J'ai deux portables (Windows 2000 et Windows XP SP2). S'ils sont
connectés à notre réseau local, le partage de fichiers doit être actif
dans les deux sens. Sinon (connexion par modem, connexion à un autre
LAN, etc.), Firefox et Thunderbird doivent pouvoir sortir, et toute
autre communication doit être interdite.
Bien sûr, tout ça doit se faire sans intervention de l'utilisateur.
J'imagine que cette configuration doit être assez courante ; aussi, si
quelqu'un a la solution miracle, je suis tout ouïe :-)
bonjour, peut-être en défrichant le site de Gibson Research ? bsx.
T0t0
"Fabien LE LEZ" wrote in message news:
J'ai deux portables (Windows 2000 et Windows XP SP2). S'ils sont connectés à notre réseau local, le partage de fichiers doit être actif dans les deux sens. Sinon (connexion par modem, connexion à un autre LAN, etc.), Firefox et Thunderbird doivent pouvoir sortir, et toute autre communication doit être interdite. Bien sûr, tout ça doit se faire sans intervention de l'utilisateur. J'imagine que cette configuration doit être assez courante ; aussi, si quelqu'un a la solution miracle, je suis tout ouïe :-)
C'est quoi la question en fait ? quel firewall ? quelle config ? Pour le firewall, j'opterais pour look'n'stop, pour la config, il y sur leur site des règles toute faites en fonction des protocoles. Tu peux voir là: <http://www.lalitte.com/fwperso.html> C'est assez facile à mettre en place. Attention, selon que tu fais le partage avec netbios/TCP/IP ou sans, je crois que les dialogues ne se font pas sur les même ports (445 ou 139 selon les cas) A voir.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Fabien LE LEZ" <gramster@gramster.com> wrote in message
news:9fier0dhcvfc67hr27hcmk1q47ev0rfbva@4ax.com
J'ai deux portables (Windows 2000 et Windows XP SP2). S'ils sont
connectés à notre réseau local, le partage de fichiers doit être actif
dans les deux sens. Sinon (connexion par modem, connexion à un autre
LAN, etc.), Firefox et Thunderbird doivent pouvoir sortir, et toute
autre communication doit être interdite.
Bien sûr, tout ça doit se faire sans intervention de l'utilisateur.
J'imagine que cette configuration doit être assez courante ; aussi, si
quelqu'un a la solution miracle, je suis tout ouïe :-)
C'est quoi la question en fait ? quel firewall ? quelle config ?
Pour le firewall, j'opterais pour look'n'stop, pour la config, il y
sur leur site des règles toute faites en fonction des protocoles.
Tu peux voir là:
<http://www.lalitte.com/fwperso.html>
C'est assez facile à mettre en place.
Attention, selon que tu fais le partage avec netbios/TCP/IP ou sans, je
crois que les dialogues ne se font pas sur les même ports (445 ou 139
selon les cas) A voir.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
J'ai deux portables (Windows 2000 et Windows XP SP2). S'ils sont connectés à notre réseau local, le partage de fichiers doit être actif dans les deux sens. Sinon (connexion par modem, connexion à un autre LAN, etc.), Firefox et Thunderbird doivent pouvoir sortir, et toute autre communication doit être interdite. Bien sûr, tout ça doit se faire sans intervention de l'utilisateur. J'imagine que cette configuration doit être assez courante ; aussi, si quelqu'un a la solution miracle, je suis tout ouïe :-)
C'est quoi la question en fait ? quel firewall ? quelle config ? Pour le firewall, j'opterais pour look'n'stop, pour la config, il y sur leur site des règles toute faites en fonction des protocoles. Tu peux voir là: <http://www.lalitte.com/fwperso.html> C'est assez facile à mettre en place. Attention, selon que tu fais le partage avec netbios/TCP/IP ou sans, je crois que les dialogues ne se font pas sur les même ports (445 ou 139 selon les cas) A voir.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Fabien LE LEZ
On 09 Dec 2004 09:16:00 GMT, "T0t0" :
C'est quoi la question en fait ?
