais drop tout les paquet qui vient du NET et qui n'ont pas ete initie par ton LAN.
La chain INPUT te sert a autoriser des paquets a destination de ton LAN ou de ton routeur.
S'il n'y a aucune regle de mis sur la chain INPUT le paquet sera automatiquement dropper.
Exemple:
Tu souhaites faire du peer 2 peer avec edonkey.
Il faut que tu autorises dans ce cas la les flux TCP 4662 a destination de ton LAN
Tu vas donc creer une rule en INPUT de ton routeur de la façon suivante:
Firewall rule create chain=INPUT index=0 scrintfgrp=wan prot=tcp dstport=4662 action=accept
Cette regle sera donc cree dans la chain INPUT, il faut aussi savoir que ton pc ou tourne edonkey se trouve sur ton lan avec une IP privee non routable il va donc falloir faire du natage (NAT ==> Network Address Translation), voici la commande
nat create protocol=tcp inside_addr=xxx.xxx.xxx.xxx:4662 outside_addr=0.0.0.0:4662 foreign_addr=0.0.0.0:0
d'ou xxx.xxx.xxx.xxx l'ip de ton poste ou tourne edonkey.
voila pour ce qui est d'un petit explicatif du fonctionnement du firewall de niveau 2
Je te mettrais un autre poste qui detaille bien le fonctionnement du firewall j'espere quand t'avoir pu t'eclaire sur le fonctionnement du firewall.
Comme promis voici une doc sur l'explication du fonctionnement du firewall du routeur SpeedTouch 510v4
http://perso.wanadoo.fr/wolfut/TutofirewallSTv1.3.pdf
@++
Wolf[/url] |
|
Revenir en haut |
|
|
mouhahaha
Nouveau
Inscrit le: 12 Déc 2004
Messages: 4
|
Posté le: Lun 13 Déc, 2004 Sujet du message: |
|
|
merci beaucoup wolfvorine pour ton aide !
Il me reste plus qu'a le configurer =]
Ha une autre petite question,comment savoir quel est le mode,de fonctionnement actif de mon routeur ?[1,2ou3]
Encore une autre lol faut-il mettre le mode upnp en sécurisé,full ou désactive ? |
|
Revenir en haut |
|
|
mouhahaha
Nouveau
Inscrit le: 12 Déc 2004
Messages: 4
|
Posté le: Lun 13 Déc, 2004 Sujet du message: |
|
|
=>:firewall list
:firewall assign hook=input chain=None
:firewall assign hook=sink chain=sink
:firewall assign hook=forward chain=forward
:firewall assign hook=source chain=source
:firewall assign hook=output chain=None
=>firewall rule list
:firewall rule create chain=source index=0 dstintfgrp=!wan action=accept
:firewall rule create chain=source index=1 prot=udp dstport=dns action=accept
:firewall rule create chain=source index=2 prot=udp dstport=bootpc action=accept
:firewall rule create chain=source index=3 prot=icmp icmptype=echo-reply action=accept
:firewall rule create chain=source index=4 prot=udp dstport=bootps action=accept
:firewall rule create chain=source index=5 prot=udp srcport=snmp log=yes action=count
:firewall rule create chain=source index=6 action=drop
:firewall rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
:firewall rule create chain=sink index=0 srcintfgrp=!wan action=accept
:firewall rule create chain=sink index=1 prot=udp dstport=dns action=accept
:firewall rule create chain=sink index=2 prot=udp dstport=bootps action=accept
:firewall rule create chain=sink index=3 prot=icmp icmptype=echo-request action=accept
:firewall rule create chain=sink index=4 prot=udp dstport=bootpc action=accept
:firewall rule create chain=sink index=5 prot=udp dstport=snmp log=yes action=count
:firewall rule create chain=sink index=6 action=drop
Donc moi je voudrait activé le mode 2 puis interdire certain ports comme 135,139,445 etc... donc que faut-il faire ? |
|
Revenir en haut |
|
|
wolfvorine
Habitué
Inscrit le: 19 Mai 2004
Messages: 16
|
Posté le: Mar 14 Déc, 2004 Sujet du message: |
|
|
Salut,
Par defaut le routeur est parametre en mode 1. donc vue les regles tu es bien en mode 1.
Je te file les regles fw pour passe ton routeur en mode 2, mais ATTENTION, ce sera a toi d'autorise les acces a tes poste sur tel ou tel port, donc sa veut dire une connaissance sur les port a ouvrir et savoir comment les mettre si c'est a destination ou source de ton LAN
Voici comment tu dois mettre ton firewall pour une conf de niveau 2
Niveau 2 = Protection du modem & du LAN : seules les requêtes LAN =>WAN sont autorisées :
Les ports NETBIOS tcp et udp 135 à 139 sont bloqués dans le sens WAN => LAN
Les ports RPC tcp 445 et 593 sont bloqués dans le sens WAN => LAN
Seules les requêtes tcp initiées depuis le LAN sont autorisées dans le sens WAN => LAN
La sécurité est augmentée mais certaines applications internet peuvent ne pas fonctionner correctement
Vous ne devez pas choisir ce niveau si vous ne savez pas ce que vous faîtes.
