Author: Edgar Bonet Date: To: guilde Subject: Re: ouverture de ports depuis l'extérieur
Le jeudi 30 août, Alain Dieudonné a écrit : > la reponse à cette commande est assez longue et effectivement un peu
> compliquée (surtout que je suis un béotien en ce qui concerne le
> fonctionnement d'un firewall). Néanmoins, je ne trouve nulle par
> quelque chose qui ressemble aus ports que j'ai ouvert avec
> firestarter.
Si tu n'arrives pas à lire cette réponse, ne tire pas de conclusion. Tu
as des règles qui s'appliquent à des plages de ports, des comportements
par défaut (« policies »)... donc ce n'est pas parcequ'un port n'est pas
mentionné explicitement qu'il est fermé. Mais bon, il y a quand-même
présomption...
> > vérifie que quelqu'un écoute les ports en question (netstat -atu) ;
>
> Il n'y a que le port 5237 (udp6 0 0 *:5237 *:*) qui est ouvert (à tout
> le monde si j'ai bien compris), ni le 80 ni le 443 ne le sont.
C'est tout !?! Tu n'as pas vu de http ni de https ? Voilà ton premier
problème : ton logiciel qui était sensé ouvrir 80/tcp (c.-à-d. http),
443/tcp (https) et 5237/udp n'a ouvert que ce dernier. Il faut déjà que
tu débogues au niveau de ton logiciel. A-t-il des logs ?
> Est il possible qu'un autre firewall fonctionne en même temps que
> firestarter ?
D'autres t'ont expliqué que non. J'ajouterai que le firewall ne
fonctionne pas au même niveau que netstat. Pour netstat, la notion de
port « ouvert » est la notion classique sous Unix, ça veut dire qu'il y
a un processus qui est en écoute sur le port. Le firewall c'est autre
chose, tu peux le voir comme une barrière autour de ta machine, très en
amont, c'est à dire très bas dans la couche réseau. Un port peut très
bien être ouvert au sens netstat (un processus en écoute) et fermé au
niveau du firewall. Dans ce cas les paquets à destination de ce port
seront rejetés (ou détruits) par le firewall en amont. Ton processus
pourra écouter tant qu'il le souhaite, il ne recevra rien. A contrario,
si le port est ouvert par le firewall mais que personne n'écoute dessus,
toute tentative de connexion à ce port passera le firewall mais sera
refusée par le système (par la partie de la couche réseau qui existait
bien avant les firewalls).
Tout ça pour te dire que si ton logiciel ouvre le port 80, alors netstat
doit te le montrer, et ce quelle que soit la config du firewall. Et donc
si netstat te dit qu'il n'y a personne sur le 80, c'est qu'il n'y a
personne, pas la peine de chercher plus loin.