bonjour,
je m'adresse à vous au cas ou vous pourriez m'éclaircir sur un petit détail
qui eveille ma curiosité, rien de grave:
j'utilise kerio 4, et j'ai fais une regle généraliste concernant le DNS (
udp port 53 des dns de mon FAI, dans les deux sens, pour toute application),
seulement certaines applications, et plus particulierement les navigateurs
IE et myIE2 semblent parfois ne pas prendre en compte la regle puisque kerio
me balance une alerte pour le DNS. Pourquoi?
Au passage, j'ai une autre question, concernant messenger: savez-vous
pourquoi l'application cherche à se connecter sur le port 9 (discard) d'une
adresse distante?
Merci pour vos eventuelles réponses. ++
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"clement" wrote in message news:ca7a2f$2nv2$
j'utilise kerio 4, et j'ai fais une regle généraliste concernant le DNS ( udp port 53 des dns de mon FAI, dans les deux sens, pour toute application)
Pourquoi pour toute application ? Seul le resolver local doit avoir besoin de faire des requêtes.
seulement certaines applications, et plus particulierement les navigateurs IE et myIE2 semblent parfois ne pas prendre en compte la regle puisque kerio me balance une alerte pour le DNS. Pourquoi?
Parce que vous n'avez pas autorisé le port 53 TCP. Le problème a souvent été évoqué avec un exemple présenté par Nicob, à rechercher dans les archives. Si la réponse DNS du serveur excède 512 octets, le serveur te demande de réémettre ta requête en TCP, et là, ton firewall te bloque.
Au passage, j'ai une autre question, concernant messenger: savez-vous pourquoi l'application cherche à se connecter sur le port 9 (discard) d'une adresse distante?
Bizarre, mais je ne connais pas le fonctionnement de messenger...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"clement" <clemche@hotmail.com> wrote in message
news:ca7a2f$2nv2$1@biggoron.nerim.net
j'utilise kerio 4, et j'ai fais une regle généraliste concernant le DNS (
udp port 53 des dns de mon FAI, dans les deux sens, pour toute application)
Pourquoi pour toute application ?
Seul le resolver local doit avoir besoin de faire des requêtes.
seulement certaines applications, et plus particulierement les navigateurs
IE et myIE2 semblent parfois ne pas prendre en compte la regle puisque kerio
me balance une alerte pour le DNS. Pourquoi?
Parce que vous n'avez pas autorisé le port 53 TCP.
Le problème a souvent été évoqué avec un exemple présenté par Nicob, à
rechercher dans les archives. Si la réponse DNS du serveur excède
512 octets, le serveur te demande de réémettre ta requête en TCP, et
là, ton firewall te bloque.
Au passage, j'ai une autre question, concernant messenger: savez-vous
pourquoi l'application cherche à se connecter sur le port 9 (discard) d'une
adresse distante?
Bizarre, mais je ne connais pas le fonctionnement de messenger...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
j'utilise kerio 4, et j'ai fais une regle généraliste concernant le DNS ( udp port 53 des dns de mon FAI, dans les deux sens, pour toute application)
Pourquoi pour toute application ? Seul le resolver local doit avoir besoin de faire des requêtes.
seulement certaines applications, et plus particulierement les navigateurs IE et myIE2 semblent parfois ne pas prendre en compte la regle puisque kerio me balance une alerte pour le DNS. Pourquoi?
Parce que vous n'avez pas autorisé le port 53 TCP. Le problème a souvent été évoqué avec un exemple présenté par Nicob, à rechercher dans les archives. Si la réponse DNS du serveur excède 512 octets, le serveur te demande de réémettre ta requête en TCP, et là, ton firewall te bloque.
Au passage, j'ai une autre question, concernant messenger: savez-vous pourquoi l'application cherche à se connecter sur le port 9 (discard) d'une adresse distante?
Bizarre, mais je ne connais pas le fonctionnement de messenger...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
clement
bonjour et merci d'avoir répondu.
Pourquoi pour toute application ? Seul le resolver local doit avoir besoin de faire des requêtes.
Toutes mes applications font une requete DNS au besoin, en fait c'est peut-etre à cause de la désactivation du service windows "client DNS".
Parce que vous n'avez pas autorisé le port 53 TCP.
