Bonjour,
Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un
firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi
donc pas de forwarding .
Mais avant , je voudrai donc savoir quels sont les ports que j'ai a
autoriser .
Il me semble avoir lu quelquepart que pour le http , le client adresse ses
requetes sur le port 80 et annonce au serveur sur quel port lui repondre (
ptet le 81 , j'en sais trop rien ) Est ce vrai ? dois-je laisser le traffic
sortant sans regles de filtrage ?
j'ai une utilisation personnelle de cette machine et elle fait aussi serveur
avec :
Pour utilisation personnelle :
-lecture des news (Usenet)
-irc
-pop /smtp de mes mail
-serveur d'impression CUPS ( port 631 )
-navigation web et ftp
Pour le coté utilisation serveur
-http
-ftp
Sauriez-vous donc les ports que je dois laisser "sans filtrage" pour ces
services ? merci de votre aide .
Les ports sont les port par defaut .. je ne les connais pas tous.. c'est
pour cela que je demande votre aide .
"Rakotomandimby Mihamina" wrote in message news:3f4a2393$0$26390$
Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi donc pas de forwarding . Mais avant , je voudrai donc savoir quels sont les ports que j'ai a autoriser . Il me semble avoir lu quelquepart que pour le http , le client adresse ses requetes sur le port 80 et annonce au serveur sur quel port lui repondre ( ptet le 81 , j'en sais trop rien ) Est ce vrai ?
Oui pour le début. Lorsque tu essaies de te connecter à un serveur web, ton navigateur initialise une connexion vers le port 80 du serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
1024. C'est le port source. Donc c'est pas 81, mais un port censé être aléatoire entre 1024 et 65535. Les ports entre 1 et 1023 sont
réservés pour certaines applications client/serveur, comme 80 pour http par exemple.
dois-je laisser le traffic sortant sans regles de filtrage ?
C'est à toi de voir. A mon avis, si tu n'es pas un magna de la sécurité, tu peux t'en passer. Sinon, si tu ne connais pas bien le fonctionnement des protocoles, mais que tu souhaites quand même filtrer, tu peux tout fermer et regarder ce qui est bloqué, puis ouvrir au fur et à mesure.
j'ai une utilisation personnelle de cette machine et elle fait aussi serveur avec : Pour utilisation personnelle : -lecture des news (Usenet) -irc -pop /smtp de mes mail
Là, si tu as un serveur SMTP qui doit être joint de l'extérieur, tu devras laisser le port 25 accessible en entrée.
-serveur d'impression CUPS ( port 631 ) -navigation web et ftp
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et ip_nat_ftp si je me rappelle bien)
Pour le coté utilisation serveur -http -ftp
Et SMTP ? http: port 80 ouvert en entrée ftp: port 21 ouvert en entrée (grâce à l'inspection d'états, iptables devrait pouvoir s'en sortir sans avoir besoin d'ouvrir d'autres choses)
Pour plus d'infos sur les ports de tes applications, tu peux aller voir là: http://www.iana.org/assignments/port-numbers
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Rakotomandimby Mihamina" <mrakotom@free.fr> wrote in message
news:3f4a2393$0$26390$626a54ce@news.free.fr
Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un
firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi
donc pas de forwarding .
Mais avant , je voudrai donc savoir quels sont les ports que j'ai a
autoriser .
Il me semble avoir lu quelquepart que pour le http , le client adresse ses
requetes sur le port 80 et annonce au serveur sur quel port lui repondre (
ptet le 81 , j'en sais trop rien ) Est ce vrai ?
Oui pour le début. Lorsque tu essaies de te connecter à un serveur
web, ton navigateur initialise une connexion vers le port 80 du
serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses
du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
1024. C'est le port source. Donc c'est pas 81, mais un port censé
être aléatoire entre 1024 et 65535. Les ports entre 1 et 1023 sont
réservés pour certaines applications client/serveur, comme 80 pour http
par exemple.
dois-je laisser le traffic sortant sans regles de filtrage ?
C'est à toi de voir.
A mon avis, si tu n'es pas un magna de la sécurité, tu peux t'en
passer. Sinon, si tu ne connais pas bien le fonctionnement des
protocoles, mais que tu souhaites quand même filtrer, tu peux tout
fermer et regarder ce qui est bloqué, puis ouvrir au fur et à mesure.
j'ai une utilisation personnelle de cette machine et elle fait aussi serveur
avec :
Pour utilisation personnelle :
-lecture des news (Usenet)
-irc
-pop /smtp de mes mail
Là, si tu as un serveur SMTP qui doit être joint de l'extérieur, tu
devras laisser le port 25 accessible en entrée.
