Discussion :

[pilou254]

Bonsoir,
je viens de tester Ubuntu sur un pc, chez moi, et je me suis aperçu, grâce au coupe-feu intégré à la distribution, que les tentatives extérieures de connexion à ma machine sont très nombreuses ... Aussi, comme j'utilise presque exclusivement mon mac (mac mini/G4/10.3.9) pour tout faire, j'aimerai bien savoir comment faire pour avoir un peu plus la main sur ce qui se passe lorsque mon mac est connecté à internet.
D'abord, j'aimerai pouvoir fermer tous les ports pour interdire toute communication réseau.
Ensuite, j'aimerai pouvoir ouvrir seulement le ou les ports strictement nécessaires pour lire mon courrier etc et rien d'autre.
Pour finir, de quelle manière peut-on observer vraiment ce qui se passe sur ma connexion ?

Voilà, si vous avez des idées, je suis preneur.

Merci d'avance pour votre aide.

[kOrt3x]

Je ne connais pas assez 10.3 pour t'expliquer, mais sous Leopard, il suffit d'aller dans les Préférences Systèmes > Sécurité pour accéder au paramètrage du pare feu.
Le paramètrage est assez simple, il permet d'autoriser la connexion pour tel applications.

[Ceylo]

Si j'ai bon souvenir... sous Mac OS X 10.3 c'est dans Préférences Système > Partage, puis deuxième onglet -> Activer/désactiver le pare-feu. Ensuite pour débloquer un port il faut ajouter des services et indiquer le numéro de port correspondant. À noter que ce déblocage ne sert qu'aux logiciels serveurs (le pare-feu ne bloque que les connexions entrantes), si tu ne te sers d'aucun, tu n'as rien de plus à faire que d'activer le pare-feu.

[pilou254]

C'est ce que je me suis empressé de faire dès le début mais apparemment ça ne suffit pas. A moins de créer une nouvelle règle interdisant toute communication réseau dans la plage 0-65535 ? Sinon, si j'optais pour un petit pare-feu matériel dédié, administrable depuis une interface web, du genre IPCOP (si je ne me trompe pas), qu'en pensez-vous ? Est-ce que le prix en vaut la chandelle ?

Merci.

[Ceylo]

C'est ce que je me suis empressé de faire dès le début mais apparemment ça ne suffit pas.

Qu'est-ce qui te fait dire ça ?

Sinon, si j'optais pour un petit pare-feu matériel dédié, administrable depuis une interface web, du genre IPCOP (si je ne me trompe pas), qu'en pensez-vous ? Est-ce que le prix en vaut la chandelle ?

Si ton ordinateur ne sert pas de serveur (et donc potentiellement cible d'attaques plus sérieuses), non.

[pilou254]

Et bien parce que lorsque je démarre le coupe-feu et que je n'autorise aucun services, Unison, par exemple, fonctionne très bien, VLC également (pour regarder la télé sur le net). Mais je suis peut être à côté de la plaque, étant tout sauf un spécialiste.

[pilou254]

Voilà ce que me renvoie la commande "sudo /sbin/ipfw list":

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
02000 allow ip from any to any via lo*
02010 deny ip from 127.0.0.0/8 to any in
02020 deny ip from any to 127.0.0.0/8 in
02030 deny ip from 224.0.0.0/3 to any in
02040 deny tcp from any to 224.0.0.0/3 in
02050 allow tcp from any to any out
02060 allow tcp from any to any established
12190 deny tcp from any to any
65535 allow ip from any to any

Je n'ai pas les connaissances pour pouvoir l'interpréter correctement, qu'en pensez-vous ?

En fait, je vais essayer de t'exposer les choses, surement de manière très maladroite, à l'aide d'une analogie, pour expliquer ce à quoi j'aimerais arriver.

Un radio amateur peut émettre et recevoir des informations, y compris en numérique, si j'ai bien compris mon voisin, et décider quel type de protocole utiliser, sur tel canal, dans telle bande de fréquences. Il peut aussi décider de mettre son poste d'émission-réception en "standby", le poste est sous tension mais il ne reçoit rien, n'émet rien, et sa présence n'est indiqué à personne, histoire de ne pas entendre de bruits et autre chose dans le haut parleur alors qu'il est concentré sur autre chose (des transistors à ressouder etc ...).

Dans mon cas, j'aimerais pouvoir utiliser mon interface Ethernet de la même façon:
- activer/désactiver l'interface, rien ne rentre, rien ne sort (j'utilisais une commande dans un terminal sous linux pour faire ça "down" + qqch, mais je ne me souviens plus)
- activer eth0, n'autoriser que le protocole TCP sur le port 80, juste pour surfer et consulter mon courrier en webmail.
- idem pour la tv par adsl, pour Unison etc ...
Mais un seul service à la fois tout en interdisant toute communication sortante sauf cas exceptionnel.

