Reprise du message précédent :
J'ai trouvé, c'est la regle other dns qui bloque le port distant 53

les dns?
 
edit : grillaid de 2s  

salut a tous, j'ai depuis pas mal de mois kerio et je dois dire que ca marche pas mal, mais deux ou trois trucs que je n'ai pas compris lors de ma config, c'est la config des DNS.
 
pourquoi faut il configurer seulement les DNS de son FAI(wanadoo pour moi) ?
 
il y'a quelques regles que je ne maitrise pas, et ca me pose des problemes suivant :
- Webcam sous windows messenger marche pas(enfin ca la met puis ca la coupe)
- malgres une regle pour moi prog FTP en autorisant tout, ce prog ne marche pas
-en reseau local, les pc client voient mon pc et les fichiers en partage, mais mon PC(avec kerio et sert de passerelle) ne voit aucun des PC. pourquoi ?
 
 
voila un screen de mes regles, j'en ai enlevé quelques une de mes prog pour plus de lisibilité :  
 
http://membres.lycos.fr/chopper1009/chopper/kerio.JPEG

je vois pas l'intérêt de la règle 4 (bloque tous les dns) alors que la 3 au dessus les autorise tous
 
ta règle 8 bloque l'entrée sur le port 21 donc évidemment les progs en ftp ne peuvent pas fonctionner. Moi mon prog FTP est configuré en TCP(both) sur les adresses dont je me sers sur les ports distants 20 et 21. Sauf pour mes sites Free car en TCP(in) le port est "exotique"
 
Pour le mail je vois pas pourquoi tu as un port 119 c'est quoi? et le 3128 pour IE c'est quoi?
 

meme lien mais plus les meme "erreurs" :
http://membres.lycos.fr/chopper1009/chopper/kerio.JPEG
 
sinon mon FTP ne  marche toujours pas !!
 
et pour mes autres ennuis ?!? SVP
 
 
merci

 
normal pour le ftp, tu mets ton serveur ftp qui écoute sur le port 21 juste en dessous d'une ligne qui bloque tous les ports de 1 à 79
 
A+

j'ai mis mon FTP tout en haut de la liste, regler :
TCP
les deux; programe wsftpro, et le reste j'ai autorisé tous les ports et toutes les adresses, et malgré ça, ça ne marche toujours pas !
 
sinon pour l'organisation de mes regles y'a pas de probleme ?
 
 
pour le reseaux ou les pc client ne peuvent pas me voir ca vient de quoi ?
et pour la webcam sous msn ?
 
merci
 

>chopper77
Je ne comprend pas l'intéret des règles 1a et 1b qui sont bloquée par les 2a et 2b qui se trouvent au dessus.
pour la règle 3b, ta plage d'ip est assez grande. Mieux vaudrait faire deux règles, une par IP.
 
Pour ton réseau local, est-ce que cela fonctionne bien sans firewall ?

limiter le risque de sécurité: les attaques sur DNS ont existé, ce serait bête d'imaginer qu'il ne puisse pas y en avoir d'autre à l'avenir
* tes règles 1 devraient être devant les règles 2 mais spécifier un masque d'IP correspondant au réseau local. Si tu n'as pas de réseau local, supprime les règles 1.
* Règle 3a: spécifier les mêmes IP que pour la 3b.
 
* en fait, au lieu de bloquer au cas par cas, tu devrais dire à ton firewall de bloquer tout ce qui n'est pas connu (la réglette à l'écran précédent) ou alors mettre une règle tout à la fin de ta liste: tout bloquer en entrée ET en sortie (ça a l'avantage de bloquer quelques spywares ou virus qui voudraient se connecter au net). Tu pourras virer toutes les règles qui bloquent quelque chose, pour raccourcir ta liste.
 
Note pour moi-même, retrouver mes règles concernant mon client FTP

drasche : sans pousser pourrais tu si c possible exporter toutes tes regles (gateway et pc normal) , et les mettre a disp Vu que tu as l'air de maitriser kerio

je soutiens hfrfc,  
faisons une petition pour que drasche publie ses regles !!!

j'ai pas vraiment de firewall configuré pour PC normal (en fait le firewall portable ne me servait à rien et ça m'étonnerait qu'il soit à jour: je suis toujours connecté au net depuis un réseau interne.
 
