Sur le réseau familial, un de mes fils a un serveur de jeux
(fonctionnant sur un PC sous win7) et utilisant le port 444.
Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur
le port 444 !
Et cela passe, ses amis se connectent sur son serveur en passant par ma
passerelle sous shorewall ! !!
Une idée ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100629140841.GA13928@zulian.com
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
a écrit :
Sur le réseau familial, un de mes fils a un serveur de jeux (fonctionnant sur un PC sous win7) et utilisant le port 444.
Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur le port 444 !
Et cela passe, ses amis se connectent sur son serveur en passant par ma passerelle sous shorewall ! !!
TCP ou UDP ? Y a-t-il un serveur central qui fait la mise en relation des postes clients et serveurs ou bien les postes clients se connectent-ils directement au poste serveur en spécifiant son adresse IP publique ?
Dans le premier cas, le jeu pourrait exploiter un mécanisme de "NAT traversal" de type STUN ou équivalent : le serveur central connaît les adresses IP publiques des postes clients et les communique au poste serveur qui peut initier une connexion sortante à travers le pare-feu (hole punching), ce qui permet aux postes clients de communiquer avec lui. Ça marche assez bien en UDP, pas forcément aussi bien en TCP.
Dans le second cas, j'ai pas d'idée...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Salut,
f1sxo@zulian.com a écrit :
Sur le réseau familial, un de mes fils a un serveur de jeux
(fonctionnant sur un PC sous win7) et utilisant le port 444.
Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur
le port 444 !
Et cela passe, ses amis se connectent sur son serveur en passant par ma
passerelle sous shorewall ! !!
TCP ou UDP ?
Y a-t-il un serveur central qui fait la mise en relation des postes
clients et serveurs ou bien les postes clients se connectent-ils
directement au poste serveur en spécifiant son adresse IP publique ?
Dans le premier cas, le jeu pourrait exploiter un mécanisme de "NAT
traversal" de type STUN ou équivalent : le serveur central connaît les
adresses IP publiques des postes clients et les communique au poste
serveur qui peut initier une connexion sortante à travers le pare-feu
(hole punching), ce qui permet aux postes clients de communiquer avec
lui. Ça marche assez bien en UDP, pas forcément aussi bien en TCP.
Dans le second cas, j'ai pas d'idée...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4C2A0AB3.6070909@plouf.fr.eu.org
Sur le réseau familial, un de mes fils a un serveur de jeux (fonctionnant sur un PC sous win7) et utilisant le port 444.
Pourtant je n'ai aucune ligne sous shorewall autorisant du trafic sur le port 444 !
Et cela passe, ses amis se connectent sur son serveur en passant par ma passerelle sous shorewall ! !!
TCP ou UDP ? Y a-t-il un serveur central qui fait la mise en relation des postes clients et serveurs ou bien les postes clients se connectent-ils directement au poste serveur en spécifiant son adresse IP publique ?
Dans le premier cas, le jeu pourrait exploiter un mécanisme de "NAT traversal" de type STUN ou équivalent : le serveur central connaît les adresses IP publiques des postes clients et les communique au poste serveur qui peut initier une connexion sortante à travers le pare-feu (hole punching), ce qui permet aux postes clients de communiquer avec lui. Ça marche assez bien en UDP, pas forcément aussi bien en TCP.
Dans le second cas, j'ai pas d'idée...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Sylvain Sauvage
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST
Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que lâadmin ;o)
-- Sylvain Sauvage
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST
Mais si, au moins deux : 1. mauvais admin, changer admin
(après tout, on ne sait pas ce que fait son pare-feu), et,
2. fiston plus malin que lâadmin ;o)
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100629171018.0a6d36f1@ithil
Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que lâadmin ;o)
-- Sylvain Sauvage
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Kevin Hinault
Le 29 juin 2010 16:08, a écrit :
Une idée ?
UPnP peut être ?
-- Kévin
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 29 juin 2010 16:08, <f1sxo@zulian.com> a écrit :
Une idée ?
UPnP peut être ?
