Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
retrouvant dans l'obligation de changer de firewall, je n'ai aucune
idée du choix à faire.
Je cherche quelque chose de souple, d'efficace, de gratuit et de
stable. L'idéal ce serait quelque chose comme Sunbelt Personnal
Firewall mais qui ne me claquerait pas dans les doigts tous les deux
jours en m'obligeant à le désinstaller et le réinstaller.
Pascal Hambourg devait dire quelque chose comme ceci :
Ainsi est-ce à Gibson que l'on doit la connerie que l'on retrouve sur la plus part des firewalls personnel Windows, à savoir que lorsqu'un port est fermé, il ne faut surtout pas répondre et laisser mourrir la connexion de son beau TimeOut. Non seulement c'est contraire aux RFC, mais en plus c'est la porte ouverte pour un magnifique DDoS, puisqu'il suffit de bombarder une machine de connexions fantomes vers des ports fermés pour saturer la pile IP.
La pile IP de qui ? Pas celle de la machine protégée par le firewall, en tout cas, puisqu'elle ne voit même pas les demandes de connexion bloquées par le firewall.
Pour ne pas avoir à réinventer la roue, avec tout ce que cela impliquerait comme problèmes, les filtre IP travaillent en plaçant des hooks sur la pile IP[1]. Du coup je ne comprends pas ta remarque. Que le firewall soit directement sur la machine protégée ou sur une machine déportée ne change pas grand chose. Dans les deux cas la pile IP d'une machine par laquelle la connexion est obligée de passer est saturée, donc dans les deux cas il y a (D)DoS. Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans ce cas, quoi ?
[1] Autrement dit ils "interceptent" les données à différents niveaux de la pile IP, pour les traiter avant elle, et éventuellement les lui transmettre ensuite.
Pascal Hambourg devait dire quelque chose comme ceci :
Ainsi est-ce à Gibson que l'on doit la connerie que l'on retrouve sur
la plus part des firewalls personnel Windows, à savoir que lorsqu'un
port est fermé, il ne faut surtout pas répondre et laisser mourrir la
connexion de son beau TimeOut. Non seulement c'est contraire aux RFC,
mais en plus c'est la porte ouverte pour un magnifique DDoS, puisqu'il
suffit de bombarder une machine de connexions fantomes vers des ports
fermés pour saturer la pile IP.
La pile IP de qui ? Pas celle de la machine protégée par le firewall, en
tout cas, puisqu'elle ne voit même pas les demandes de connexion
bloquées par le firewall.
Pour ne pas avoir à réinventer la roue, avec tout ce que cela
impliquerait comme problèmes, les filtre IP travaillent en plaçant des
hooks sur la pile IP[1]. Du coup je ne comprends pas ta remarque. Que
le firewall soit directement sur la machine protégée ou sur une machine
déportée ne change pas grand chose. Dans les deux cas la pile IP d'une
machine par laquelle la connexion est obligée de passer est saturée,
donc dans les deux cas il y a (D)DoS.
Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans
ce cas, quoi ?
[1]
Autrement dit ils "interceptent" les données à différents niveaux de
la pile IP, pour les traiter avant elle, et éventuellement les lui
transmettre ensuite.
Pascal Hambourg devait dire quelque chose comme ceci :
Ainsi est-ce à Gibson que l'on doit la connerie que l'on retrouve sur la plus part des firewalls personnel Windows, à savoir que lorsqu'un port est fermé, il ne faut surtout pas répondre et laisser mourrir la connexion de son beau TimeOut. Non seulement c'est contraire aux RFC, mais en plus c'est la porte ouverte pour un magnifique DDoS, puisqu'il suffit de bombarder une machine de connexions fantomes vers des ports fermés pour saturer la pile IP.
La pile IP de qui ? Pas celle de la machine protégée par le firewall, en tout cas, puisqu'elle ne voit même pas les demandes de connexion bloquées par le firewall.
Pour ne pas avoir à réinventer la roue, avec tout ce que cela impliquerait comme problèmes, les filtre IP travaillent en plaçant des hooks sur la pile IP[1]. Du coup je ne comprends pas ta remarque. Que le firewall soit directement sur la machine protégée ou sur une machine déportée ne change pas grand chose. Dans les deux cas la pile IP d'une machine par laquelle la connexion est obligée de passer est saturée, donc dans les deux cas il y a (D)DoS. Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans ce cas, quoi ?
