Config du firewall du speedtouch 510v4+firewall software

[mouhahaha]

Bonjour !

Je posséde le modem/routeur speedtouch 510V4 avec le dernier firmware et je voudrais en savoir plus sur le firewall qu'il posséde.
Comment bloquer tout les ports sauf ceux que je dit.
Bloquer uniquement certains ports.
Autoriser uniquement certain ports etc...

Et aussi est-il necessaire d'avoir un firewall software ?
Si oui lequel(avant j'avait outpost mais il n'etait pas assez stable à mon gout,un plantage sur 5 démmarage environ ce qui fait beaucoup).

Tant que j'y suis quel antivirus me conseillez-vous ?
(J'ai utilisé kapersky utilisé trop de ressource,avast.avg... sont t-ils efficace?).


Merci d'avance pour votre aide !

@+

[wolfvorine]

Salut ,

Tu peux trouver toute tes reponses sur le site www.forpage.com

Sinon le firewall peut avoir 3 possibilites de fonctionnement

Soit tu filtre uniquement sur le nat...

LAN ==> WAN autoriser
Soit tu utilise le filtrage d'entre du routeur + le nat

LAN <==> WAN autoriser dans les 2 sens
et tu autorise uniquement les port a sortir.

Personnellement, j'utilise l'option 2

et sa donne:

Regle Firewall

:firewall rule create chain=IN_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=IN_ROUTEUR index=1 prot=icmp icmptype=echo-request action=accept
:firewall rule create chain=IN_ROUTEUR index=2 srcintf=!eth0 log=yes action=drop
:firewall rule create chain=IN_ROUTEUR index=3 prot=udp dstport=bootpc action=accept
:firewall rule create chain=IN_ROUTEUR index=4 srcintf=eth0 prot=tcp dstport=ftp-data action=accept
:firewall rule create chain=IN_ROUTEUR index=5 srcintf=eth0 prot=tcp dstport=ftp action=accept
:firewall rule create chain=IN_ROUTEUR index=6 srcintf=eth0 prot=tcp dstport=telnet action=accept
:firewall rule create chain=IN_ROUTEUR index=7 srcintf=eth0 prot=tcp dstport=www-http action=accept
:firewall rule create chain=IN_ROUTEUR index=8 prot=udp dstport=snmp log=yes action=count
:firewall rule create chain=IN_ROUTEUR index=9 log=yes action=drop

:firewall rule create chain=OUT_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=OUT_ROUTEUR index=1 dstintf=eth0 action=accept
:firewall rule create chain=OUT_ROUTEUR index=2 prot=udp dstport=bootps action=accept
:firewall rule create chain=OUT_ROUTEUR index=3 prot=icmp icmptype=echo-reply action=accept
:firewall rule create chain=OUT_ROUTEUR index=4 prot=udp srcport=snmp log=yes action=count
:firewall rule create chain=OUT_ROUTEUR index=5 log=yes action=drop

:firewall rule create chain=INPUT index=0 srcintfgrp=wan prot=tcp syn=yes ack=no log=yes action=drop
:firewall rule create chain=INPUT index=1 srcintfgrp=wan prot=tcp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=2 srcintfgrp=wan prot=tcp dstport=593 action=drop
:firewall rule create chain=INPUT index=3 srcintfgrp=wan prot=tcp dstport=445 action=drop
:firewall rule create chain=INPUT index=4 srcintfgrp=wan prot=udp srcport=dns action=accept
:firewall rule create chain=INPUT index=5 srcintfgrp=wan prot=udp dstport=dns action=accept
:firewall rule create chain=INPUT index=6 srcintfgrp=wan prot=udp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=7 srcintfgrp=wan prot=udp log=yes action=drop

:firewall rule create chain=FORWARD index=0 srcintfgrp=wan prot=udp srcport=!dns log=yes action=drop

:firewall assign hook=input chain=INPUT
:firewall assign hook=sink chain=IN_ROUTEUR
:firewall assign hook=forward chain=FORWARD
:firewall assign hook=source chain=OUT_ROUTEUR

Petit cours:

D'abord assigner un nom pour chaque chain en majuscule
hook=INPUT ==> firewall d'entre
hook=SINK ==> entre du routeur
hook=FORWARD ==> les paquets passe par la chain INPUT sans tenir compte du nat statique
hook=SOURCE ==> sortie du routeur

Par defaut cette conf firewall autorise tout ton LAN a accede au NET pour tout service (HTTP, POP, SMTP ........) mais drop tout les paquet qui vient du NET et qui n'ont pas ete initie par ton LAN.

