nat "dans le vide"

Le
Thomas
bonjour :-)


si je fait des redirections de ports "dans le vide" (cad qu'il n'y aura
pas tjr un logiciel pour écouter),
je ne risque rien ?

c'est pas seulement pour mon serveur web, c'est aussi pour du vnc en
mode écoute et pour du SIP

les logiciels ne seront pas tjr en train d'écouter,
mais par simplicité (si c'est pas trop dangereux) les ports seront tjr
redirigés sur ma freebox et tjr ouverts sur mon pare-feu

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Malcom
Le #886998
On 4 nov, 17:55, Thomas wrote:
bonjour :-)

si je fait des redirections de ports "dans le vide" (cad qu'il n'y aura
pas tjr un logiciel pour écouter),
je ne risque rien ?

c'est pas seulement pour mon serveur web, c'est aussi pour du vnc en
mode écoute et pour du SIP

les logiciels ne seront pas tjr en train d'écouter,
mais par simplicité (si c'est pas trop dangereux) les ports seront tjr
redirigés sur ma freebox et tjr ouverts sur mon pare-feu

--
j'agis contre l'assistanat, je travaille dans une SCOP !


Si tu rediriges tes ports dans le vide comme tu dis, il n'y y a pas de
raisons de douter de ta sécurité. En établissant des redirections sur
ton firewall tu ne fais que permettre l'accès à des ports locaux de
ton réseau. Si ceux ci sont fermés car les serveurs down, les clients
se verront retourner des timeouts.
Le vrai problème se situera plus vis à vis de tes clients qui vont
attendre tois plombes avant de se voir retourner un message d'erreur.
Ton firewall lui, continuera, en plus de ses redirections, son
travail de normalisation des paquets et éventuellement de lutte contre
les attaques de type DOS.

Vis à vis de la sécurité, je ne vois donc pas ou pourrait se situer le
problème !

JOORIS Emmanuel
Le #886997
On 4 nov, 17:55, Thomas wrote:
bonjour :-)

si je fait des redirections de ports "dans le vide" (cad qu'il n'y aura
pas tjr un logiciel pour écouter),
je ne risque rien ?

c'est pas seulement pour mon serveur web, c'est aussi pour du vnc en
mode écoute et pour du SIP

les logiciels ne seront pas tjr en train d'écouter,
mais par simplicité (si c'est pas trop dangereux) les ports seront tjr
redirigés sur ma freebox et tjr ouverts sur mon pare-feu

--
j'agis contre l'assistanat, je travaille dans une SCOP !


Si tu rediriges tes ports dans le vide comme tu dis, il n'y y a pas de
raisons de douter de ta sécurité. En établissant des redirections sur
ton firewall tu ne fais que permettre l'accès à des ports locaux de
ton réseau. Si ceux ci sont fermés car les serveurs down, les clients
se verront retourner des timeouts.


si la machine ne réponds pas derrière, il y aura un "No route to host"
(donc pas le timeout de 180s) et si le port est fermé ou bloqué et que
le firewall repond bien que le portest clos, pareil il n'y aura pas de
timeout mais un "Connection Refused" :)

Le vrai problème se situera plus vis à vis de tes clients qui vont
attendre tois plombes avant de se voir retourner un message d'erreur.
Ton firewall lui, continuera, en plus de ses redirections, son
travail de normalisation des paquets et éventuellement de lutte contre
les attaques de type DOS.

Vis à vis de la sécurité, je ne vois donc pas ou pourrait se situer le
problème !


même avis :)


Patrick 'Zener' Brunet
Le #886996
Bonsoir.