[1] Autrement dit ils "interceptent" les données à différents niveaux de la pile IP, pour les traiter avant elle, et éventuellement les lui transmettre ensuite.
Regis
Cornelia Schneider wrote:
pour en revenir a la box, je prefere la laisser telle qu'elle
Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement pas de firmware tiers pour les boxes fournies par les FAI), mais de la
C'est vrai que moi, tout de suite, je pense a tout ratiboiser, brut de decoffrage, mais j'ai encore une mauvaise perception de l'architecture box, puis ce genre d'architecture, c'est occulte, ou alors, si quelqu'un s'y connait, qu'il me contacte, je serais interesse par la mise au point, comme tu me l'as souligné Cornelia, d'un passage en mode modem/bridge, sans biensur niquer le telephone, car j'en ai vraiment besoin.
faire fonctionner en simple modem/bridge, si c'est possible, et de mettre un routeur plus élaboré derrière elle.
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ? J'ai cherche mais je truove que des quatre ports, or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter, pas que je sois radin, mais avec Linux, on peut faire marcher de vieilles machines et ca, c'est tres interessant, enfin, je passe...
Bien amicalement,
Régis.
--
Cornelia Schneider wrote:
pour en revenir a la box, je prefere la laisser telle qu'elle
Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement
pas de firmware tiers pour les boxes fournies par les FAI), mais de la
C'est vrai que moi, tout de suite, je pense a tout ratiboiser, brut de
decoffrage, mais j'ai encore une mauvaise perception de l'architecture
box, puis ce genre d'architecture, c'est occulte, ou alors, si quelqu'un
s'y connait, qu'il me contacte, je serais interesse par la mise au
point, comme tu me l'as souligné Cornelia, d'un passage en mode
modem/bridge, sans biensur niquer le telephone, car j'en ai vraiment besoin.
faire fonctionner en simple modem/bridge, si c'est possible, et de mettre
un routeur plus élaboré derrière elle.
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
firewall huit ports ? J'ai cherche mais je truove que des quatre ports,
or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant
pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter,
pas que je sois radin, mais avec Linux, on peut faire marcher de
vieilles machines et ca, c'est tres interessant, enfin, je passe...
pour en revenir a la box, je prefere la laisser telle qu'elle
Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement pas de firmware tiers pour les boxes fournies par les FAI), mais de la
C'est vrai que moi, tout de suite, je pense a tout ratiboiser, brut de decoffrage, mais j'ai encore une mauvaise perception de l'architecture box, puis ce genre d'architecture, c'est occulte, ou alors, si quelqu'un s'y connait, qu'il me contacte, je serais interesse par la mise au point, comme tu me l'as souligné Cornelia, d'un passage en mode modem/bridge, sans biensur niquer le telephone, car j'en ai vraiment besoin.
faire fonctionner en simple modem/bridge, si c'est possible, et de mettre un routeur plus élaboré derrière elle.
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ? J'ai cherche mais je truove que des quatre ports, or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter, pas que je sois radin, mais avec Linux, on peut faire marcher de vieilles machines et ca, c'est tres interessant, enfin, je passe...
Bien amicalement,
Régis.
--
Regis
Xavier wrote:
DMZ
La Livebox le permet, mais bon, faudrait connaitre deja quelqu'un qui a testé, ou alors peux tu me guider, ceci en me conseillant un bon routeur ?
Un vieux PC de récup, même pas trop puissant, pourvu qu'il accepte au moins deux (ou trois) cartes Ethernet fera l'affaire.
Le seul vieux PC que j'ai est un desktop malheureusement :-(
En plus, c'est très pédagogique. J'ai comme ça, pendant plus de dix ans échangé des connaissances et des expériences entre mon réseau-de- chez-moi où je testais des trucs, et celui de ma boîte, où ils étaient très contents que mes modifications ne tombent pas le réseau pendant trois jours.
"Pedagogique", ca je veux bien te croire, c'est en tatonnant en empiriste que l'on peut que se former et comprendre !
