Forums FUG-FR - securite port ouvert

Korova

Ex Member

securite port ouvert
03. Nov 2008 at 10:06

Bonjour
Bonjourm

Je suis entrain de metre en place ipfw, je savoir comment fermer les port suivant

Code:

Votre systéme	FreeBSD i386
Liste des ports visibles:
Nom	Status	Numero	Information
rlp 	ouvert 	39/tcp 	Resource Location Protocol
deos 	ouvert 	76/tcp 	Distributed External Object Store
vettcp 	ouvert 	78/tcp
ansatrader 	ouvert 	124/tcp 	ANSA REX Trader
asa 	ouvert 	386/tcp 	ASA Message Router Object Def.
synotics-broker 	ouvert 	392/tcp 	SynOptics Port Broker Port
smsp 	ouvert 	413/tcp
scohelp 	ouvert 	457/tcp
tcpnethaspsrv 	ouvert 	475/tcp
netnews 	ouvert 	532/tcp 	readnews
cybercash 	ouvert 	551/tcp
dsf 	ouvert 	555/tcp
sonar 	ouvert 	572/tcp
con 	ouvert 	759/tcp
nessus 	ouvert 	1241/tcp 	Nessus or remote message server
alta-ana-lm 	ouvert 	1346/tcp 	Alta Analytics License Manager
wms 	ouvert 	1755/tcp 	Windows media service
ats 	ouvert 	2201/tcp 	Advanced Training System Program
nuts_bootp 	ouvert 	4133/tcp 	NUTS Bootp Server
X11:9 	ouvert 	6009/tcp 	X Window server
PowerChutePLUS 	ouvert 	6548/tcp
openmanage 	ouvert 	7273/tcp 	Dell OpenManage
sd 	ouvert 	9876/tcp 	Session Director
VeritasNetbackup 	ouvert 	13709/tcp 	ts8d server
flexlm3 	ouvert 	27003/tcp 	FlexLM license manager additional ports
sometimes-rpc15 	ouvert 	32776/tcp 	Sometimes an RPC port on my Solaris box (sprayd)

Back to top

« Last Edit: 03. Nov 2008 at 10:17 by N/A »

IP Logged

ros Global Moderator Offline Posts: 868 Paris Gender:	Re: securite port ouvert Reply #1 - 03. Nov 2008 at 10:48 La manière la plus sure consiste à fermer tout sauf les ports que tu veux laisser ouverts. Tu as un exemple relativement complet de configuration ipfw sur le handbook[1] [1] http://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html.
Back to top	" Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes " WWW IP Logged

Korova

Ex Member

Re: securite port ouvert
Reply #2 - 03. Nov 2008 at 12:38

Quand je tape dans mon terminal sh /usr/local/etc/ipfw.rules

Code:

Unix-Freebsd#  sh /usr/local/etc/ipfw.rules
setup_loopback: not found
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: sysctlbyname("net.inet.ip.fw.verbose_limit")
Unix-Freebsd#

Back to top

IP Logged

Korova Ex Member	Re: securite port ouvert Reply #3 - 03. Nov 2008 at 13:20 Bonjour, Pour Firefox normalement il utilise le port 80,je dois l'ouvrir en tcp ou en udp.J'ai activer ipfw je n'arrive plus à naviguer sur internet.
Back to top	IP Logged

patrick

Senior Member

Offline

Les pixels au peuple

Posts: 398

Re: securite port ouvert
Reply #4 - 03. Nov 2008 at 14:27

Quote:

Quand je tape dans mon terminal sh /usr/local/etc/ipfw.rules

Code:

Unix-Freebsd#  sh /usr/local/etc/ipfw.rules
setup_loopback: not found
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: sysctlbyname("net.inet.ip.fw.verbose_limit")
Unix-Freebsd#

Sans les règles ça va être dur de dire pourquoi hein.
N'utlise pas /usr/local/etc, c'est pour la config des ports.

Back to top

IP Logged

Korova

Ex Member

Re: securite port ouvert
Reply #5 - 03. Nov 2008 at 14:51

voila ma configuration de mon ipfw

Code:

# Set this to your ip address.
	  ip="192.168.1.10"
	  fwcmd="ipfw"
	  setup_loopback

	  # Allow inbound ftp, ssh,
	  ${fwcmd} add allow tcp from any to ${ip} 21 setup
	  ${fwcmd} add allow tcp from any to ${ip} 22 setup
	  ${fwcmd} add allow tcp from any to ${ip} 80 setup

	  # Deny inbound auth, netbios, ldap, and Microsoft's DB protocol
	  # without logging.
	  ${fwcmd} add reset tcp from any to ${ip} 113 setup
	  ${fwcmd} add reset tcp from any to ${ip} 139 setup
	  ${fwcmd} add reset tcp from any to ${ip} 389 setup
	  ${fwcmd} add reset tcp from any to ${ip} 445 setup

	  # Everything else is denied and logged.
	  ${fwcmd} add deny log all from any to any

Back to top

IP Logged

Korova Ex Member	Re: securite port ouvert Reply #6 - 03. Nov 2008 at 15:02 Slt, Avant que j'install ipfw sa sa fonctionais bien, je viens juste de supprimer toute les regles dans mon ipfw. Impossible de naviguateur sur internet
Back to top	« Last Edit: 03. Nov 2008 at 15:42 by N/A » IP Logged