Pour la gateway par contre, aucun problème, je vais voir ça ce soir
 
edit: en fait je pense que la config firewall du portable est au poil en ce moment, j'ai dû l'utiliser il y a moins d'un mois pour connexion directe au net.

 
sans kerio ca marche
 
sinon meme en changeant les regles, j'ai toujours les memes problemes, le pc client voit pas le mon pc, et mon prog FTP ne marche toujours pas meme en le mettant tout en haut.
 
des idées pour que ca marche ???

ça serait cool que tu mettes ta config gateway dispo

comme promis, ma config gateway
 
http://www.nightwing.easynet.be/pi [...] newton.png
 
(oui, les curieux devineront que ma gateway s'appelle newton )
 
Des remarques? Certainement n'est-ce pas.
 
D'abord, j'ai désactivé les options comme celles liées au Microsoft Networking: tout est fait à la mano chez moi. Ensuite, vous le verrez dans les règles, mon réseau local est défini sur le masque 192.168.0.0/255.255.255.0
 
Maintenant, quelques règles:
1) 169.254: c'est la rule qui s'interface sur ma carte réseau connectée au modem: elle génère pas mal de trafic et m'ennuie, j'en ai fait une rule pour ne pas voir ce trafic dans mon log, donc c'est totalement facultatif. En fait je pourrais tout aussi bien le barrer que ça n'empêcherait aucunement le réseau de fonctionner.
2) le DNS: celui-là, je ne pige pas encore tout. Je pensais qu'il suffisait de préciser que le port de destination était le 53 et c'était bon (donc une rule en sortie, et une autre en entrée), mais non, il émet aussi en 53 (en tout cas côté provider), alors j'ai élargi les rules à toutes directions (Both).
3) Tiny Personal Firewall Console & Engine -> ça, c'est pour autoriser l'administration distante depuis newton (Console) ou depuis une autre machine (Engine). Je pourrais supprimer ces règles vu qu'il s'agit de réseau local et que j'ai une règle définie plus loin. J'ai donc un peu de nettoyage à faire
4) NetBIOS: même commentaire que précédént: j'ai une règle autorisant le réseau local pour ça, donc facultatif. En fait, je me rappelle maintenant que j'ai créé ces règles spécifiques car je voulais éliminer la règle autorisant le réseau local (une technique comme une autre pour que la gateway se protège d'agressions venant de l'intérieur).
5) SmartFTP: une règle pour accepter les connexions entrantes sur un range de ports que j'ai défini dans SmartFTP, voilà l'envers du décors du mode FTP passif  L'autre règle est plus classique, à savoir ouvrir des connexions vers les serveurs. En mode PASV, le serveur ouvre aussi une connexion vers vous.
6) DHCP renew: là aussi j'ai toujours un peu de mal à me rappeler. Il y a une règle pour le serveur DHCP intégré à Winroute (indispensable même si c'est le réseau local: il suffit de voir les adresses IP dans la rule); l'autre règle (DHCP) est pour le serveur DHCP de mon provider.
7) des règles indispensables pour Winroute, qui gère le partage de connexion, le DNS forwarding et le port forwarding.
8) Filezilla, ici on parle du serveur FTP, non du client. Il reçoit sur le 21, émet sur le 20, ainsi qu'un range préalloué de ports (toujours ce fameux mode passif). N'empêche, j'ai l'impression d'avoir loupé un truc, faudra que j'optimise un peu tout ça
9) les blocages: si vous bloquez l'inconnu via la réglette à l'écran précédent, ces 3 règles ne sont d'aucune utilité. Personnellement, ça me sert à générer un peu du log et voir ce qu'il se passe quand j'ai le dos tourné
 
N'oubliez surtout pas que la meilleure défense reste d'interdire tout, et de n'autoriser que ce qui est nécessaire à votre système.
 
edit: j'oubliais le Local LAN enabled, c'est la fameuse règle qui autorise tout trafic sur le réseau local (je remets mon screenshot en url pour ne pas niquer la mise en page du forum )

merci
 
N'hesite pas a nous faire part de tes nouvelles decouvertes  

En ce qui concerne mon problème d'accès aux ftp, j'avais donné toutes les permitions à mon prog ftp, en mettant la regle en premier... Rien n'y fait !
 