-serveur d'impression CUPS ( port 631 )
-navigation web et ftp
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et
ip_nat_ftp si je me rappelle bien)
Pour le coté utilisation serveur
-http
-ftp
Et SMTP ?
http: port 80 ouvert en entrée
ftp: port 21 ouvert en entrée (grâce à l'inspection d'états, iptables
devrait pouvoir s'en sortir sans avoir besoin d'ouvrir d'autres choses)
Pour plus d'infos sur les ports de tes applications, tu peux aller
voir là:
http://www.iana.org/assignments/port-numbers
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Rakotomandimby Mihamina" wrote in message news:3f4a2393$0$26390$
Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi donc pas de forwarding . Mais avant , je voudrai donc savoir quels sont les ports que j'ai a autoriser . Il me semble avoir lu quelquepart que pour le http , le client adresse ses requetes sur le port 80 et annonce au serveur sur quel port lui repondre ( ptet le 81 , j'en sais trop rien ) Est ce vrai ?
Oui pour le début. Lorsque tu essaies de te connecter à un serveur web, ton navigateur initialise une connexion vers le port 80 du serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
1024. C'est le port source. Donc c'est pas 81, mais un port censé être aléatoire entre 1024 et 65535. Les ports entre 1 et 1023 sont
réservés pour certaines applications client/serveur, comme 80 pour http par exemple.
dois-je laisser le traffic sortant sans regles de filtrage ?
C'est à toi de voir. A mon avis, si tu n'es pas un magna de la sécurité, tu peux t'en passer. Sinon, si tu ne connais pas bien le fonctionnement des protocoles, mais que tu souhaites quand même filtrer, tu peux tout fermer et regarder ce qui est bloqué, puis ouvrir au fur et à mesure.
j'ai une utilisation personnelle de cette machine et elle fait aussi serveur avec : Pour utilisation personnelle : -lecture des news (Usenet) -irc -pop /smtp de mes mail
Là, si tu as un serveur SMTP qui doit être joint de l'extérieur, tu devras laisser le port 25 accessible en entrée.
-serveur d'impression CUPS ( port 631 ) -navigation web et ftp
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et ip_nat_ftp si je me rappelle bien)
Pour le coté utilisation serveur -http -ftp
Et SMTP ? http: port 80 ouvert en entrée ftp: port 21 ouvert en entrée (grâce à l'inspection d'états, iptables devrait pouvoir s'en sortir sans avoir besoin d'ouvrir d'autres choses)
Pour plus d'infos sur les ports de tes applications, tu peux aller voir là: http://www.iana.org/assignments/port-numbers
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Simon Marechal
In article <3f4a2393$0$26390$, Rakotomandimby Mihamina wrote:
Pour le coté utilisation serveur -http -ftp
Ce sont les applications coté serveur qui doivent bénéficier d'un "trou" en entrée. Mais de toute évidence, en lisant un petit livre (ou doc en ligne) sur TCP/IP, tu trouveras cette question beaucoup plus simple.
PS: pour FTP il faut accepter les connections RELATED en entrée aussi, et avoir mis le module de conntrack du ftp. Dans le doute lire la doc.
In article <3f4a2393$0$26390$626a54ce@news.free.fr>, Rakotomandimby Mihamina wrote:
Pour le coté utilisation serveur
-http
-ftp
Ce sont les applications coté serveur qui doivent bénéficier d'un "trou"
en entrée. Mais de toute évidence, en lisant un petit livre (ou doc en
ligne) sur TCP/IP, tu trouveras cette question beaucoup plus simple.
PS: pour FTP il faut accepter les connections RELATED en entrée aussi,
et avoir mis le module de conntrack du ftp. Dans le doute lire la doc.
In article <3f4a2393$0$26390$, Rakotomandimby Mihamina wrote:
Pour le coté utilisation serveur -http -ftp
Ce sont les applications coté serveur qui doivent bénéficier d'un "trou" en entrée. Mais de toute évidence, en lisant un petit livre (ou doc en ligne) sur TCP/IP, tu trouveras cette question beaucoup plus simple.