Quel firewall permet de détecter que le portable est bien branché à mon LAN et de modifier ses règles en conséquence. J'imagine que la solution passe par un système d'authentification d'une des machines du LAN (typiquement, un serveur). Je vois ça comme ça : le portable tente de se connecter au serveur sur un port donné ; s'il y arrive, il demande au serveur de s'identifier (challenge-response par exemple). Si tout va bien, le firewall adopte des règles très lâches (échange de fichiers, accès aux imprimantes réseau, etc.) -- voire même, le firewall est désactivé. Si l'authentification échoue, le firewall reste actif avec des règles très strictes.
Evidemment, tout ça doit se faire automatiquement au démarrage de la machine, sans même que l'utilisateur ne connaisse le mot de passe d'accès à la configuration du firewall.
-- ;-)
On 09 Dec 2004 09:16:00 GMT, "T0t0" <bibi@antionline.org>:
C'est quoi la question en fait ?
Quel firewall permet de détecter que le portable est bien branché à
mon LAN et de modifier ses règles en conséquence.
J'imagine que la solution passe par un système d'authentification
d'une des machines du LAN (typiquement, un serveur). Je vois ça comme
ça : le portable tente de se connecter au serveur sur un port donné ;
s'il y arrive, il demande au serveur de s'identifier
(challenge-response par exemple). Si tout va bien, le firewall adopte
des règles très lâches (échange de fichiers, accès aux imprimantes
réseau, etc.) -- voire même, le firewall est désactivé. Si
l'authentification échoue, le firewall reste actif avec des règles
très strictes.
Evidemment, tout ça doit se faire automatiquement au démarrage de la
machine, sans même que l'utilisateur ne connaisse le mot de passe
d'accès à la configuration du firewall.
Quel firewall permet de détecter que le portable est bien branché à mon LAN et de modifier ses règles en conséquence. J'imagine que la solution passe par un système d'authentification d'une des machines du LAN (typiquement, un serveur). Je vois ça comme ça : le portable tente de se connecter au serveur sur un port donné ; s'il y arrive, il demande au serveur de s'identifier (challenge-response par exemple). Si tout va bien, le firewall adopte des règles très lâches (échange de fichiers, accès aux imprimantes réseau, etc.) -- voire même, le firewall est désactivé. Si l'authentification échoue, le firewall reste actif avec des règles très strictes.
Evidemment, tout ça doit se faire automatiquement au démarrage de la machine, sans même que l'utilisateur ne connaisse le mot de passe d'accès à la configuration du firewall.
-- ;-)
DAPL
Le Thu, 09 Dec 2004 10:14:42 +0000, Fabien LE LEZ a écrit :
Quel firewall permet de détecter que le portable est bien branché à mon LAN et de modifier ses règles en conséquence. J'imagine que la solution passe par un système d'authentification d'une des machines du LAN (typiquement, un serveur). Je vois ça comme ça : le portable tente de se connecter au serveur sur un port donné ; s'il y arrive, il demande au serveur de s'identifier (challenge-response par exemple). Si tout va bien, le firewall adopte des règles très lâches (échange de fichiers, accès aux imprimantes réseau, etc.) -- voire même, le firewall est désactivé. Si l'authentification échoue, le firewall reste actif avec des règles très strictes.
Evidemment, tout ça doit se faire automatiquement au démarrage de la machine, sans même que l'utilisateur ne connaisse le mot de passe d'accès à la configuration du firewall.
Pourquoi pas simplement en fonction des adresses IP ? Dans tous les cas, accepter les réponses aux paquets émis. Autoriser les paquets entrants venant de la plage d'adresse du LAN, donc non routable (style 192.168.10.x ou autre). Bloquer le reste du trafic entrant.
--
DAPL http://marreduspam.com/ad252602
Le Thu, 09 Dec 2004 10:14:42 +0000, Fabien LE LEZ a écrit :
Quel firewall permet de détecter que le portable est bien branché à
mon LAN et de modifier ses règles en conséquence.
J'imagine que la solution passe par un système d'authentification
d'une des machines du LAN (typiquement, un serveur). Je vois ça comme
ça : le portable tente de se connecter au serveur sur un port donné ;
s'il y arrive, il demande au serveur de s'identifier
(challenge-response par exemple). Si tout va bien, le firewall adopte
des règles très lâches (échange de fichiers, accès aux imprimantes
réseau, etc.) -- voire même, le firewall est désactivé. Si
l'authentification échoue, le firewall reste actif avec des règles
très strictes.