Effectivement, je vais essayer ça, mais ce qui est bizzard, c'est que j'ai fais une regle DNS pour mon navigateur en UDP, et ça a l'aire de lui suffire.
Merci encore +
bonjour et merci d'avoir répondu.
Pourquoi pour toute application ?
Seul le resolver local doit avoir besoin de faire des requêtes.
Toutes mes applications font une requete DNS au besoin, en fait c'est
peut-etre à cause de la désactivation du service windows "client DNS".
Parce que vous n'avez pas autorisé le port 53 TCP.
Effectivement, je vais essayer ça, mais ce qui est bizzard, c'est que j'ai
fais une regle DNS pour mon navigateur en UDP, et ça a l'aire de lui
suffire.
Pourquoi pour toute application ? Seul le resolver local doit avoir besoin de faire des requêtes.
Toutes mes applications font une requete DNS au besoin, en fait c'est peut-etre à cause de la désactivation du service windows "client DNS".
Parce que vous n'avez pas autorisé le port 53 TCP.
Effectivement, je vais essayer ça, mais ce qui est bizzard, c'est que j'ai fais une regle DNS pour mon navigateur en UDP, et ça a l'aire de lui suffire.
Merci encore +
Toto Totototo
"clement" wrote in message news:ca9n3o$thd$
Toutes mes applications font une requete DNS au besoin, en fait c'est peut-etre à cause de la désactivation du service windows "client DNS".
A priori, vos applications font appel à un resolver, qui est en fait une suite de fonctions partagées (gethostbyXXXX) Donc quelle que soit l'appli, ce sera le resolver qui fera la requête DNS pour l'appli et aura besoin d'être autorisée à sortir. Inutile de laisser toutes les applis faire du DNS...
Effectivement, je vais essayer ça, mais ce qui est bizzard, c'est que j'ai fais une regle DNS pour mon navigateur en UDP, et ça a l'aire de lui suffire.
Oui, tant que les réponses DNS ne font pas plus de 512 octets, ca marche nickel.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"clement" <clemche@hotmail.com> wrote in message
news:ca9n3o$thd$1@biggoron.nerim.net
Toutes mes applications font une requete DNS au besoin, en fait c'est
peut-etre à cause de la désactivation du service windows "client DNS".
A priori, vos applications font appel à un resolver, qui est en fait
une suite de fonctions partagées (gethostbyXXXX)
Donc quelle que soit l'appli, ce sera le resolver qui fera la requête
DNS pour l'appli et aura besoin d'être autorisée à sortir.
Inutile de laisser toutes les applis faire du DNS...
Effectivement, je vais essayer ça, mais ce qui est bizzard, c'est que j'ai
fais une regle DNS pour mon navigateur en UDP, et ça a l'aire de lui
suffire.
Oui, tant que les réponses DNS ne font pas plus de 512 octets, ca
marche nickel.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Toutes mes applications font une requete DNS au besoin, en fait c'est peut-etre à cause de la désactivation du service windows "client DNS".
A priori, vos applications font appel à un resolver, qui est en fait une suite de fonctions partagées (gethostbyXXXX) Donc quelle que soit l'appli, ce sera le resolver qui fera la requête DNS pour l'appli et aura besoin d'être autorisée à sortir. Inutile de laisser toutes les applis faire du DNS...
Effectivement, je vais essayer ça, mais ce qui est bizzard, c'est que j'ai fais une regle DNS pour mon navigateur en UDP, et ça a l'aire de lui suffire.
Oui, tant que les réponses DNS ne font pas plus de 512 octets, ca marche nickel.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Cedric Blancher
Le Fri, 11 Jun 2004 13:21:17 +0000, Toto Totototo a écrit :
Inutile de laisser toutes les applis faire du DNS...
À condition de ne pas bloquer le resolver, évidemment. Et là, c'est le cas puisqu'on nous dit que le service est désactivé...
-- BOFH excuse #279:
The static electricity routing is acting up...
Le Fri, 11 Jun 2004 13:21:17 +0000, Toto Totototo a écrit :
Inutile de laisser toutes les applis faire du DNS...
À condition de ne pas bloquer le resolver, évidemment. Et là, c'est le
cas puisqu'on nous dit que le service est désactivé...
À condition de ne pas bloquer le resolver, évidemment. Et là, c'est le cas puisqu'on nous dit que le service est désactivé...