--
Kévin
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTilrSjfbyGG9YqT_zOn2V3gBS5tLEgqSALHnDn3t@mail.gmail.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Frédéric ZULIAN
Le Tue, Jun 29, 2010 at 05:10:18PM +0200, Sylvain Sauvage écrivait :
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST > > Salut,
???lut,
>[???] > Dans le second cas, j'ai pas d'idée...
Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que l???admin ;o)
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le Tue, Jun 29, 2010 at 05:10:18PM +0200, Sylvain Sauvage écrivait :
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST
>
> Salut,
???lut,
>[???]
> Dans le second cas, j'ai pas d'idée...
Mais si, au moins deux : 1. mauvais admin, changer admin
(après tout, on ne sait pas ce que fait son pare-feu), et,
2. fiston plus malin que l???admin ;o)
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100630110001.GA21214@zulian.com
Le Tue, Jun 29, 2010 at 05:10:18PM +0200, Sylvain Sauvage écrivait :
Pascal Hambourg, mardi 29 juin 2010, 17:01:07 CEST > > Salut,
???lut,
>[???] > Dans le second cas, j'ai pas d'idée...
Mais si, au moins deux : 1. mauvais admin, changer admin (après tout, on ne sait pas ce que fait son pare-feu), et, 2. fiston plus malin que l???admin ;o)
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Pascal Hambourg
Frédéric ZULIAN a écrit :
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
<http://fr.wikipedia.org/wiki/Hamachi> C'est une espèce de VPN avec serveur central, donc pour le pare-feu c'est juste une connexion sortante (ça rejoint ma première hypothèse). Tu filtres quoi en sortie vers internet ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Frédéric ZULIAN a écrit :
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
<http://fr.wikipedia.org/wiki/Hamachi>
C'est une espèce de VPN avec serveur central, donc pour le pare-feu
c'est juste une connexion sortante (ça rejoint ma première hypothèse).
Tu filtres quoi en sortie vers internet ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4C2B2806.8020602@plouf.fr.eu.org
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
<http://fr.wikipedia.org/wiki/Hamachi> C'est une espèce de VPN avec serveur central, donc pour le pare-feu c'est juste une connexion sortante (ça rejoint ma première hypothèse). Tu filtres quoi en sortie vers internet ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Yves Rutschle
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote:
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
Sans doute une connection sortante vers un port 443 vers les "pairs" ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS.
C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443.
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote:
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
Sans doute une connection sortante vers un port 443 vers les
"pairs" ou via un serveur exterieur, et sans doute en
utilisant autre chose que du HTTPS.
C'est très, très dur de controller ce genre de chose. Ou
alors il faut bloquer le port 443.
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100630112116.GL11588@naryves.com
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote:
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Firewall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
Sans doute une connection sortante vers un port 443 vers les "pairs" ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS.
C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443.
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Christophe
Le mercredi 30 juin 2010 à 13:21 +0200, Yves Rutschle a écrit :
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote: > Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est > "Le logiciel n'impressionne pas par son interface, très sommaire, mais > plutôt par sa capacité à traverser sans aucun souci routeur et Firewall > en cascade" > > http://www.clubic.com/telecharger-fiche14515-hamachi.html > > Comment fait-il donc pour contourner ma config de shorewall ?
Sans doute une connection sortante vers un port 443 vers les "pairs" ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS.
C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443.
Y.
Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais.
Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors...
Christophe
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le mercredi 30 juin 2010 à 13:21 +0200, Yves Rutschle a écrit :
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote:
> Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
> "Le logiciel n'impressionne pas par son interface, très sommaire, mais
> plutôt par sa capacité à traverser sans aucun souci routeur et Firewall
> en cascade"
>
> http://www.clubic.com/telecharger-fiche14515-hamachi.html
>
> Comment fait-il donc pour contourner ma config de shorewall ?
Sans doute une connection sortante vers un port 443 vers les
"pairs" ou via un serveur exterieur, et sans doute en
utilisant autre chose que du HTTPS.
C'est très, très dur de controller ce genre de chose. Ou
alors il faut bloquer le port 443.
Y.
Ce machin tente un peu tout :
https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0
A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs,
puis, une fois les serveurs contactés,
B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon
UDP 17771 ou TCP 443 vers des serveurs relais.
Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs
autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller
Windows Update entre autres !). Tu peux aussi construire une liste
d'adresses de destination autorisées pour le 443, mais bon courage
alors...
Christophe
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1277901109.2900.21.camel@hp6830s.herblain.cdjh.info
Le mercredi 30 juin 2010 à 13:21 +0200, Yves Rutschle a écrit :
On Wed, Jun 30, 2010 at 01:00:01PM +0200, Frédéric ZULIAN wrote: > Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est > "Le logiciel n'impressionne pas par son interface, très sommaire, mais > plutôt par sa capacité à traverser sans aucun souci routeur et Firewall > en cascade" > > http://www.clubic.com/telecharger-fiche14515-hamachi.html > > Comment fait-il donc pour contourner ma config de shorewall ?
Sans doute une connection sortante vers un port 443 vers les "pairs" ou via un serveur exterieur, et sans doute en utilisant autre chose que du HTTPS.
C'est très, très dur de controller ce genre de chose. Ou alors il faut bloquer le port 443.
Y.
Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais.
Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors...
Christophe
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Michel OLTRA
Bonjour,
Le mercredi 30 juin 2010, Christophe a écrit...
> C'est très, très dur de controller ce genre de chose. Ou > alors il faut bloquer le port 443. > Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais.
Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors...
N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
Le mercredi 30 juin 2010, Christophe a écrit...
> C'est très, très dur de controller ce genre de chose. Ou
> alors il faut bloquer le port 443.
>
Ce machin tente un peu tout :
https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0
A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs,
puis, une fois les serveurs contactés,
B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon
UDP 17771 ou TCP 443 vers des serveurs relais.
Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs
autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller
Windows Update entre autres !). Tu peux aussi construire une liste
d'adresses de destination autorisées pour le 443, mais bon courage
alors...
N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la
couche applicative ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100630124828.GN28537@espinasse
> C'est très, très dur de controller ce genre de chose. Ou > alors il faut bloquer le port 443. > Ce machin tente un peu tout : https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0 A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, puis, une fois les serveurs contactés, B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon UDP 17771 ou TCP 443 vers des serveurs relais.
Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller Windows Update entre autres !). Tu peux aussi construire une liste d'adresses de destination autorisées pour le 443, mais bon courage alors...
N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Christophe
Le mercredi 30 juin 2010 à 14:48 +0200, Jean-Michel OLTRA a écrit :
Bonjour,
Bonjour,
Le mercredi 30 juin 2010, Christophe a écrit...
> > C'est très, très dur de controller ce genre de chose. Ou > > alors il faut bloquer le port 443. > > > Ce machin tente un peu tout : > https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0 > A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, > puis, une fois les serveurs contactés, > B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon > UDP 17771 ou TCP 443 vers des serveurs relais.
> Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs > autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller > Windows Update entre autres !). Tu peux aussi construire une liste > d'adresses de destination autorisées pour le 443, mais bon courage > alors...
N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ?
Si, il y a bien xtables-addons et son module ipp2p, et layer7. Mais je ne crois pas qu'ils connaissent hamachi. On peut toujours écrire ses propres règles de détection pour layer7, ceci dit ! Mais il faut encore trouver quoi mettre dedans...
Christophe
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le mercredi 30 juin 2010 à 14:48 +0200, Jean-Michel OLTRA a écrit :
Bonjour,
Bonjour,
Le mercredi 30 juin 2010, Christophe a écrit...
> > C'est très, très dur de controller ce genre de chose. Ou
> > alors il faut bloquer le port 443.
> >
> Ce machin tente un peu tout :
> https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0
> A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs,
> puis, une fois les serveurs contactés,
> B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon
> UDP 17771 ou TCP 443 vers des serveurs relais.
> Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs
> autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller
> Windows Update entre autres !). Tu peux aussi construire une liste
> d'adresses de destination autorisées pour le 443, mais bon courage
> alors...
N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la
couche applicative ?
Si, il y a bien xtables-addons et son module ipp2p, et layer7. Mais je
ne crois pas qu'ils connaissent hamachi.
On peut toujours écrire ses propres règles de détection pour layer7,
ceci dit ! Mais il faut encore trouver quoi mettre dedans...