Bon, ma description est surement mal construite mais dans les grandes lignes, c'est le principe.

J'ai la possibilité, après contact avec l'éditeur, d'acheter NetBarrier X4 pour 10.3.9 pour 65 Euros. Penses-tu que cela puisse faire l'affaire ?

[Ceylo]

Et bien parce que lorsque je démarre le coupe-feu et que je n'autorise aucun services, Unison, par exemple, fonctionne très bien, VLC également (pour regarder la télé sur le net). Mais je suis peut être à côté de la plaque, étant tout sauf un spécialiste.

Parce que le pare-feu ne bloque que les connexions venant de l'extérieur, donc il est absolument normal que tu puisses toujours utiliser pleinement tes applications internet (les connexions viennent de ton ordinateurs).

Si tu as un autre ordinateur à disposition, connecte le à l'intérieur du réseau local et testes l'outil ping (/Applications/Utilitaires/Utilitaire Réseau, onglet ping). Tu verras qu'il n'y a pas de réponse de la part de l'ordinateur sur lequel tu as activé le firewall.

En tout cas personnellement je ne vois pas l'intérêt de limiter les connexions sortantes.

[pilou254]

Merci pour ta réponse.
Tu as une idée de la manière dont je pourrai utiliser mon interface Ethernet en "tout ou rien", comme je l'ai maladroitement décrit précédemment ?

[Ceylo]

Non. Et je le répète, je n'en vois pas l'intérêt.

[pilou254]

Désolé, j'avais cru lire qu'il te semblait, seulement, sans intérêt de gérer également les connexions sortantes.
Maintenant, je comprend tout à fait que tu ne vois aucun intérêt à vouloir activer et désactiver son interface Ethernet mais si tu pouvais m'orienter pour trouver la réponse, j'apprécierai, sans vouloir te forcer la main, c'est juste pour avancer dans mon idée. Peut être qu'à l'usage, j'arriverai a la même conclusion que toi. Au fait, quelqu'un utilise NetBarrier ici ?
Merci.

[kOrt3x]

Désolé, j'avais cru lire qu'il te semblait, seulement, sans intérêt de gérer également les connexions sortantes.
Maintenant, je comprend tout à fait que tu ne vois aucun intérêt à vouloir activer et désactiver son interface Ethernet mais si tu pouvais m'orienter pour trouver la réponse, j'apprécierai, sans vouloir te forcer la main, c'est juste pour avancer dans mon idée. Peut être qu'à l'usage, j'arriverai a la même conclusion que toi. Au fait, quelqu'un utilise NetBarrier ici ?
Merci.

Non, je n'utilise pas NetBarrier, ni aucun autre Firewall, mon routeur me suffit (enfin j'espère) :p

[pilou254]

Si je ne me trompe pas, la freebox possède une option routeur, tu penses que l'on peut s'en servir pour sécuriser sa machine ?

[pilou254]

Je viens de franchir le pas et de configurer ma box en routeur, si vraiment ça apporte un niveau supérieur de protection, pour ce que ça coûte ...
L'ip de la box est 192.168.xxx.xxx.
Le dhcp est activé, pas d'ip dmz, pas d'ip pour le freeplayer, pas de réponse au ping, pas de wol, pas d'upnp, pas de redirection de ports ni de plage de port, pas de bail dhcp permanent non plus.

Apparement, Unison ne veut plus fonctionner, il semble que le port 119 doit être ouvert et redirigé vers l'ip de mon mac, si j'ai bien tout compris, quelqu'un peut me confirmer ?

L'ip de la box qui apparait sur le panneau de configuration du routeur, c'est bien celle côté LAN ?

Lorsque je me connecte sur http://www.frameip.com/mon-adresse-ip-internet/, voilà le résultat:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Mon adresse IP Internet
Votre adresse IP :82.234.xxx.x
Ptr associé :ven06-1-82-234-xxx-x.fbx.proxad.net
L'adresse IP de votre proxy :Aucun
Ptr associé :Aucun
Port TCP source utilisé :49770
Version du browser :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; fr; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20

Je viens de remarquer que le port "TCP source" n'est jamais le même, à quoi cela correspond t-il ?

Dans cet article :
http://www.frameip.com/firewall/,
il apparait que les "firewalls matériels" avec, cerise sur le gâteau, un routeur intégré (ou bien un routeur avec un firewall embarqué, c'est peut être plus juste ...) apporte un niveau de protection le plus élevé de toutes les solutions envisageables.
J'ai ,commencé à regarder les prix chez :
http://www.ldlc.com/cat/140202.html pour les firewalls et là:
http://www.ldlc.com/cat/140107.html pour les routeurs.
Apparemment, il y en a pour tous les goûts, à tous les prix ...
Quelqu'un aurait-il une expérience qui pourrait m'aider à faire un choix ? (j'aimerai bien un routeur avec firewall intégré pour un budget maximum de 300 Euros).

Merci d'avance pour vos réponses.