Ah bah oui, mais là on est en plein dans les limites des firewalls personnels :-)
1- L'utilisateur bloque tout, rien ne marche. 2- L'utilisateur laisse tout passer, tout marche 3- Le firewall est une passoire
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Cedric Blancher
Le Fri, 11 Jun 2004 15:27:27 +0000, T0t0 a écrit :
Ah bah oui, mais là on est en plein dans les limites des firewalls personnels :-)
Non, on est devant une mauvaise configuration du poste qui pose un problème pour la configuration du firewall. Si tu as bien lu le thread, tu auras remarqué qu'il a éteint le service "Client DNS". Il n'a donc plus de resolver système, et c'est pour cela que le firewall voit les requêtes directement en provenance des applications.
D'où ma réponse : on réactive le resolver d'abord, on l'autorise à sortir en DNS et hop.
Donc deux solutions :
1. Réactivation du resolver et limitation maximum du trafic DNS 2. On colle les règles qui vont bien pour autoriser le trafic DNS de partout, mais c'est pas top.
Perso, je préfère la première...
-- BOFH excuse #383:
Your processor has taken a ride to Heaven's Gate on the UFO behind Hale-Bopp's comet.
Le Fri, 11 Jun 2004 15:27:27 +0000, T0t0 a écrit :
Ah bah oui, mais là on est en plein dans les limites des firewalls
personnels :-)
Non, on est devant une mauvaise configuration du poste qui pose un
problème pour la configuration du firewall. Si tu as bien lu le thread,
tu auras remarqué qu'il a éteint le service "Client DNS". Il n'a donc
plus de resolver système, et c'est pour cela que le firewall voit les
requêtes directement en provenance des applications.
D'où ma réponse : on réactive le resolver d'abord, on l'autorise à
sortir en DNS et hop.
Donc deux solutions :
1. Réactivation du resolver et limitation maximum du trafic DNS
2. On colle les règles qui vont bien pour autoriser le trafic DNS
de partout, mais c'est pas top.
Perso, je préfère la première...
--
BOFH excuse #383:
Your processor has taken a ride to Heaven's Gate on the UFO behind
Hale-Bopp's comet.
Le Fri, 11 Jun 2004 15:27:27 +0000, T0t0 a écrit :
Ah bah oui, mais là on est en plein dans les limites des firewalls personnels :-)
Non, on est devant une mauvaise configuration du poste qui pose un problème pour la configuration du firewall. Si tu as bien lu le thread, tu auras remarqué qu'il a éteint le service "Client DNS". Il n'a donc plus de resolver système, et c'est pour cela que le firewall voit les requêtes directement en provenance des applications.
D'où ma réponse : on réactive le resolver d'abord, on l'autorise à sortir en DNS et hop.
Donc deux solutions :
1. Réactivation du resolver et limitation maximum du trafic DNS 2. On colle les règles qui vont bien pour autoriser le trafic DNS de partout, mais c'est pas top.
Perso, je préfère la première...
-- BOFH excuse #383:
Your processor has taken a ride to Heaven's Gate on the UFO behind Hale-Bopp's comet.
clement
Ah bah oui, mais là on est en plein dans les limites des firewalls personnels :-)
pourquoi?
Ah bah oui, mais là on est en plein dans les limites des firewalls
personnels :-)
Ah bah oui, mais là on est en plein dans les limites des firewalls personnels :-)
pourquoi?
clement
Non, on est devant une mauvaise configuration du poste qui pose un problème pour la configuration du firewall.
oui c'est ça
1. Réactivation du resolver et limitation maximum du trafic DNS 2. On colle les règles qui vont bien pour autoriser le trafic DNS de partout, mais c'est pas top.
Perso, je préfère la première...
je comprend
merci encore
Non, on est devant une mauvaise configuration du poste qui pose un
problème pour la configuration du firewall.
oui c'est ça
1. Réactivation du resolver et limitation maximum du trafic DNS
2. On colle les règles qui vont bien pour autoriser le trafic DNS
de partout, mais c'est pas top.
Non, on est devant une mauvaise configuration du poste qui pose un problème pour la configuration du firewall.
oui c'est ça
1. Réactivation du resolver et limitation maximum du trafic DNS 2. On colle les règles qui vont bien pour autoriser le trafic DNS de partout, mais c'est pas top.