Tiens, hier, plantage du disque dur de mon vieux PC : un probleme de demarrage bien que le disque dur soit neuf, j'ai perdu mon S.E (abime par ci par la), et cette nuit, j'ai tout remonte, la je poste avec ce dernier, j'ai Xfce4 et je l'ai mis en serveur de fichiers, ca marche, mais ca mouline un petit peu :-p
J'ai un vieux PC au bureau, mais c'est un 300 Mhz, une grande tour avec 512 Mo de RAM, mais j'ai plus de place chez moi :-)
Bien amicalement,
Régis.
--
Xavier wrote:
DMZ
La Livebox le permet, mais bon, faudrait connaitre deja quelqu'un qui a
testé, ou alors peux tu me guider, ceci en me conseillant un bon routeur ?
Un vieux PC de récup, même pas trop puissant, pourvu qu'il accepte au
moins deux (ou trois) cartes Ethernet fera l'affaire.
Le seul vieux PC que j'ai est un desktop malheureusement :-(
En plus, c'est très pédagogique. J'ai comme ça, pendant plus de dix
ans échangé des connaissances et des expériences entre mon réseau-de-
chez-moi où je testais des trucs, et celui de ma boîte, où ils
étaient très contents que mes modifications ne tombent pas le réseau
pendant trois jours.
"Pedagogique", ca je veux bien te croire, c'est en tatonnant en
empiriste que l'on peut que se former et comprendre !
Tiens, hier, plantage du disque dur de mon vieux PC : un probleme de
demarrage bien que le disque dur soit neuf, j'ai perdu mon S.E (abime
par ci par la), et cette nuit, j'ai tout remonte, la je poste avec ce
dernier, j'ai Xfce4 et je l'ai mis en serveur de fichiers, ca marche,
mais ca mouline un petit peu :-p
J'ai un vieux PC au bureau, mais c'est un 300 Mhz, une grande tour avec
512 Mo de RAM, mais j'ai plus de place chez moi :-)
La Livebox le permet, mais bon, faudrait connaitre deja quelqu'un qui a testé, ou alors peux tu me guider, ceci en me conseillant un bon routeur ?
Un vieux PC de récup, même pas trop puissant, pourvu qu'il accepte au moins deux (ou trois) cartes Ethernet fera l'affaire.
Le seul vieux PC que j'ai est un desktop malheureusement :-(
En plus, c'est très pédagogique. J'ai comme ça, pendant plus de dix ans échangé des connaissances et des expériences entre mon réseau-de- chez-moi où je testais des trucs, et celui de ma boîte, où ils étaient très contents que mes modifications ne tombent pas le réseau pendant trois jours.
"Pedagogique", ca je veux bien te croire, c'est en tatonnant en empiriste que l'on peut que se former et comprendre !
Tiens, hier, plantage du disque dur de mon vieux PC : un probleme de demarrage bien que le disque dur soit neuf, j'ai perdu mon S.E (abime par ci par la), et cette nuit, j'ai tout remonte, la je poste avec ce dernier, j'ai Xfce4 et je l'ai mis en serveur de fichiers, ca marche, mais ca mouline un petit peu :-p
J'ai un vieux PC au bureau, mais c'est un 300 Mhz, une grande tour avec 512 Mo de RAM, mais j'ai plus de place chez moi :-)
Bien amicalement,
Régis.
--
Pascal Hambourg
Stephane Catteau a écrit :
Pour ne pas avoir à réinventer la roue, avec tout ce que cela impliquerait comme problèmes, les filtre IP travaillent en plaçant des hooks sur la pile IP[1].
Oui, en tout cas c'est ce que fait netfilter.
Du coup je ne comprends pas ta remarque. Que le firewall soit directement sur la machine protégée ou sur une machine déportée ne change pas grand chose. Dans les deux cas la pile IP d'une machine par laquelle la connexion est obligée de passer est saturée, donc dans les deux cas il y a (D)DoS. Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans ce cas, quoi ?
Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile IP". Que veux-tu dire exactement par là ?
Stephane Catteau a écrit :
Pour ne pas avoir à réinventer la roue, avec tout ce que cela
impliquerait comme problèmes, les filtre IP travaillent en plaçant des
hooks sur la pile IP[1].
Oui, en tout cas c'est ce que fait netfilter.
Du coup je ne comprends pas ta remarque. Que
le firewall soit directement sur la machine protégée ou sur une machine
déportée ne change pas grand chose. Dans les deux cas la pile IP d'une
machine par laquelle la connexion est obligée de passer est saturée,
donc dans les deux cas il y a (D)DoS.
Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans
ce cas, quoi ?
Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile
IP". Que veux-tu dire exactement par là ?
Pour ne pas avoir à réinventer la roue, avec tout ce que cela impliquerait comme problèmes, les filtre IP travaillent en plaçant des hooks sur la pile IP[1].
Oui, en tout cas c'est ce que fait netfilter.
Du coup je ne comprends pas ta remarque. Que le firewall soit directement sur la machine protégée ou sur une machine déportée ne change pas grand chose. Dans les deux cas la pile IP d'une machine par laquelle la connexion est obligée de passer est saturée, donc dans les deux cas il y a (D)DoS. Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans ce cas, quoi ?
Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile IP". Que veux-tu dire exactement par là ?
Cornelia Schneider
Regis wrote in news:49e98ef3$0$17068$ba4acef3 @news.orange.fr:
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ? J'ai cherche mais je truove que des quatre ports, or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter, pas que je sois radin, mais avec Linux, on peut faire marcher de vieilles machines et ca, c'est tres interessant, enfin, je passe...
Rien ne t'empêche de mettre un switch derrière le routeur. J'utilise actuellement un LinkSys WRT54GL (routeur), sous DD-WRT, derrière un LinkSys AM200 (modem/bridge) et devant un switch Ethernet huit ports. Ce qui me donne 11 ports Ethernet au total.
Cornelia
-- Be out and be proud - today is the first day of the rest of your life Support Transgenre Strasbourg : www.sts67.org Creative stuff : www.bownbend.com GPG key ID 83FF7452
Regis <regis@regux.com.invalid> wrote in news:49e98ef3$0$17068$ba4acef3
@news.orange.fr:
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
firewall huit ports ? J'ai cherche mais je truove que des quatre ports,
or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant
pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter,
pas que je sois radin, mais avec Linux, on peut faire marcher de
vieilles machines et ca, c'est tres interessant, enfin, je passe...
Rien ne t'empêche de mettre un switch derrière le routeur. J'utilise
actuellement un LinkSys WRT54GL (routeur), sous DD-WRT, derrière un LinkSys
AM200 (modem/bridge) et devant un switch Ethernet huit ports. Ce qui me
donne 11 ports Ethernet au total.
Cornelia
--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452
Regis wrote in news:49e98ef3$0$17068$ba4acef3 @news.orange.fr:
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ? J'ai cherche mais je truove que des quatre ports, or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter, pas que je sois radin, mais avec Linux, on peut faire marcher de vieilles machines et ca, c'est tres interessant, enfin, je passe...
Rien ne t'empêche de mettre un switch derrière le routeur. J'utilise actuellement un LinkSys WRT54GL (routeur), sous DD-WRT, derrière un LinkSys AM200 (modem/bridge) et devant un switch Ethernet huit ports. Ce qui me donne 11 ports Ethernet au total.
Cornelia
-- Be out and be proud - today is the first day of the rest of your life Support Transgenre Strasbourg : www.sts67.org Creative stuff : www.bownbend.com GPG key ID 83FF7452
Christophe Bachmann
Regis a écrit :
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ? J'ai cherche mais je truove que des quatre ports, or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter, pas que je sois radin, mais avec Linux, on peut faire marcher de vieilles machines et ca, c'est tres interessant, enfin, je passe...
Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre port, tu en as pour moins cher qu'un routeur huit ports, et en plus tu peux choisir comment grouper tes machines pour optimiser les trafics.
-- Greetings, Salutations, Guiraud Belissen, Château du Ciel, Drachenwald, Chris CII, Rennes, France
Regis a écrit :
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
firewall huit ports ? J'ai cherche mais je truove que des quatre ports,
or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant
pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter,
pas que je sois radin, mais avec Linux, on peut faire marcher de
vieilles machines et ca, c'est tres interessant, enfin, je passe...
Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre
port, tu en as pour moins cher qu'un routeur huit ports, et en plus tu
peux choisir comment grouper tes machines pour optimiser les trafics.
--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ? J'ai cherche mais je truove que des quatre ports, or, j'ai quatre PC, une camera IP et un NAS, ca fait beaucoup maintenant pour mon petit bureau, mais j'accumule-j'accumule, je veux pas jeter, pas que je sois radin, mais avec Linux, on peut faire marcher de vieilles machines et ca, c'est tres interessant, enfin, je passe...
Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre port, tu en as pour moins cher qu'un routeur huit ports, et en plus tu peux choisir comment grouper tes machines pour optimiser les trafics.
-- Greetings, Salutations, Guiraud Belissen, Château du Ciel, Drachenwald, Chris CII, Rennes, France
Cornelia Schneider
Christophe Bachmann wrote in news:49e9ca17$0$17069 $:
Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre port, tu en as pour moins cher qu'un routeur huit ports
Mais ça ne fait toujours que sept ports disponibles, d'où mon conseil d'un switch huit ports. Le différence de prix est de toutes façons minime. Et on n'a d'expérience jamais trop de ports disponibles...
Cornelia
-- Be out and be proud - today is the first day of the rest of your life Support Transgenre Strasbourg : www.sts67.org Creative stuff : www.bownbend.com GPG key ID 83FF7452
Christophe Bachmann <Chris_CII@JMVD.Info> wrote in news:49e9ca17$0$17069
$ba4acef3@news.orange.fr:
Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre
port, tu en as pour moins cher qu'un routeur huit ports
Mais ça ne fait toujours que sept ports disponibles, d'où mon conseil d'un
switch huit ports. Le différence de prix est de toutes façons minime. Et on
n'a d'expérience jamais trop de ports disponibles...
Cornelia
--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452
Christophe Bachmann wrote in news:49e9ca17$0$17069 $:
Tu prends un routeur quatre ports, et tu ajoutes un petit switch quatre port, tu en as pour moins cher qu'un routeur huit ports
Mais ça ne fait toujours que sept ports disponibles, d'où mon conseil d'un switch huit ports. Le différence de prix est de toutes façons minime. Et on n'a d'expérience jamais trop de ports disponibles...
Cornelia
-- Be out and be proud - today is the first day of the rest of your life Support Transgenre Strasbourg : www.sts67.org Creative stuff : www.bownbend.com GPG key ID 83FF7452
siger
Stephane Catteau a écrit :
Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me retrouvant dans l'obligation de changer de firewall, je n'ai aucune idée du choix à faire. Je cherche quelque chose de souple, d'efficace, de gratuit et de stable. L'idéal ce serait quelque chose comme Sunbelt Personnal Firewall mais qui ne me claquerait pas dans les doigts tous les deux jours en m'obligeant à le désinstaller et le réinstaller.
Bonjour,
J'utilise depuis longtemps Kerio v2 et quelques, et je vois que personne n'en parle. Est-il urgent que je change ? ;-)
-- siger
Stephane Catteau a écrit :
Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me
retrouvant dans l'obligation de changer de firewall, je n'ai aucune
idée du choix à faire.
Je cherche quelque chose de souple, d'efficace, de gratuit et de
stable. L'idéal ce serait quelque chose comme Sunbelt Personnal
Firewall mais qui ne me claquerait pas dans les doigts tous les deux
jours en m'obligeant à le désinstaller et le réinstaller.
Bonjour,
J'utilise depuis longtemps Kerio v2 et quelques, et je vois que
personne n'en parle. Est-il urgent que je change ? ;-)
Bon, j'ai honte, mais j'ai un peu perdu de vue tout ça, et me retrouvant dans l'obligation de changer de firewall, je n'ai aucune idée du choix à faire. Je cherche quelque chose de souple, d'efficace, de gratuit et de stable. L'idéal ce serait quelque chose comme Sunbelt Personnal Firewall mais qui ne me claquerait pas dans les doigts tous les deux jours en m'obligeant à le désinstaller et le réinstaller.
Bonjour,
J'utilise depuis longtemps Kerio v2 et quelques, et je vois que personne n'en parle. Est-il urgent que je change ? ;-)
-- siger
Stephane Catteau
Regis n'était pas loin de dire :
[...] mais j'ai encore une mauvaise perception de l'architecture box, puis ce genre d'architecture, c'est occulte, [...]
Dans les faits une box n'est rien d'autre qu'un modem. S'il ne peut pas passer en mode bridge il lui reste quand même la possibilité de rediriger les connexions entrantes vers une machine unique, qui serait alors ton routeur.
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ?
Un routeur/firewall quatre ports et derrière l'un des ports tu places un switch sur lequel tu mets les PC.