PS: pour FTP il faut accepter les connections RELATED en entrée aussi, et avoir mis le module de conntrack du ftp. Dans le doute lire la doc.
Pierre LALET
il serait bon que tu rajoutes a la liste: UDP 53 sortant pour faire la resolution de noms (vers les serveurs DNS de ton provider)
UDP *et* TCP port 53.
bloque de meme les pings sur ta machine (ICMP all entrant deny)
Pourquoi ? ping c'est pas mal. Faudrait voir à pas tomber dans la paranoïa extrème. Qu'on ne laisse pas passer tous les messages ICMP, ok, mais de là à empêcher les pings... quand on veut tester la connexion avec un autre site, c'est bien pratique.
Pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
il serait bon que tu rajoutes a la liste:
UDP 53 sortant pour faire la resolution de noms (vers les serveurs DNS de
ton provider)
UDP *et* TCP port 53.
bloque de meme les pings sur ta machine (ICMP all entrant deny)
Pourquoi ? ping c'est pas mal. Faudrait voir à pas tomber dans la
paranoïa extrème. Qu'on ne laisse pas passer tous les messages ICMP, ok,
mais de là à empêcher les pings... quand on veut tester la connexion
avec un autre site, c'est bien pratique.
Pierre
--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
il serait bon que tu rajoutes a la liste: UDP 53 sortant pour faire la resolution de noms (vers les serveurs DNS de ton provider)
UDP *et* TCP port 53.
bloque de meme les pings sur ta machine (ICMP all entrant deny)
Pourquoi ? ping c'est pas mal. Faudrait voir à pas tomber dans la paranoïa extrème. Qu'on ne laisse pas passer tous les messages ICMP, ok, mais de là à empêcher les pings... quand on veut tester la connexion avec un autre site, c'est bien pratique.
Pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Pierre LALET
Oui pour le début. Lorsque tu essaies de te connecter à un serveur web, ton navigateur initialise une connexion vers le port 80 du serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
Non. La machine n'écoute pas sur un port élevé, il n'y a qu'un seul canal de communication.
1024. C'est le port source. Donc c'est pas 81, mais un port censé
être aléatoire entre 1024 et 65535. Les ports entre 1 et 1023 sont réservés pour certaines applications client/serveur, comme 80 pour http par exemple.
Notons quand même que pas mal d'"applications client/serveur" se trouvent sur des ports élevés (X, irc, proxy, ...).
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et ip_nat_ftp si je me rappelle bien)
Euh... il me semble que dans son cas ("Je n'ai qu'une seule machine chez moi donc pas de forwarding") ce ne sera pas nécessaire.
Pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Oui pour le début. Lorsque tu essaies de te connecter à un serveur
web, ton navigateur initialise une connexion vers le port 80 du
serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses
du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
Non. La machine n'écoute pas sur un port élevé, il n'y a qu'un seul
canal de communication.
1024. C'est le port source. Donc c'est pas 81, mais un port censé
être aléatoire entre 1024 et 65535. Les ports entre 1 et 1023 sont
réservés pour certaines applications client/serveur, comme 80 pour http
par exemple.
Notons quand même que pas mal d'"applications client/serveur" se
trouvent sur des ports élevés (X, irc, proxy, ...).
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et
ip_nat_ftp si je me rappelle bien)
Euh... il me semble que dans son cas ("Je n'ai qu'une seule machine chez
moi donc pas de forwarding") ce ne sera pas nécessaire.
Pierre
--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Oui pour le début. Lorsque tu essaies de te connecter à un serveur web, ton navigateur initialise une connexion vers le port 80 du serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
Non. La machine n'écoute pas sur un port élevé, il n'y a qu'un seul canal de communication.
1024. C'est le port source. Donc c'est pas 81, mais un port censé
être aléatoire entre 1024 et 65535. Les ports entre 1 et 1023 sont réservés pour certaines applications client/serveur, comme 80 pour http par exemple.
Notons quand même que pas mal d'"applications client/serveur" se trouvent sur des ports élevés (X, irc, proxy, ...).
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et ip_nat_ftp si je me rappelle bien)
Euh... il me semble que dans son cas ("Je n'ai qu'une seule machine chez moi donc pas de forwarding") ce ne sera pas nécessaire.
Pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Eric Masson
"Pierre" == Pierre LALET writes:
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Eric Masson
-- Juste un truc, ca te ferait mal au cerveau de lire les messages auxquels tu reponds ? -+-RMD in : <http://www.le-gnu.net> - Neuneu apprend à lire -+-
"Pierre" == Pierre LALET <lalet@enseirb.fr> writes:
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Eric Masson
--
Juste un truc, ca te ferait mal au cerveau de lire les messages
auxquels tu reponds ?
-+-RMD in : <http://www.le-gnu.net> - Neuneu apprend à lire -+-
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Eric Masson
-- Juste un truc, ca te ferait mal au cerveau de lire les messages auxquels tu reponds ? -+-RMD in : <http://www.le-gnu.net> - Neuneu apprend à lire -+-
Pierre LALET
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Non, TCP sert quand la taille de la réponse est trop importante (>512 octets). Donc pour les transferts de zone, mais pas forcément seulement, àmha.
Pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Non, TCP sert quand la taille de la réponse est trop importante (>512
octets). Donc pour les transferts de zone, mais pas forcément seulement,
àmha.
Pierre
--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Non, TCP sert quand la taille de la réponse est trop importante (>512 octets). Donc pour les transferts de zone, mais pas forcément seulement, àmha.
Pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Eric Razny
"Eric Masson" a écrit dans le message de news:
"Pierre" == Pierre LALET writes:
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
sauf quand la taille des infos à transférer est trop importante (ok c'est peut être pas trop fréquent) auquel cas la requète se fait bien en tcp, pas en udp.
De toute façon quand le(s) serveur(s) dns est(sont) connu(s) rien n'empèche de changer l'adresse de destination sortante pour la positionner où il faut. Ca évite le tunnelling sur le 53, même en UDP :)
Eric.
"Eric Masson" <emss@free.fr> a écrit dans le message de
news:86fzjoegtx.fsf@notbsdems.interne.kisoft-services.com...
"Pierre" == Pierre LALET <lalet@enseirb.fr> writes:
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
sauf quand la taille des infos à transférer est trop importante (ok c'est
peut être pas trop fréquent) auquel cas la requète se fait bien en tcp, pas
en udp.
De toute façon quand le(s) serveur(s) dns est(sont) connu(s) rien n'empèche
de changer l'adresse de destination sortante pour la positionner où il faut.
Ca évite le tunnelling sur le 53, même en UDP :)
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
sauf quand la taille des infos à transférer est trop importante (ok c'est peut être pas trop fréquent) auquel cas la requète se fait bien en tcp, pas en udp.
De toute façon quand le(s) serveur(s) dns est(sont) connu(s) rien n'empèche de changer l'adresse de destination sortante pour la positionner où il faut. Ca évite le tunnelling sur le 53, même en UDP :)
Eric.
T0t0
"Pierre LALET" wrote in message news:bifbo6$6er$
Oui pour le début. Lorsque tu essaies de te connecter à un serveur web, ton navigateur initialise une connexion vers le port 80 du serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses du serveur. Pour cela, elle se met en écoute sur un port dit "élevé" Non. La machine n'écoute pas sur un port élevé, il n'y a qu'un seul
canal de communication.
Et comment tu reçois ta réponse ? Le port source il est là pour juste pour faire joli ?
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et ip_nat_ftp si je me rappelle bien) Euh... il me semble que dans son cas ("Je n'ai qu'une seule machine chez
moi donc pas de forwarding") ce ne sera pas nécessaire.
Si si, pas le NAT effectivement, mais il vaut mieux avoir conntrack pour profiter de l'état RELATED.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Pierre LALET" <lalet@enseirb.fr> wrote in message
news:bifbo6$6er$1@news.u-bordeaux.fr
Oui pour le début. Lorsque tu essaies de te connecter à un serveur
web, ton navigateur initialise une connexion vers le port 80 du
serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses
du serveur. Pour cela, elle se met en écoute sur un port dit "élevé"
Non. La machine n'écoute pas sur un port élevé, il n'y a qu'un seul
canal de communication.
Et comment tu reçois ta réponse ?
Le port source il est là pour juste pour faire joli ?
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et
ip_nat_ftp si je me rappelle bien)
Euh... il me semble que dans son cas ("Je n'ai qu'une seule machine chez
moi donc pas de forwarding") ce ne sera pas nécessaire.