Ensuite a toi d'autoriser ce que tu veux dans la chain INPUT et de jouer avec le nat
Voici la regle:
creer tes chain de cette façons sa t'aidera enormement pour faire ton filtrage, la chain output on ne l'utilise pas dans ce cas puisque nous utiliserons le nat statique ou dynamique (nat dynamique utiliser uniquement lorsque que tu utilises la chain forward)
:firewall assign hook=input chain=INPUT
:firewall assign hook=sink chain=IN_ROUTEUR
:firewall assign hook=forward chain=FORWARD
:firewall assign hook=source chain=OUT_ROUTEUR
:firewall assign hook=output chain=None
:firewall rule create chain=IN_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=IN_ROUTEUR index=1 prot=icmp icmptype=echo-request action=accept
:firewall rule create chain=IN_ROUTEUR index=2 srcintf=!eth0 log=yes action=drop
:firewall rule create chain=IN_ROUTEUR index=3 prot=udp dstport=bootpc action=accept
:firewall rule create chain=IN_ROUTEUR index=4 srcintf=eth0 prot=tcp dstport=ftp-data action=accept
:firewall rule create chain=IN_ROUTEUR index=5 srcintf=eth0 prot=tcp dstport=ftp action=accept
:firewall rule create chain=IN_ROUTEUR index=6 srcintf=eth0 prot=tcp dstport=telnet action=accept
:firewall rule create chain=IN_ROUTEUR index=7 srcintf=eth0 prot=tcp dstport=www-http action=accept
:firewall rule create chain=IN_ROUTEUR index=9 log=yes action=drop
:firewall rule create chain=OUT_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=OUT_ROUTEUR index=1 dstintf=eth0 action=accept
:firewall rule create chain=OUT_ROUTEUR index=2 prot=udp dstport=bootps action=accept
:firewall rule create chain=OUT_ROUTEUR index=3 prot=icmp icmptype=echo-reply action=accept
:firewall rule create chain=OUT_ROUTEUR index=5 log=yes action=drop
:firewall rule create chain=INPUT index=0 srcintfgrp=wan prot=tcp syn=yes ack=no log=yes action=drop
:firewall rule create chain=INPUT index=1 srcintfgrp=wan prot=tcp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=2 srcintfgrp=wan prot=tcp dstport=593 action=drop
:firewall rule create chain=INPUT index=3 srcintfgrp=wan prot=tcp dstport=445 action=drop
:firewall rule create chain=INPUT index=4 srcintfgrp=wan prot=udp srcport=dns action=accept
:firewall rule create chain=INPUT index=5 srcintfgrp=wan prot=udp dstport=dns action=accept
:firewall rule create chain=INPUT index=6 srcintfgrp=wan prot=udp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=7 srcintfgrp=wan prot=udp log=yes action=drop
:firewall rule create chain=FORWARD index=0 srcintfgrp=wan prot=udp srcport=!dns log=yes action=drop
Si tu as besoin d'aide tu peux me joindre sur msn ==> [email protected]
Pour ce qui est du mode Upnp je l'ai active en mode full et j'ai rajouter la regle suivante :
ule create chain=IN_ROUTEUR index=0 srcintf=eth0 prot=udp dstport=1900 action=accept
en sortie de routeur tu n'a pas besoin la regle est matcher par l'index 1
J'utilise l'upnp pour certain soft, mais a toi de voir si tu veux l'activer ou pas.
@++ |
|
Revenir en haut |
|
|
mouhahaha
Nouveau
Inscrit le: 12 Déc 2004
Messages: 4
|
Posté le: Mar 14 Déc, 2004 Sujet du message: |
|
|
Merci beaucoup pour tout ce que tu as fais !
Merci x10000000000000000. |
|
Revenir en haut |
|
|
wolfvorine
Habitué
Inscrit le: 19 Mai 2004
Messages: 16
|
Posté le: Mar 14 Déc, 2004 Sujet du message: |
|
|
de rien ..... |
|
Revenir en haut |
|
|
mikvdw
Nouveau
Inscrit le: 01 Mai 2006
Messages: 1
|
Posté le: Lun 01 Mai, 2006 Sujet du message: FireWall Restrictif |
|
|
Bonjour je possède un SpeedTouch 510 firmware version 4.3.
J'ai voulu activer le firewall de cette façon là en laissant ouvert que le port 80 mais plus rien ne fonctionne même plus le surf normal pouvez vous m'aider S.V.P.
:firewall rule create chain=INPUT index=0 srcintfgrp=lan dstintfgrp=lan action=accept
:firewall rule create chain=INPUT index=1 prot=tcp dstintfgrp=wan dstport=80 action accept
:firewall rule create chain=INPUT index=2 prot=tcp dstintfgrp=lan srcport=80 action accept
:firewall rule create chain=INPUT index=3 action=drop
Merci
Michaël |
|
Revenir en haut |
|
|
|