Evidemment, tout ça doit se faire automatiquement au démarrage de la
machine, sans même que l'utilisateur ne connaisse le mot de passe
d'accès à la configuration du firewall.
Pourquoi pas simplement en fonction des adresses IP ?
Dans tous les cas, accepter les réponses aux paquets émis.
Autoriser les paquets entrants venant de la plage d'adresse du LAN, donc
non routable (style 192.168.10.x ou autre).
Bloquer le reste du trafic entrant.
Le Thu, 09 Dec 2004 10:14:42 +0000, Fabien LE LEZ a écrit :
Quel firewall permet de détecter que le portable est bien branché à mon LAN et de modifier ses règles en conséquence. J'imagine que la solution passe par un système d'authentification d'une des machines du LAN (typiquement, un serveur). Je vois ça comme ça : le portable tente de se connecter au serveur sur un port donné ; s'il y arrive, il demande au serveur de s'identifier (challenge-response par exemple). Si tout va bien, le firewall adopte des règles très lâches (échange de fichiers, accès aux imprimantes réseau, etc.) -- voire même, le firewall est désactivé. Si l'authentification échoue, le firewall reste actif avec des règles très strictes.
Evidemment, tout ça doit se faire automatiquement au démarrage de la machine, sans même que l'utilisateur ne connaisse le mot de passe d'accès à la configuration du firewall.
Pourquoi pas simplement en fonction des adresses IP ? Dans tous les cas, accepter les réponses aux paquets émis. Autoriser les paquets entrants venant de la plage d'adresse du LAN, donc non routable (style 192.168.10.x ou autre). Bloquer le reste du trafic entrant.
--
DAPL http://marreduspam.com/ad252602
Steph
Autoriser les paquets entrants venant de la plage d'adresse du LAN, donc non routable (style 192.168.10.x ou autre). Bloquer le reste du trafic entrant.
Soi-disant non routable ! J'ai une 10zaine de spoofIP /jour (du 192.168, du 10...) stoppés par mon FW. Il lui faut un FW gérant 2 interfaces réseau, lan et www, et sur le www, interdire tous ces paquets MARTIAN en IN.
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Autoriser les paquets entrants venant de la plage d'adresse du LAN, donc
non routable (style 192.168.10.x ou autre).
Bloquer le reste du trafic entrant.
Soi-disant non routable ! J'ai une 10zaine de spoofIP /jour (du 192.168,
du 10...) stoppés par mon FW. Il lui faut un FW gérant 2 interfaces
réseau, lan et www, et sur le www, interdire tous ces paquets MARTIAN en IN.
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire
Autoriser les paquets entrants venant de la plage d'adresse du LAN, donc non routable (style 192.168.10.x ou autre). Bloquer le reste du trafic entrant.
Soi-disant non routable ! J'ai une 10zaine de spoofIP /jour (du 192.168, du 10...) stoppés par mon FW. Il lui faut un FW gérant 2 interfaces réseau, lan et www, et sur le www, interdire tous ces paquets MARTIAN en IN.
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Fabien LE LEZ
On 09 Dec 2004 12:59:53 GMT, DAPL :
Pourquoi pas simplement en fonction des adresses IP ?
Parce que l'adresse IP n'indique pas dans quel LAN on se trouve. Imagine que le commercial aille chez un client, et veuille se connecter à Internet en branchant son portable sur un LAN configuré de la même manière que le mien (192.168.0.0/24). Il se trouve en milieu hostile, et pourtant les adresses IP sont les mêmes.
-- ;-)
On 09 Dec 2004 12:59:53 GMT, DAPL <pasdespam@free.fr>:
Pourquoi pas simplement en fonction des adresses IP ?
Parce que l'adresse IP n'indique pas dans quel LAN on se trouve.
Imagine que le commercial aille chez un client, et veuille se
connecter à Internet en branchant son portable sur un LAN configuré de
la même manière que le mien (192.168.0.0/24). Il se trouve en milieu
hostile, et pourtant les adresses IP sont les mêmes.