Regis n'était pas loin de dire :
[...] mais j'ai encore une mauvaise perception de l'architecture
box, puis ce genre d'architecture, c'est occulte, [...]
Dans les faits une box n'est rien d'autre qu'un modem. S'il ne peut
pas passer en mode bridge il lui reste quand même la possibilité de
rediriger les connexions entrantes vers une machine unique, qui serait
alors ton routeur.
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur /
firewall huit ports ?
Un routeur/firewall quatre ports et derrière l'un des ports tu places
un switch sur lequel tu mets les PC.
[...] mais j'ai encore une mauvaise perception de l'architecture box, puis ce genre d'architecture, c'est occulte, [...]
Dans les faits une box n'est rien d'autre qu'un modem. S'il ne peut pas passer en mode bridge il lui reste quand même la possibilité de rediriger les connexions entrantes vers une machine unique, qui serait alors ton routeur.
Tu (ou quelqu'un du forum) pourrais me conseiller un bon routeur / firewall huit ports ?
Un routeur/firewall quatre ports et derrière l'un des ports tu places un switch sur lequel tu mets les PC.
Stephane Catteau
Pascal Hambourg devait dire quelque chose comme ceci :
Du coup je ne comprends pas ta remarque. Que le firewall soit directement sur la machine protégée ou sur une machine déportée ne change pas grand chose. Dans les deux cas la pile IP d'une machine par laquelle la connexion est obligée de passer est saturée, donc dans les deux cas il y a (D)DoS. Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans ce cas, quoi ?
Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile IP". Que veux-tu dire exactement par là ?
Je viens de me relire, et c'est moi qu'y ais plantu en fait. Je pensais écrire un truc et j'en ai écrit un autre, du coup c'était pas aussi clair que ça. Je vais donc la refaire autrement.
Résumé du fonctionnement standard d'une connexion entrante :
1) La machine d'origine essaie de se connecter sur le port xy 2) La machine cible reçoit une demande de connexion vers le port xy 3) La pile IP prend en charge cette demande de connexion et alloue l'espace nécessaire pour la traiter. 4) Le filtre IP prend le relais et décide de ce qu'il va faire. 5a) Le filtre IP accepte la connexion, il rend la main à la pile IP qui continue son travail 5b) Le filtre IP rejète proprement la connexion, il renvoie un RST si c'est du TCP, le message ICMP qui va bien dans les autres cas. 5c) Le filtre IP rejète salement la connexion, il drop le paquet, ce qui coupe la connexion au niveau de la machine d'origine.
Les ports "stealth" à la Gibson rajoute un option : 5d) Le filtre IP refuse la connexion mais décide que c'est au client de la couper.
Dans le cas 5a, l'espace alloué par la pile IP est encore utilisé pendant une fraction de seconde, jusqu'à ce que le paquet soit transmis au serveur. Dans les cas 5b et 5c, l'espace alloué est aussitôt libéré. Mais dans le cas 5d, l'espace alloué reste utilisé pendant une trentaine de seconde, délais moyen avant que le client ne décide qu'il y a TimeOut pour la connexion. Alors certes, une pile IP bien faite n'arrivera jamais à bout d'espace, parce qu'elle peut en allouer à hauteur de la RAM + le swap. Par contre la table interne qui lui permet de faire le lien entre l'espace alloué et la connexion elle-même n'est pas extensible à l'infinie et finira par saturer. Il faudra un nombre conséquent de connexions, mais ça n'est pas vraiment le plus difficile pour quelqu'un qui cherche à faire un DDoS.
Pascal Hambourg devait dire quelque chose comme ceci :
Du coup je ne comprends pas ta remarque. Que
le firewall soit directement sur la machine protégée ou sur une machine
déportée ne change pas grand chose. Dans les deux cas la pile IP d'une
machine par laquelle la connexion est obligée de passer est saturée,
donc dans les deux cas il y a (D)DoS.
Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans
ce cas, quoi ?
Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile
IP". Que veux-tu dire exactement par là ?
Je viens de me relire, et c'est moi qu'y ais plantu en fait. Je
pensais écrire un truc et j'en ai écrit un autre, du coup c'était pas
aussi clair que ça. Je vais donc la refaire autrement.
