Re: ouverture de ports depuis l'extérieur

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: ouverture de ports depuis l'extérieur
    Bonsoir Alain

guilde a écrit :
> Le jeudi 30 août 2007 à 13:29 +0200, Edgar Bonet a écrit :
>> Le jeudi 30 août, Alain Dieudonné a écrit :
>>> 1) comment vérifier que le firewall a bien ouvert les ports sur ma
>>> machine?
>> iptables -L -v
>
> la reponse à cette commande est assez longue et effectivement un peu
> compliquée (surtout que je suis un béotien en ce qui concerne le
> fonctionnement d'un firewall). Néanmoins, je ne trouve nulle par quelque
> chose qui ressemble aus ports que j'ai ouvert avec firestarter.


    Ce n'est pas bon...


>> Si l'output est trop compliqué à lire, il faut tester :
>>
>> - vérifie que quelqu'un écoute les ports en question (netstat -atu) ;
>
> Il n'y a que le port 5237 (udp6 0 0 *:5237 *:*) qui est ouvert (à tout
> le monde si j'ai bien compris), ni le 80 ni le 443 ne le sont.


    Essayes les commandes suivantes (en temps que root) :
netstat -taupn |grep :80
netstat -taupn |grep :443
le paramètre "-n" ne tentera pas de traduire le ":80"/":443" en
":http"/":https"


> Est il possible qu'un autre firewall fonctionne en même temps que
> firestarter? à la lecture d la liste des processus, il ne me semble pas,
> mais bon!


    Non : Sous Linux, il n'y a qu'un seul firewall, c'est netfilter. Et
"iptables" est la manière de dialoguer avec lui.


    Si tu veux un tutoriel assez complet sur le firewall sous Linux, je te
conseille de lire ma documentation :
http://olivieraj.free.fr/fr/linux/information/firewall/ et plus
particulièrement à partir de
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03.html


>> - depuis une autre machine, essaye telnet sur ces ports ;
>
> je n'ai pas. Dans cette configuration de test, j'ai branché ma machine
> de test directement sur la freebox pour ne pas avoir en plus la
> redirection à faire dans le routeur wifi qui est derrière la freebox
> (routeur elle aussi)


    Donnes-moi ton adresse IP (en privée). Je peux faire un port scanning
sur tes ports.  Ou mieux : Lance le "Advanced port scanner" test de
Pcfank : http://www.pcflank.com/scanner1.htm (test uniquement le port
443). Et en parallèle, tu vérifies si tu reçois des paquets à
destination du port 443 :


tcpdump -i eth0 -n tcp port 443

Si tu veux tester aussi le port 80, tu peux le faire, mais il faudrait
une règle de filtrage un peu plus complexe pour tcpdump :

tcpdump -i eth0 -n tcp dst port 443 and dst host 192.168.0.129

    Ces 2 tests permettrons de savoir les ta freebox fait bien le "port
forwarding" tel que tu le lui a demandé.


    Par contre, "tcpdump" fonctionnant en mode "promiscious", c'est à dire
en-dessous du niveau de netfilter, tu verras les paquets arriver, MEME
avec un firewall bloquant tout.



>> Tu peux avoir wireshark ou tcpdump qui tournent pendant que tu testes,
>> ça te permettra de voir ce qui passe dans le réseau.
>>
>>> 3) est ce dangereux de laisser ces ports ouverts (cette question
>>> devrait peut être passer en préambule)
>> Ça peut l'être. Tout dépend du logiciel qui est à l'écoute derrière ces
>> ports, de ce qu'il fait des données qu'il lit, de ses bogues ou chevaux
>> de troie... La précaution standard est de bien lui faire les mises à
>> jour sécurité dès qu'elles sortent.
>
> OK, je tiendrai compte de cet avertissement dans mon choix ou pas de
> qnext.


    Il existe de nombreuses manière de sécuriser une APPLICATION, afin
qu'elle ne fasse pas n'importe quoi. J'en parle dans cette partie-la de
ma documentation :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02.html


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!