Pourquoi pas simplement en fonction des adresses IP ?
Parce que l'adresse IP n'indique pas dans quel LAN on se trouve. Imagine que le commercial aille chez un client, et veuille se connecter à Internet en branchant son portable sur un LAN configuré de la même manière que le mien (192.168.0.0/24). Il se trouve en milieu hostile, et pourtant les adresses IP sont les mêmes.
-- ;-)
Cedric Blancher
Le Thu, 09 Dec 2004 14:15:41 +0000, Steph a écrit :
Soi-disant non routable !
Ces IPs sont routable. Elles ne sont juste pas routées sur Internet. Si ces IPs n'étaient pas routables, personne ne pourrait les utiliser, même en interne.
J'ai une 10zaine de spoofIP /jour (du 192.168, du 10...) stoppés par mon FW. Il lui faut un FW gérant 2 interfaces réseau, lan et www, et sur le www, interdire tous ces paquets MARTIAN en IN.
Rappel : le routage se fait en regardant l'adresse destination*, pas l'adresse source. Donc que des paquets arrivent avec du RFC1918 en source n'a rien à voir avec le fait que ces IPs soient routées ou non (en destination).
* sauf cas hyper-particulier qui ont rarement lieu sur les réseaux publics
-- BOFH excuse #321:
Scheduled global CPU outage
Le Thu, 09 Dec 2004 14:15:41 +0000, Steph a écrit :
Soi-disant non routable !
Ces IPs sont routable. Elles ne sont juste pas routées sur Internet. Si
ces IPs n'étaient pas routables, personne ne pourrait les utiliser, même
en interne.
J'ai une 10zaine de spoofIP /jour (du 192.168, du 10...) stoppés par
mon FW. Il lui faut un FW gérant 2 interfaces réseau, lan et www, et
sur le www, interdire tous ces paquets MARTIAN en IN.
Rappel : le routage se fait en regardant l'adresse destination*, pas
l'adresse source. Donc que des paquets arrivent avec du RFC1918 en source
n'a rien à voir avec le fait que ces IPs soient routées ou non (en
destination).
* sauf cas hyper-particulier qui ont rarement lieu sur les réseaux
publics
Le Thu, 09 Dec 2004 14:15:41 +0000, Steph a écrit :
Soi-disant non routable !
Ces IPs sont routable. Elles ne sont juste pas routées sur Internet. Si ces IPs n'étaient pas routables, personne ne pourrait les utiliser, même en interne.
J'ai une 10zaine de spoofIP /jour (du 192.168, du 10...) stoppés par mon FW. Il lui faut un FW gérant 2 interfaces réseau, lan et www, et sur le www, interdire tous ces paquets MARTIAN en IN.
Rappel : le routage se fait en regardant l'adresse destination*, pas l'adresse source. Donc que des paquets arrivent avec du RFC1918 en source n'a rien à voir avec le fait que ces IPs soient routées ou non (en destination).
* sauf cas hyper-particulier qui ont rarement lieu sur les réseaux publics
-- BOFH excuse #321:
Scheduled global CPU outage
Fabien LE LEZ
On 09 Dec 2004 14:15:41 GMT, Steph :
Il lui faut un FW gérant 2 interfaces réseau, lan et www
Même pas : une adresse 192.168.0.x n'appartient pas forcément à mon LAN, puisque le portable peut très bien se retrouver connecté sur le LAN d'un client, par exemple.
-- ;-)
On 09 Dec 2004 14:15:41 GMT, Steph
<steph@lavillerose.com.adressebidon.invalid>:
Il lui faut un FW gérant 2 interfaces
réseau, lan et www
Même pas : une adresse 192.168.0.x n'appartient pas forcément à mon
LAN, puisque le portable peut très bien se retrouver connecté sur le
LAN d'un client, par exemple.
Il lui faut un FW gérant 2 interfaces réseau, lan et www
Même pas : une adresse 192.168.0.x n'appartient pas forcément à mon LAN, puisque le portable peut très bien se retrouver connecté sur le LAN d'un client, par exemple.
