Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1654 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Petite conf simple sur ipfw

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Petite conf simple sur ipfw

n°2960793
Citrik_Ele​ktrik
Posté le 10-09-2010 à 18:49:33  profilanswer
 

Salut à tous,
 
J'ai besoin d'un petit coup de main pour construire un fichier de conf pour ipfw ou plutôt pour son portage sous Windows wipfw (http://wipfw.sourceforge.net/).
 
Le contexte : j'ai une application qui est utilisée pour le transfert d'informations sensibles. Celle-ci écoute sur le port 1414 en tcp sans possibilité d'ajouter une authentification au flux qui sont relayés. J'aurais donc souhaité limiter l'écoute de cette application sur le localhost mais ceci n'a malheureusement pas été prévu par l'éditeur. Une fois lancée, l'application écoute donc sur toute les interfaces sur le port 1414 ce qui signifie que toutes les machines de son réseau peuvent se connecter et envoyer des flux.
 
Comme contournement de cette limitation, j'ai cherché un firewall qui soit assez léger et peu intrusif pour ne pas allourdir la solution ni générer d'effets de bord pour les autres applications fonctionnant sur le serveur. J'ai donc opté pour wipfw qui semble répondre parfaitement à ces critères. Seul problème : sa syntaxe est plutôt complexe pour un néophyte et je n'ai pas assez de pratique dans le domaine pour être sûr de ce que je fais.
 
Plutôt que digérer des dizaines de pages de doc pour ce micro-problème, je me suis dit qu'il y aurait bien quelques gourous de BSD sur les forums pour me torcher le problème en 10 secondes montre en main! ;-)
 
Récapitulons : les processus tournant sur mon serveurs doivent être capable de se connecter sur 127.0.0.1:1414 mais les autres machines du réseau doivent être bloquées lorsqu'elles essayent de se connecter sur ce port.
 
Le fichier de conf par défaut de wipfw est le suivant :
# First flush the firewall rules
-f flush
 
# Localhost rules
add 100 allow all from any to any via lo*
 
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
 
#Testing rules, to find ports used by services if we aren't sure. These rules allow ALL traffic to pass through the firewall, disabling any subsequent rules
#add 140 allow log logamount 500 tcp from any to any
#add 150 allow log logamount 500 udp from any to any
 
add check-state
add pass all from me to any out keep-state
add count log ip from any to any
 
 
Merci d'avance à tous pour vos réponses !
 
Remarque : les habitués auront reconnus le port, 1414 utilisé par Websphere MQ de IBM, anciennement MQ-Series. Il ne s'agit pourtant pas de MQ mais du SupportPac MQ-IPT qui ne sait malheureusement pas limiter l'écoute sur localhost.

mood
Publicité
Posté le 10-09-2010 à 18:49:33  profilanswer
 

n°2960796
ccp6128
Syntax error
Posté le 10-09-2010 à 19:02:20  profilanswer
 

Tu peux pas filtrer via le firewall windows en modifiant l'étendue des pc qui peuvent avoir accès a ton appli tout simplement ?

n°2960799
Citrik_Ele​ktrik
Posté le 10-09-2010 à 19:12:50  profilanswer
 

C'est une bonne remarque mais si je passe par le firewall de Windows, je vais devoir déléguer sa gestion aux admins systèmes et ils n'aiment pas trop avoir à gérer des exceptions sur leurs infras et je dois t'avouer que le peu que j'ai vu de la conf du firewall de Windows sous 2003 se résumait à bloquer tous les flux entrant (sauf ports spécifiés) après son activation et à devoir enregistrer les applis qui ont le droit de sortir.
 
Après, j'ai peut-être fait l'impasse sur des possibilités de configuration plus abouties avec cet outil et si tu as des solutions à me proposer je suis quand même preneur. Je préfèrerais me passer des admins systèmes mais si c'est faisable par ce biais, ça serait effectivement plus simple. Pourrais-tu un m'expliquer la marche à suivre ?
 
Merci d'avance à toi.

n°2960808
ccp6128
Syntax error
Posté le 10-09-2010 à 20:50:34  profilanswer
 

Jte fais un screenshot sur un serveur lundi, voir si y'a des options de config qui pourraient convenir a ton besoin.

n°2960811
Citrik_Ele​ktrik
Posté le 10-09-2010 à 21:35:27  profilanswer
 

ccp6128 a écrit :

Jte fais un screenshot sur un serveur lundi, voir si y'a des options de config qui pourraient convenir a ton besoin.


 
Merci à toi, c'est sympa. Passe un bon week-end ! ;)

n°2961227
ccp6128
Syntax error
Posté le 13-09-2010 à 11:57:21  profilanswer
 

Re,
 
Alors, excuse mes screenshots en anglais vu que j'ai pas de serveur en 2003 francais sous la main.
 
Si le firewall windows est activé sur ton serveur, voici ce que tu peux faire :
 
http://img340.imageshack.us/img340/550/screenshot037e.jpg
 
Dans les exceptions qui permettent a ton programme de fonctionner, tu cliques sur "Propriétés" puis "Changer l'étendue" et dans l'onglet Personnalisé tu mets quelque chose du genre 127.0.0.1/255.0.0.0
 
Ton soft ne pourra communiquer qu'avec localhost du coup.

n°2961724
Citrik_Ele​ktrik
Posté le 16-09-2010 à 11:30:42  profilanswer
 

Merci de ta réponse. J'ai trouvé la conf sous wipfw mais si l'équipe système rechigne à ajouter un nouveau soft nous employerons cette méthode.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Petite conf simple sur ipfw

 

Sujets relatifs
Clone Raid0 sur disque simple3 reboot pour un simple changement d'ip sous XP/SP3
Win 7 sur petite configSolution simple pour eradiquer ravmonlog
Ultravnc simple clic avec repeater, en lancement automatiqueBesoin d'une explication sur l'utilisation du CPU par l'OS
logiciel de sauvegarde simple qui évite les doublonsCherche appli pour lister PC + conf d'un réseau
WSIM Petite Question UrgenteJDownloader : Petite Question
Plus de sujets relatifs à : Petite conf simple sur ipfw


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR