CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <grêles@differences-assumerons.com> <perclus@rêvassez-latins.com> <jouirent@tactiles-apposons.com> <destabilisa@amendements-seduiriez.com> <parcellises@approximations-eclaircira.com> <conditionnees@sterilisiez-embrayerait.com> <grainetier@enucleer-sarment.com> <realiserait@eclairerait-ouatee.com> <gonfleraient@byzantins-gueuses.com> <ecroulements@pretentieuse-begueules.com> ) 

Le Lundi 08 Juillet 2002 08:35, Nath a écrit :

Je crois que ta question montre un peu de confusion dans l'usage du firewall.

Et en particulier, elle ne prend pas en compte le fait qu'une communication se 
fait à partir d'un port de départ, vers un port d'arrivée.

Prenons l'exemple d'un navigateur. Il utilise un port de départ quelconque et 
non privilégié (>1024) pour s'adresser au port dédié au http (80) du serveur.
Pour consulter une page web, tu n'a donc pas besoin d'ouvrir le port 80.
C'est uniquement lorsque tu désires installer un serveur que tu doit établir 
une règle l'autorisant.

Mais avant de parler de règles particulières, il vaut mieux commencer avec les 
règles générales. Tu dois en avoir un jeu qui définit ta politique par 
défaut.

Pour faire simple, l'idéal c'est de laisser passer les réquêtes sortantes, 
d'interdire par défaut le traffic entrant, sauf les paquets qui répondent à 
tes requêtes.

Il faudrait donc que tu examine tes règles générales pour voir si tu as 
quelque chose qui y correspond.

Ça doit ressembler à quelque chose comme :
en INPUT
ACCEPT all  --  anywhere  anywhere  state RELATED,ESTABLISHED (accepter ce qui 
répond à tes requêtes)
DROP       all  --  anywhere             anywhere  (refuser le reste en 
entrée)

en OUTPUT
ACCEPT   all --  anywhere             anywhere  (tout accepter en sortie)

Si tu as des règles de ce genre, le comportement que tu as constaté est 
normal, même sans aucun port ouvert. Tu pourras naviguer, te connecter à 
l'IRC, etc. Par contre nmap ne verra plus rien d'ouvert sur ta machine.

Et après on peut paufiner.

A+
CPHIL

-- 
Et dire que chaque fois que nous votions pour eux
Nous faisions taire en nous ce cri : "ni Dieu ni maître"
Dont ils rient aujourd'hui puisqu'ils se sont faits Dieux
Et qu'une fois de plus nous nous sommes faits mettre.
	-- Renaud


---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.