"JOORIS Emmanuel" 472eeae7$0$25926$
On 4 nov, 17:55, Thomas wrote:
si je fait des redirections de ports "dans le vide" (cad qu'il n'y aura
pas tjr un logiciel pour écouter),
je ne risque rien ?
[...]



si la machine ne réponds pas derrière, il y aura un "No route to host"
(donc pas le timeout de 180s) et si le port est fermé ou bloqué et que
le firewall repond bien que le portest clos, pareil il n'y aura pas de
timeout mais un "Connection Refused" :)



Est-ce un moyen valide de rendre "stealth" un port visible par un scanner de
ports comme étant bloqué ?

Beaucoup de routeurs (le Linksys BEFSX41 par exemple) laissent ainsi visible
le port 113, même si on ne l'utilise pas du tout.

A priori pas de danger d'intrusion ainsi, mais au moins une IP visible et
donc à marteler, pour ceux que ça amuse...

Merci.

--
Cordialement.
--
/**************************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
**************************************************/



JOORIS Emmanuel
Le #886802
Bonsoir.

"JOORIS Emmanuel" 472eeae7$0$25926$
On 4 nov, 17:55, Thomas wrote:
si je fait des redirections de ports "dans le vide" (cad qu'il n'y aura
pas tjr un logiciel pour écouter),
je ne risque rien ?
[...]



si la machine ne réponds pas derrière, il y aura un "No route to host"
(donc pas le timeout de 180s) et si le port est fermé ou bloqué et que
le firewall repond bien que le portest clos, pareil il n'y aura pas de
timeout mais un "Connection Refused" :)



Est-ce un moyen valide de rendre "stealth" un port visible par un
scanner de

ports comme étant bloqué ?


ca dépends des routeur/firewall, certain ne renvoie rien (donc timeout
et on fait croire que pas d'ip derrière) d'autre renvoie les codes
d'erreur comme il le faut, et d'autre le laisse choisir :)

Beaucoup de routeurs (le Linksys BEFSX41 par exemple) laissent ainsi
visible

le port 113, même si on ne l'utilise pas du tout.


il me semble que le 113 est le port des l'identd, utilisé par certain
serveur irc et configurer a attendre un timeout long (worldnet), donc si
le routeur ne renvoie pas une erreur, le serveur attend comme un con ;)

A priori pas de danger d'intrusion ainsi, mais au moins une IP visible et
donc à marteler, pour ceux que ça amuse...


je sais pas si mme michu vaux le coup d'être martelé, un server a plus
d'intérêt :)


Merci.


De rien :)




Thomas
Le #1571286
In article Malcom
On 4 nov, 17:55, Thomas wrote:
bonjour :-)

si je fait des redirections de ports "dans le vide" (cad qu'il n'y aura
pas tjr un logiciel pour écouter),
je ne risque rien ?

c'est pas seulement pour mon serveur web, c'est aussi pour du vnc en
mode écoute et pour du SIP

les logiciels ne seront pas tjr en train d'écouter,
mais par simplicité (si c'est pas trop dangereux) les ports seront tjr
redirigés sur ma freebox et tjr ouverts sur mon pare-feu


Si tu rediriges tes ports dans le vide comme tu dis, il n'y y a pas de
raisons de douter de ta sécurité. En établissant des redirections sur
ton firewall tu ne fais que permettre l'accès à des ports locaux de
ton réseau. Si ceux ci sont fermés car les serveurs down, les clients
se verront retourner des timeouts.

Le vrai problème se situera plus vis à vis de tes clients qui vont
attendre tois plombes avant de se voir retourner un message d'erreur.


pas de pb, ils doivent m'appeler avant :-)


Ton firewall lui, continuera, en plus de ses redirections, son
travail de normalisation des paquets et éventuellement de lutte contre
les attaques de type DOS.


je précise que j'ai pas de pare-feu matériel
j'ai juste une freebox en mode routeur et le pare-feu de mac os x :-)

est ce que ça fait tout ce que tu dis ?


Vis à vis de la sécurité, je ne vois donc pas ou pourrait se situer le
problème !


merci à tous :-)

--
j'agis contre l'assistanat, je travaille dans une SCOP !


Publicité
Poster une réponse
Anonyme