Si si, pas le NAT effectivement, mais il vaut mieux avoir conntrack
pour profiter de l'état RELATED.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Oui pour le début. Lorsque tu essaies de te connecter à un serveur web, ton navigateur initialise une connexion vers le port 80 du serveur. De plus, ta machine doit aussi pouvoir recevoir les réponses du serveur. Pour cela, elle se met en écoute sur un port dit "élevé" Non. La machine n'écoute pas sur un port élevé, il n'y a qu'un seul
canal de communication.
Et comment tu reçois ta réponse ? Le port source il est là pour juste pour faire joli ?
N'oublies pas le module ftp pour iptables (ip_conntrack_ftp et ip_nat_ftp si je me rappelle bien) Euh... il me semble que dans son cas ("Je n'ai qu'une seule machine chez
moi donc pas de forwarding") ce ne sera pas nécessaire.
Si si, pas le NAT effectivement, mais il vaut mieux avoir conntrack pour profiter de l'état RELATED.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Julien Salgado
Eric Masson a écrit :
"Pierre" == Pierre LALET writes:
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Sauf si la reponse est trop de taille trop importante pour 1 paquet UDP, auquel cas la réponse UDP à le drapeau TC postionné (Tuncated Bit) et le client peut refaire sa requête si les information transmise dans la réponse UDP ne son pas suffisante (cf RFC 2181).
-- Julien
Eric Masson a écrit :
"Pierre" == Pierre LALET <lalet@enseirb.fr> writes:
Pierre> UDP *et* TCP port 53.
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Sauf si la reponse est trop de taille trop importante pour 1 paquet UDP,
auquel cas la réponse UDP à le drapeau TC postionné (Tuncated Bit) et le
client peut refaire sa requête si les information transmise dans la
réponse UDP ne son pas suffisante (cf RFC 2181).
Iirc, udp est suffisant, tcp ne servant que pour les transferts de zone.
Sauf si la reponse est trop de taille trop importante pour 1 paquet UDP, auquel cas la réponse UDP à le drapeau TC postionné (Tuncated Bit) et le client peut refaire sa requête si les information transmise dans la réponse UDP ne son pas suffisante (cf RFC 2181).
-- Julien
ben64
Le port 20 pour le FTP n'est pas nécessaire. Les modules ip_conntrack_ftp et ip_nat_ftp le gèrent.
Ermelir wrote:
salut
"Rakotomandimby Mihamina" a écrit dans le message de news:3f4a2393$0$26390$
Bonjour, Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi donc pas de forwarding . Mais avant , je voudrai donc savoir quels sont les ports que j'ai a autoriser . Il me semble avoir lu quelquepart que pour le http , le client adresse ses requetes sur le port 80 et annonce au serveur sur quel port lui repondre ( ptet le 81 , j'en sais trop rien ) Est ce vrai ? dois-je laisser le
traffic
sortant sans regles de filtrage ? j'ai une utilisation personnelle de cette machine et elle fait aussi
serveur
avec :
Pour utilisation personnelle : -lecture des news (Usenet)
=> TCP 119 sortant
-irc
=> TCP 6666-6669 sortant
-pop /smtp de mes mail
=>TCP 25 et 110 sortant (vers tes serveurs smtp et pop)
-serveur d'impression CUPS ( port 631 ) -navigation web et ftp
=> TCP 20, 21 et 80 sortant (n'oublies pas 443 pour https) vers n'importe quel site
Pour le coté utilisation serveur -http
=> TCP 80 entrant
-ftp
=> TCP 20 21 entrant
Sauriez-vous donc les ports que je dois laisser "sans filtrage" pour ces services ? merci de votre aide . Les ports sont les port par defaut .. je ne les connais pas tous.. c'est pour cela que je demande votre aide .
-- RKTMB http://mrakotom.free.fr
il serait bon que tu rajoutes a la liste: UDP 53 sortant pour faire la resolution de noms (vers les serveurs DNS de ton provider) autorise toute connection sur 127.0.0.1
bloque peut etre l'entrant sur le 6000 (?) X window bloque de meme les pings sur ta machine (ICMP all entrant deny)
Si tu laisses tout le traffic sortant, c'est moins difficile a configurer, mais effectivement si tu as une intrusion, tu ne controleras rien... tout ceci est un vaste sujet, et je ne te donnes qu'un debut de reponse... en espérant que cela t'aide
Le port 20 pour le FTP n'est pas nécessaire. Les modules
ip_conntrack_ftp et ip_nat_ftp le gèrent.