J'ai donc désactivé K2... Surprise : toujours impossible d'y acceder    
Le firewall windaube n'est pas activé, et je ne sais pas d'où ça peut venir    
 
Z'auriez pas une idée svp?
Merci bien

T'es sur une réseau local?

Pas en ce moment meme...

T'as mis ton client ftp en mode passif?
T'arrive à accéder au ftp avec ton navigateur?

Mode passif? désolé, je ne sais ni à quoi ça sert, ni comment on fait (noob inside   )
 
Et aparament, je n'accede pas aux ftp avec mon navigateur    

c super drashe encore merci!
 
une préférence au niveau des dns? on m'a conseillé ceux d'oléane...

arf j'ai oublié de maquiller mes DNS, bon c'est pas grave
j'utilise ceux de mon provider, tout simplement

 
pendant 1 connexion ftp ya 2 canaux :
- un canal pour les commandes (lister, copier, supprimer, ...)
- un canal pour les données (transfert d'un fichier ...)
 
dans les 2 types de connexions, le serveur ftp écoute sur le port 21 pour y ouvrir le canal de commandes.
 
par contre, lors d'une connexion active, le client écoute sur un port donné : il attend que le serveur ftp se connecte à lui pour ouvrir le canal de données.
le client joue donc lui aussi en quelque sorte le role d'un serveur.
 
dans le cas de la connexion passive, c'est le serveur ftp qui écoute sur un port et attend que le client s'y connecte.
 
 
la connexion passive est utile à un client quand il est derriere un firewall par exemple et qu'il ne peut pas faire office de serveur.
 
pour se connecter en mode passif, soit utiliser un client ftp correct (l'option mode passif se trouvera qq part dans les préférences)
 
sinon dans ie (berk), outils=> options internet => avancé => navigation => utiliser le mode ftp passif
 
A+

 
depuis le temps que j'attends que tu la publie celle-là, car mon kerio est mal configuré sur mon portable, et j'aime bien tes règles..

bon, j'ai (comme par hasard ) eu une demande, j'ai filé un accès FTP à un pote, et évidemment ça ne marche pas (timeout sur LIST). Donc ce soir, je chercherai ce qui ne va pas. Ces règles ont vraiment besoin d'être tunées

bon, j'ai réessayé, en mode passif, ça fonctionne. Avec les explications de Babouchka ( ), je comprends mieux pourquoi (chuis au boulot donc le mode actif c'est DMC)

voila je veux mettre la version kerio 2.1.5 ais je raison? ou faut-il mettre la derniere version?
 
esnuite est-il necessaire de savoir faire des regles  ou alors vaut-il meiux mettre l'option d'etre au courant quand une nouvelle apli essaye d'acceder au net? et si on la connais on la rajoute dans nos regles?
 
zone alram gratuit n'ets pas configurable s, laisse t-il de nombreux trou ?
 
si on c'ets pas bien configurer kerio est-il judicueix de prendre celui la? ;o)

Un tableau de comparaison:
http://www.kerio.com/kpf_comparison_version.html
Je préfère la version 2.1.5 car elle fait uniquement ce que j'attends d'un firewall. Même si la version 4 ajoute certaines fonctions peut-être pratiques, j'estime qu'elles n'ont rien à faire dans un firewall. De plus, certaines fonctions se désactivent au bout de 30 jours (si on veut la gratuité).
Je ne suis pas le seul à penser comme ça.
 

Je suis d'avis à attendre qu'une appli tente de se connecter pour faire les règles. Si on ne la connais pas, on fait un STFW pour voir si l'application a une bonne raison de se connecter à ce moment précis.  
Mais chacun sa méthode.
 

Mon avis: oui. Un firewall mal configuré ne sert à rien. Au pire, ça fait même croire qu'on est protégé alors que ce n'est pas le cas. Autant prendre dans ce cas un firewall considéré moins bon mais bien arriver à le configurer comme il faut.