La chain INPUT te sert a autoriser des paquets a destination de ton LAN ou de ton routeur.

S'il n'y a aucune regle de mis sur la chain INPUT le paquet sera automatiquement dropper.

Exemple:
Tu souhaites faire du peer 2 peer avec edonkey.
Il faut que tu autorises dans ce cas la les flux TCP 4662 a destination de ton LAN

Tu vas donc creer une rule en INPUT de ton routeur de la façon suivante:

Firewall rule create chain=INPUT index=0 scrintfgrp=wan prot=tcp dstport=4662 action=accept

Cette regle sera donc cree dans la chain INPUT, il faut aussi savoir que ton pc ou tourne edonkey se trouve sur ton lan avec une IP privee non routable il va donc falloir faire du natage (NAT ==> Network Address Translation), voici la commande

nat create protocol=tcp inside_addr=xxx.xxx.xxx.xxx:4662 outside_addr=0.0.0.0:4662 foreign_addr=0.0.0.0:0

d'ou xxx.xxx.xxx.xxx l'ip de ton poste ou tourne edonkey.

voila pour ce qui est d'un petit explicatif du fonctionnement du firewall de niveau 2

Je te mettrais un autre poste qui detaille bien le fonctionnement du firewall j'espere quand t'avoir pu t'eclaire sur le fonctionnement du firewall.


Comme promis voici une doc sur l'explication du fonctionnement du firewall du routeur SpeedTouch 510v4

http://perso.wanadoo.fr/wolfut/TutofirewallSTv1.3.pdf

@++

Wolf[/url]

[mouhahaha]

merci beaucoup wolfvorine pour ton aide !

Il me reste plus qu'a le configurer =]
Ha une autre petite question,comment savoir quel est le mode,de fonctionnement actif de mon routeur ?[1,2ou3]
Encore une autre lol faut-il mettre le mode upnp en sécurisé,full ou désactive ?

[mouhahaha]

=>:firewall list
:firewall assign hook=input chain=None
:firewall assign hook=sink chain=sink
:firewall assign hook=forward chain=forward
:firewall assign hook=source chain=source
:firewall assign hook=output chain=None

=>firewall rule list
:firewall rule create chain=source index=0 dstintfgrp=!wan action=accept
:firewall rule create chain=source index=1 prot=udp dstport=dns action=accept
:firewall rule create chain=source index=2 prot=udp dstport=bootpc action=accept
:firewall rule create chain=source index=3 prot=icmp icmptype=echo-reply action=accept
:firewall rule create chain=source index=4 prot=udp dstport=bootps action=accept
:firewall rule create chain=source index=5 prot=udp srcport=snmp log=yes action=count
:firewall rule create chain=source index=6 action=drop
:firewall rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
:firewall rule create chain=sink index=0 srcintfgrp=!wan action=accept
:firewall rule create chain=sink index=1 prot=udp dstport=dns action=accept
:firewall rule create chain=sink index=2 prot=udp dstport=bootps action=accept
:firewall rule create chain=sink index=3 prot=icmp icmptype=echo-request action=accept
:firewall rule create chain=sink index=4 prot=udp dstport=bootpc action=accept
:firewall rule create chain=sink index=5 prot=udp dstport=snmp log=yes action=count
:firewall rule create chain=sink index=6 action=drop

Donc moi je voudrait activé le mode 2 puis interdire certain ports comme 135,139,445 etc... donc que faut-il faire ?

[wolfvorine]

Salut,

Par defaut le routeur est parametre en mode 1. donc vue les regles tu es bien en mode 1.
Je te file les regles fw pour passe ton routeur en mode 2, mais ATTENTION, ce sera a toi d'autorise les acces a tes poste sur tel ou tel port, donc sa veut dire une connaissance sur les port a ouvrir et savoir comment les mettre si c'est a destination ou source de ton LAN

Voici comment tu dois mettre ton firewall pour une conf de niveau 2

Niveau 2 = Protection du modem & du LAN : seules les requêtes LAN =>WAN sont autorisées :

Les ports NETBIOS tcp et udp 135 à 139 sont bloqués dans le sens WAN => LAN
Les ports RPC tcp 445 et 593 sont bloqués dans le sens WAN => LAN
Seules les requêtes tcp initiées depuis le LAN sont autorisées dans le sens WAN => LAN