Christophe
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1277905327.2900.28.camel@hp6830s.herblain.cdjh.info
Le mercredi 30 juin 2010 à 14:48 +0200, Jean-Michel OLTRA a écrit :
Bonjour,
Bonjour,
Le mercredi 30 juin 2010, Christophe a écrit...
> > C'est très, très dur de controller ce genre de chose. Ou > > alors il faut bloquer le port 443. > > > Ce machin tente un peu tout : > https://logmeinsupport.com/kblive/crm/selfservice/displaywh.jsp?DocIdg0 > A) TCP 12975, 32976, voire 443 en sortant pour contacter les serveurs, > puis, une fois les serveurs contactés, > B) UDP (numéro de port imprévisible) vers les pairs si possible, sinon > UDP 17771 ou TCP 443 vers des serveurs relais.
> Il faudrait bloquer les 3 ports (A) en sortie hormis pour les PCs > autorisés, mais il n'aurait plus d'accès aux sites en HTTPS (surveiller > Windows Update entre autres !). Tu peux aussi construire une liste > d'adresses de destination autorisées pour le 443, mais bon courage > alors...
N'y a t-il pas des modules iptables qui permettent d'attaquer/filtrer la couche applicative ?
Si, il y a bien xtables-addons et son module ipp2p, et layer7. Mais je ne crois pas qu'ils connaissent hamachi. On peut toujours écrire ses propres règles de détection pour layer7, ceci dit ! Mais il faut encore trouver quoi mettre dedans...
Christophe
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Papinux
Le Wed, 30 Jun 2010 13:00:01 +0200, Frédéric ZULIAN a écrit :
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Fire wall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
salut,
hamachi permet de créer un vpn. Comme il se connecte sur un serveur central via un des ports normalement autorisés (ie 443), il suffit de repérer les adresses IP de cette société. En l'occurrence, voici celles que j'ai: 64.94.18.0/24, 74.201.74.0/23, 77.242.192.0/23
quelques règles iptables et l'affaire est dans la sac.
Ceci a un avantage, il est impossible de se connecter sur leurs sites internet (comme https://secure.logmein.com) .
Un peu brutal ,je vous l'accorde, mais depuis impossible de s'y connecter.
@+
-- Px
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le Wed, 30 Jun 2010 13:00:01 +0200, Frédéric ZULIAN a écrit :
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est
"Le logiciel n'impressionne pas par son interface, très sommaire, mais
plutôt par sa capacité à traverser sans aucun souci routeur et Fire wall
en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
salut,
hamachi permet de créer un vpn. Comme il se connecte sur un serveur
central via un des ports normalement autorisés (ie 443), il suffit de
repérer les adresses IP de cette société.
En l'occurrence, voici celles que j'ai:
64.94.18.0/24, 74.201.74.0/23, 77.242.192.0/23
quelques règles iptables et l'affaire est dans la sac.
Ceci a un avantage, il est impossible de se connecter sur leurs sites
internet (comme https://secure.logmein.com) .
Un peu brutal ,je vous l'accorde, mais depuis impossible de s'y
connecter.
@+
--
Px
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100702174512.64ca7466@lucifer
Le Wed, 30 Jun 2010 13:00:01 +0200, Frédéric ZULIAN a écrit :
Ben il a installé sur son PC une appli "Hamachi" dont le descriptif est "Le logiciel n'impressionne pas par son interface, très sommaire, mais plutôt par sa capacité à traverser sans aucun souci routeur et Fire wall en cascade"
Comment fait-il donc pour contourner ma config de shorewall ?
salut,
hamachi permet de créer un vpn. Comme il se connecte sur un serveur central via un des ports normalement autorisés (ie 443), il suffit de repérer les adresses IP de cette société. En l'occurrence, voici celles que j'ai: 64.94.18.0/24, 74.201.74.0/23, 77.242.192.0/23
quelques règles iptables et l'affaire est dans la sac.
Ceci a un avantage, il est impossible de se connecter sur leurs sites internet (comme https://secure.logmein.com) .
Un peu brutal ,je vous l'accorde, mais depuis impossible de s'y connecter.
@+
-- Px
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/