Résumé du fonctionnement standard d'une connexion entrante :
1) La machine d'origine essaie de se connecter sur le port xy
2) La machine cible reçoit une demande de connexion vers le port xy
3) La pile IP prend en charge cette demande de connexion et alloue
l'espace nécessaire pour la traiter.
4) Le filtre IP prend le relais et décide de ce qu'il va faire.
5a) Le filtre IP accepte la connexion, il rend la main à la pile IP qui
continue son travail
5b) Le filtre IP rejète proprement la connexion, il renvoie un RST si
c'est du TCP, le message ICMP qui va bien dans les autres cas.
5c) Le filtre IP rejète salement la connexion, il drop le paquet, ce
qui coupe la connexion au niveau de la machine d'origine.
Les ports "stealth" à la Gibson rajoute un option :
5d) Le filtre IP refuse la connexion mais décide que c'est au client de
la couper.
Dans le cas 5a, l'espace alloué par la pile IP est encore utilisé
pendant une fraction de seconde, jusqu'à ce que le paquet soit transmis
au serveur.
Dans les cas 5b et 5c, l'espace alloué est aussitôt libéré.
Mais dans le cas 5d, l'espace alloué reste utilisé pendant une
trentaine de seconde, délais moyen avant que le client ne décide qu'il
y a TimeOut pour la connexion. Alors certes, une pile IP bien faite
n'arrivera jamais à bout d'espace, parce qu'elle peut en allouer à
hauteur de la RAM + le swap. Par contre la table interne qui lui permet
de faire le lien entre l'espace alloué et la connexion elle-même n'est
pas extensible à l'infinie et finira par saturer. Il faudra un nombre
conséquent de connexions, mais ça n'est pas vraiment le plus difficile
pour quelqu'un qui cherche à faire un DDoS.
Pascal Hambourg devait dire quelque chose comme ceci :
Du coup je ne comprends pas ta remarque. Que le firewall soit directement sur la machine protégée ou sur une machine déportée ne change pas grand chose. Dans les deux cas la pile IP d'une machine par laquelle la connexion est obligée de passer est saturée, donc dans les deux cas il y a (D)DoS. Ou alors, ce qui est possible, il y a un truc qui m'échappe, mais dans ce cas, quoi ?
Ou alors, je me suis mépris sur ce que tu entends par "saturer la pile IP". Que veux-tu dire exactement par là ?
Je viens de me relire, et c'est moi qu'y ais plantu en fait. Je pensais écrire un truc et j'en ai écrit un autre, du coup c'était pas aussi clair que ça. Je vais donc la refaire autrement.
Résumé du fonctionnement standard d'une connexion entrante :
1) La machine d'origine essaie de se connecter sur le port xy 2) La machine cible reçoit une demande de connexion vers le port xy 3) La pile IP prend en charge cette demande de connexion et alloue l'espace nécessaire pour la traiter. 4) Le filtre IP prend le relais et décide de ce qu'il va faire. 5a) Le filtre IP accepte la connexion, il rend la main à la pile IP qui continue son travail 5b) Le filtre IP rejète proprement la connexion, il renvoie un RST si c'est du TCP, le message ICMP qui va bien dans les autres cas. 5c) Le filtre IP rejète salement la connexion, il drop le paquet, ce qui coupe la connexion au niveau de la machine d'origine.
Les ports "stealth" à la Gibson rajoute un option : 5d) Le filtre IP refuse la connexion mais décide que c'est au client de la couper.
Dans le cas 5a, l'espace alloué par la pile IP est encore utilisé pendant une fraction de seconde, jusqu'à ce que le paquet soit transmis au serveur. Dans les cas 5b et 5c, l'espace alloué est aussitôt libéré. Mais dans le cas 5d, l'espace alloué reste utilisé pendant une trentaine de seconde, délais moyen avant que le client ne décide qu'il y a TimeOut pour la connexion. Alors certes, une pile IP bien faite n'arrivera jamais à bout d'espace, parce qu'elle peut en allouer à hauteur de la RAM + le swap. Par contre la table interne qui lui permet de faire le lien entre l'espace alloué et la connexion elle-même n'est pas extensible à l'infinie et finira par saturer. Il faudra un nombre conséquent de connexions, mais ça n'est pas vraiment le plus difficile pour quelqu'un qui cherche à faire un DDoS.