Ermelir wrote:
salut
"Rakotomandimby Mihamina" <mrakotom@free.fr> a écrit dans le message de
news:3f4a2393$0$26390$626a54ce@news.free.fr...
Bonjour,
Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un
firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi
donc pas de forwarding .
Mais avant , je voudrai donc savoir quels sont les ports que j'ai a
autoriser .
Il me semble avoir lu quelquepart que pour le http , le client adresse ses
requetes sur le port 80 et annonce au serveur sur quel port lui repondre (
ptet le 81 , j'en sais trop rien ) Est ce vrai ? dois-je laisser le
traffic
sortant sans regles de filtrage ?
j'ai une utilisation personnelle de cette machine et elle fait aussi
serveur
avec :
Pour utilisation personnelle :
-lecture des news (Usenet)
=> TCP 119 sortant
-irc
=> TCP 6666-6669 sortant
-pop /smtp de mes mail
=>TCP 25 et 110 sortant (vers tes serveurs smtp et pop)
-serveur d'impression CUPS ( port 631 )
-navigation web et ftp
=> TCP 20, 21 et 80 sortant (n'oublies pas 443 pour https) vers n'importe
quel site
Pour le coté utilisation serveur
-http
=> TCP 80 entrant
-ftp
=> TCP 20 21 entrant
Sauriez-vous donc les ports que je dois laisser "sans filtrage" pour ces
services ? merci de votre aide .
Les ports sont les port par defaut .. je ne les connais pas tous.. c'est
pour cela que je demande votre aide .
--
RKTMB http://mrakotom.free.fr
il serait bon que tu rajoutes a la liste:
UDP 53 sortant pour faire la resolution de noms (vers les serveurs DNS de
ton provider)
autorise toute connection sur 127.0.0.1
bloque peut etre l'entrant sur le 6000 (?) X window
bloque de meme les pings sur ta machine (ICMP all entrant deny)
Si tu laisses tout le traffic sortant, c'est moins difficile a configurer,
mais effectivement si tu as une intrusion, tu ne controleras rien...
tout ceci est un vaste sujet, et je ne te donnes qu'un debut de reponse...
en espérant que cela t'aide
Le port 20 pour le FTP n'est pas nécessaire. Les modules ip_conntrack_ftp et ip_nat_ftp le gèrent.
Ermelir wrote:
salut
"Rakotomandimby Mihamina" a écrit dans le message de news:3f4a2393$0$26390$
Bonjour, Je ne suis pas (encore) un spécialiste reseaux et je souhaite faire un firewall ave iptables (Linux ) . Je n'ai qu'une seule machine chez moi donc pas de forwarding . Mais avant , je voudrai donc savoir quels sont les ports que j'ai a autoriser . Il me semble avoir lu quelquepart que pour le http , le client adresse ses requetes sur le port 80 et annonce au serveur sur quel port lui repondre ( ptet le 81 , j'en sais trop rien ) Est ce vrai ? dois-je laisser le
traffic
sortant sans regles de filtrage ? j'ai une utilisation personnelle de cette machine et elle fait aussi
serveur
avec :
Pour utilisation personnelle : -lecture des news (Usenet)
=> TCP 119 sortant
-irc
=> TCP 6666-6669 sortant
-pop /smtp de mes mail
=>TCP 25 et 110 sortant (vers tes serveurs smtp et pop)
-serveur d'impression CUPS ( port 631 ) -navigation web et ftp
=> TCP 20, 21 et 80 sortant (n'oublies pas 443 pour https) vers n'importe quel site
Pour le coté utilisation serveur -http
=> TCP 80 entrant
-ftp
=> TCP 20 21 entrant
Sauriez-vous donc les ports que je dois laisser "sans filtrage" pour ces services ? merci de votre aide . Les ports sont les port par defaut .. je ne les connais pas tous.. c'est pour cela que je demande votre aide .
-- RKTMB http://mrakotom.free.fr
il serait bon que tu rajoutes a la liste: UDP 53 sortant pour faire la resolution de noms (vers les serveurs DNS de ton provider) autorise toute connection sur 127.0.0.1
bloque peut etre l'entrant sur le 6000 (?) X window bloque de meme les pings sur ta machine (ICMP all entrant deny)
Si tu laisses tout le traffic sortant, c'est moins difficile a configurer, mais effectivement si tu as une intrusion, tu ne controleras rien... tout ceci est un vaste sujet, et je ne te donnes qu'un debut de reponse... en espérant que cela t'aide