La sécurité est augmentée mais certaines applications internet peuvent ne pas fonctionner correctement
Vous ne devez pas choisir ce niveau si vous ne savez pas ce que vous faîtes.
Ensuite a toi d'autoriser ce que tu veux dans la chain INPUT et de jouer avec le nat

Voici la regle:

creer tes chain de cette façons sa t'aidera enormement pour faire ton filtrage, la chain output on ne l'utilise pas dans ce cas puisque nous utiliserons le nat statique ou dynamique (nat dynamique utiliser uniquement lorsque que tu utilises la chain forward)

:firewall assign hook=input chain=INPUT
:firewall assign hook=sink chain=IN_ROUTEUR
:firewall assign hook=forward chain=FORWARD
:firewall assign hook=source chain=OUT_ROUTEUR
:firewall assign hook=output chain=None


:firewall rule create chain=IN_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=IN_ROUTEUR index=1 prot=icmp icmptype=echo-request action=accept
:firewall rule create chain=IN_ROUTEUR index=2 srcintf=!eth0 log=yes action=drop
:firewall rule create chain=IN_ROUTEUR index=3 prot=udp dstport=bootpc action=accept
:firewall rule create chain=IN_ROUTEUR index=4 srcintf=eth0 prot=tcp dstport=ftp-data action=accept
:firewall rule create chain=IN_ROUTEUR index=5 srcintf=eth0 prot=tcp dstport=ftp action=accept
:firewall rule create chain=IN_ROUTEUR index=6 srcintf=eth0 prot=tcp dstport=telnet action=accept
:firewall rule create chain=IN_ROUTEUR index=7 srcintf=eth0 prot=tcp dstport=www-http action=accept
:firewall rule create chain=IN_ROUTEUR index=9 log=yes action=drop

:firewall rule create chain=OUT_ROUTEUR index=0 prot=udp dstport=dns action=accept
:firewall rule create chain=OUT_ROUTEUR index=1 dstintf=eth0 action=accept
:firewall rule create chain=OUT_ROUTEUR index=2 prot=udp dstport=bootps action=accept
:firewall rule create chain=OUT_ROUTEUR index=3 prot=icmp icmptype=echo-reply action=accept
:firewall rule create chain=OUT_ROUTEUR index=5 log=yes action=drop

:firewall rule create chain=INPUT index=0 srcintfgrp=wan prot=tcp syn=yes ack=no log=yes action=drop
:firewall rule create chain=INPUT index=1 srcintfgrp=wan prot=tcp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=2 srcintfgrp=wan prot=tcp dstport=593 action=drop
:firewall rule create chain=INPUT index=3 srcintfgrp=wan prot=tcp dstport=445 action=drop
:firewall rule create chain=INPUT index=4 srcintfgrp=wan prot=udp srcport=dns action=accept
:firewall rule create chain=INPUT index=5 srcintfgrp=wan prot=udp dstport=dns action=accept
:firewall rule create chain=INPUT index=6 srcintfgrp=wan prot=udp dstport=135 dstportend=netbios-ssn action=drop
:firewall rule create chain=INPUT index=7 srcintfgrp=wan prot=udp log=yes action=drop

:firewall rule create chain=FORWARD index=0 srcintfgrp=wan prot=udp srcport=!dns log=yes action=drop

Si tu as besoin d'aide tu peux me joindre sur msn ==> [email protected]

Pour ce qui est du mode Upnp je l'ai active en mode full et j'ai rajouter la regle suivante :

ule create chain=IN_ROUTEUR index=0 srcintf=eth0 prot=udp dstport=1900 action=accept

en sortie de routeur tu n'a pas besoin la regle est matcher par l'index 1

J'utilise l'upnp pour certain soft, mais a toi de voir si tu veux l'activer ou pas.

@++

[mouhahaha]

Merci beaucoup pour tout ce que tu as fais !
Merci x10000000000000000.

[wolfvorine]

de rien .....

[mikvdw]

Bonjour je possède un SpeedTouch 510 firmware version 4.3.

J'ai voulu activer le firewall de cette façon là en laissant ouvert que le port 80 mais plus rien ne fonctionne même plus le surf normal pouvez vous m'aider S.V.P.

:firewall rule create chain=INPUT index=0 srcintfgrp=lan dstintfgrp=lan action=accept
:firewall rule create chain=INPUT index=1 prot=tcp dstintfgrp=wan dstport=80 action accept
:firewall rule create chain=INPUT index=2 prot=tcp dstintfgrp=lan srcport=80 action accept
:firewall rule create chain=INPUT index=3 action=drop

Merci

Michaël