Salut à tous!
 
Ca fait un petit moment que je suis le topic.
 
J'ai quelques notions sur le réseau et la sécurité mais rien comparé à d'autres personnes ici donc j'ai essayé de faire au mieux en suivant les conseils de tout le monde.
 
Mon PC serveur 192.168.0.1 partage la connexion internet avec 192.168.0.2 et voici les règles du serveur :
 
// edit : obsolète, regarde plus bas
 

 
// edit : obsolète, regarde plus bas
 
Qu'en pensez vous?    
 
Merci à tous

on dirait mes règles mais en version simplifiée
 
( -> )

Bah oué je m'en suis bien aidé pour faire un truc le mieux possible...
 
Elles te parraissent satisfaisantes? Aucun truc que j'aurai mal recopié et qui laisserait une possibilité?
 
Encore merci

moi j'aime bien le "emule" à ta place je restreindrai les ports quand même
 
edit : je suis pas pour les "any port" surtout en entrant

tu peux:
* limiter ICMP à l'usage des types 0, 8, 11 (il est vrai qu'on ne les voit pas dans la liste)
* virer les interdictions NetBIOS (double-emploi avec les dernières règles)
* limiter l'administration Kerio à un seul port (ingoing TCP 44334), je vois que je ne l'ai pas fait dans mes règles, c'est une faute  En fait, puisque tu autorises le réseau local, cette règle est superflue
* Opera et IE n'utilisent que le TCP, tu peux donc leur interdire l'usage d'UDP
Au niveau eMule, je vais rien dire, je ne connais pas assez

Je passe juste pour vous dire MERCI a tous
 
En effet, je cherchais depuis un moment un firewall pour remplacer mon vénérable AtGuard (qui fonctionne encore tres bien a condition de ne pas avoir besoin de logs sous XP) et j'ai touvé grace a vous kerio en version 2.1.5 qui est exactement ce que je charchais :  
C'est a dire un firewall qui prend pas la tete (il apprend tout seul) et qui se traine pas une interface a la noix empechant de parametrer finement les regles (j'ai entre autres essayé Z. Alarme et... )
Par rapport a AtGuard il ne gere pas les antipub ni 2 ou 3 fonctions du genre mais c'est sans importance.
Bref kerio 2.1.5, j'ai testé avec mefiance et j'ai adopté
 
La version 4... bah comme ZA : interface lourde et penible (je suis peut etre spécial mais j'ai du mal avec les interface moderne type ZA, je comprend pas, j'arrive pas faire ce que je veut avec )...

 
Le problème c que ce genre de logiciel utilise pas mal de ports donc comment limiter...

pour les antipub j'utilise Firefox couplé à un fichier userContent.css et pas Internet Explorer; idem pour les pop-up
 
je trouve normal que mon Kerio 2.1.5 ne le fasse pas car pour moi c'est pas le rôle du firewall

+1 , avec la GoogleBar quand IE est vraiment absolument indispensable

 
Je suis d'accord, ca n'est pas vraiment le role d'un firewall. Mais bon, mon viel atguard le faisait tres bien alors...
 
enfin, un coup de bar google et c'est reglé
 
par rapport a atguard toujours, kerio ajoute la possibilité d'etre admin a distance, pour l'instant ca sert pas mais si je me monte une passerelle ca sera bien pratique

* limiter ICMP à l'usage des types 0, 8, 11 (il est vrai qu'on ne les voit pas dans la liste)
 
=> ct fait
 
* virer les interdictions NetBIOS (double-emploi avec les dernières règles)
 
=> c pour avoir une trace
 
* limiter l'administration Kerio à un seul port (ingoing TCP 44334), je vois que je ne l'ai pas fait dans mes règles, c'est une faute  En fait, puisque tu autorises le réseau local, cette règle est superflue
 
en effet
 
* Opera et IE n'utilisent que le TCP, tu peux donc leur interdire l'usage d'UDP
 
done
 

 
Voilà qui devrait être bon.

Concernant les premières lignes, pas possibilité de limiter le any applications?
 
Et pour IE et Opéra je comprends pas, comment peut on recevoir les infos des serveurs web puisque seul le outgoing est autorisé?