Korova Ex Member	Re: securite port ouvert Reply #7 - 03. Nov 2008 at 15:21 Slt, Quand j'ai supprimer la ligne firewall_enable="YES" dans mon rc.conf,mon naviguateur internet fonctionne. Quand ajoute la ligne firewall_enable="YES dans mon rc.conf sa fonctionne plus. j'ai supprimer toute les regles dans mon ipfw Vraiment Bizzar
Back to top	« Last Edit: 03. Nov 2008 at 16:00 by N/A » IP Logged

jc1 God Member Offline BSD For Ever !! Posts: 845 Un coin en France Gender:	Re: securite port ouvert Reply #8 - 03. Nov 2008 at 22:08 Bonjour, Généralement tu ouvres en out seulement en TCP pour le navigateur sur un desktop. Si tu n'as pas de P2P, pas d'ouverture en in. L'UDP est peu utiliser dans ce cas.
Back to top	"Ils ignoraient que c'était impossible, alors ils l'ont fait" Marc Twain "Do or do not. There is no try" Yoda Senseï WWW IP Logged

David Marec

Senior Member

Offline

Posts: 386
Toulouse
Gender: male

Re: securite port ouvert
Reply #9 - 03. Nov 2008 at 22:50

Quote:

Slt,

Quand j'ai supprimer la ligne firewall_enable="YES" dans mon rc.conf,mon naviguateur internet fonctionne. Quand ajoute la ligne firewall_enable="YES dans mon rc.conf sa fonctionne plus.

j'ai supprimer toute les regles dans mon ipfw

Vraiment Bizzar

Vous avez dit bizarre ?
Non, ipfw est en «default to deny»; donc, par défaut rien ne passe.
Sans règles, c'est un mur.

Ce n'est pas le plus simple à configurer, je trouve.

Back to top

WWW

IP Logged

jc1 God Member Offline BSD For Ever !! Posts: 845 Un coin en France Gender:	Re: securite port ouvert Reply #10 - 04. Nov 2008 at 09:37 Bonjour, Après réflexion, cela semble logique pour de la sécurité, tout est bloque sauf ce qui est autorisé. Il y a aussi pf : http://www.openbsd.org/faq/pf/fr/index.html
Back to top	"Ils ignoraient que c'était impossible, alors ils l'ont fait" Marc Twain "Do or do not. There is no try" Yoda Senseï WWW IP Logged

Korova Ex Member	Re: securite port ouvert Reply #11 - 04. Nov 2008 at 10:35 Bonjour Même en ajoutent ${fwcmd} add allow tcp from any to ${ip} 80 setup dans mon ipfw, sa fonctionne pas il me bloque toujour
Back to top	IP Logged

Michel Senior Member Offline I Love YaBB 2! Posts: 253 Toulouse Gender:	Re: securite port ouvert Reply #12 - 04. Nov 2008 at 14:15 C'est quoi le contenu exact du fichier rc.firewall ?
Back to top	IP Logged

Dumpy

Senior Member

Offline

Posts: 313
GEMENOS
Gender: male

Re: securite port ouvert
Reply #13 - 04. Nov 2008 at 22:05

Quote:

Pour Firefox normalement il utilise le port 80

C'est un des Nos de port standard utilisé par un serveur HTTP pour recevoir une requete du client (Ton Firefox), qui lui communique le No de port sur lequel envoyer la réponse.
Firefox choisit des No de ports supérieurs à 1024.
En plus du port 80, il faut qu'il puisse recevoir les réponses (s'il y a plusieurs onglets d'ouverts) sur ceux ci. Donc lui laisser une plage de ports dans le firewall.

Je n'utilise plus ce brouteur, mais avec des ports "fixés", voir Network.security.ports.banned.override, sur le site de Mozillazine, celà permet une config. plus légère du firewall, parce que comme dit précédemment par David_Marec, ce n'est pas forcément simple. Sad

Back to top

Dumpy

IP Logged

David Marec

Senior Member

Offline

Posts: 386
Toulouse
Gender: male

Re: securite port ouvert
Reply #14 - 04. Nov 2008 at 22:38

Dumpy wrote on 04. Nov 2008 at 22:05:

Quote:

Pour Firefox normalement il utilise le port 80

C'est un des Nos de port standard utilisé par un serveur HTTP pour recevoir une requete du client (Ton Firefox), qui lui communique le No de port sur lequel envoyer la réponse.
Firefox choisit des No de ports supérieurs à 1024.
En plus du port 80, il faut qu'il puisse recevoir les réponses (s'il y a plusieurs onglets d'ouverts) sur ceux ci. Donc lui laisser une plage de ports dans le firewall.

Pourquoi s'emmerder avec ça ?
Qu'il autorise toutes les connexions sortantes...
( et le port DNS en entrée, un peu quand-même )
Le but est de fermer,
- en fait, avec un pare-feu: ne pas ouvrir. -
des ports serveurs ouverts par quelques démons.

Back to top

WWW

IP Logged

	Welcome, Guest. Please Login