Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1526 connectés 

 



 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  16  17  18  19  20  21
Auteur Sujet :

[Topic R+]Kerio 2.1.5 et paramétrage *maj23/03*

n°1807744
el muchach​o
Comfortably Numb
Posté le 20-11-2004 à 16:09:58  profilanswer
 

Reprise du message précédent :

minipouss a écrit :

de plus c'est si difficile que ça de mettre Kerio en "Ask me first" pour configurer un logiciel ou un jeu ?


Oui mais non, il ouvre le port nécessaire pour l'appli à un instant donné, mais ce n'est pas très précis. C'est quand même mieux de lui indiquer exactement ce dont l'appli a besoin.

mood
Publicité
Posté le 20-11-2004 à 16:09:58  profilanswer
 

n°1807831
VAN LOCK
Posté le 20-11-2004 à 17:29:28  profilanswer
 
n°1807840
VAN LOCK
Posté le 20-11-2004 à 17:34:14  profilanswer
 


 
 
tu pourrais peut etre faire 1 tri dans ta liste
il y a des applications dont tout le monde se fou dedans !
 

n°1808213
ramkin
Posté le 21-11-2004 à 01:25:24  profilanswer
 

Pour Ineq:
 
-Tes règles DNS sont un peu "large" non? Tu pourrais peut-être restreindre  au seul programme services.exe et sur le port des serveurs DNS de ta FAI..C'est vrai qu'il n'y a pas (il me semble... :heink: ) encore d'attaque connu sur le port 53, m'enfin...Vaut mieux prévénir que guérir, non?
- A quoi te sert la première règle, le loopback? (je te pose cette question parce que je vois que tous le monde met cette règle, mais j'en ai pas encore vu l'utilité, un peu comme ce que dit serveur.)
 
 :sol:

n°1808690
ramkin
Posté le 21-11-2004 à 14:17:23  profilanswer
 

ramkin a écrit :

Pour Ineq:
 
-Tu me conseild e faire quoi pour le DNs alors ?  
 


 
Ca a déjà été dit par serveur, mais bon.. :ange:  
 
-D'abord limite cette règle au services.exe qui se trouve dans le winnt/system32. Tu n'as pas à ouvrir ce port pour tous les programmes.  :non:  
-ensuite ouvre une console dos, tape ipconfig /all, et récupère les ip des serveurs de ta FAI(souvent une ou deux). Et dans le remote, tu mets ces ip, au lieu de mettre tous. (bien sur tu conserves le port 53). Tu auras donc peut-être à créer deux règles, comme moi (règles DNS 1 et 2), ou alors tu choisis de mettre tout une plage d'adresse. A toi de voir.
-enfin tu n'es pas obligé d'ouvrir tous les ports en local. La plage 1024-5000 suffit.
 
Conclusion: tu authorises un seul programme, sur une seule adresse et un seul port distant, et sur une petite plage de ports locaux. C'est ça un firewall bien configuré!  :jap:  
 
Petit détail. Comme je l'ai expliqué, personnellement j'ai été obligé de rajouter les règles DNS 3 et 4 parce que parfois l'accès à certaines pages étaient refusée. Si tu as des problèmes de navigation, il faut que tu navigues un certain temps en mode Ask me first pour voir si le services.exe n'aurais pas besoin d'une autre authorisation. Attention à tes interdictions dans les règles qui suivent! Il faut peut-être décocher un p'tit quelque chose pour faire fonctionner ton Ask me first.


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1808875
ramkin
Posté le 21-11-2004 à 16:07:03  profilanswer
 

Si ton FAI n'utilise qu'un serveur, tu n'as qu'une IP, donc tu ne rentres qu'une seule IP, donc une seule règle  ;)  
 
As-tu tapé ipconfig /all dans une invite de commande?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809216
ramkin
Posté le 21-11-2004 à 19:47:35  profilanswer
 

Exact. Regarde mes règles DNS 1 et 2 et fais la même chose, avec tes propres Ips bien-sur.
 
 :sol:


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809367
phil_IP
Posté le 21-11-2004 à 21:36:29  profilanswer
 

bonjour
 
vous qui paraissez etre super bon avec kerio, j'ai un soucis actuellement:
 
J'ai depuis longtemps kerio qui me donne satisfaction
mais je voudrais maintenant utiliser Filezilla
pour la connection OK, no pb
par contre a la commande LIST de ftp, je me fais jeter pour inactivité
si je desactive  "Enable Network security module" tout marche bien
mais bon .... pas top comme manip :)
pour info
filezilla n'est pas dans les description d'application  
par contre je l'ai mis dans les packet filter en both/permit/any port/any remote
mais peine perdu, ca marche pas plus  
 
 
SOSSSSSS :-)
 

n°1809415
ramkin
Posté le 21-11-2004 à 22:03:00  profilanswer
 

Pour localiser le problème tu pourrais déjà créer (temporairement..) une règle au tout début de ta liste authorisant filezilla. Du genre:
 
Règle: Filezilla temp
protocole: TCP (both)
port local: tous
Ip: tous
port distant: tous
 
Et tu testes. Si ça passe, c'est qu'il y a un refus dans tes règles qui interdit l'accès à Filezilla.


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809425
ramkin
Posté le 21-11-2004 à 22:09:10  profilanswer
 

Inek a écrit :


Et jai des problemes avec certaines pages, elle saffiche plus, pareil pour certains programme qui utilise le net.
 
Et je suis bien en ask me first pourtant.


 
Qu'est-ce que tu entends par 'elles s'affichent plus pareils"??


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
mood
Publicité
Posté le 21-11-2004 à 22:09:10  profilanswer
 

n°1809446
ramkin
Posté le 21-11-2004 à 22:25:00  profilanswer
 

Inek a écrit :

Ya une virgule ;)


 
Moi, con!! :D  
 
Bon alors justement ça ressemble à ce que j'expliquais, d'où mes deux règles DNS 3 et 4.
 
Dans un premier temps, vu les interdictions que tu as mis, il faudrait décocher les règles d'interdictions concernant le protocole UDP pour faire des tests. (les 6 règles à partir de Netbios).
Puis tu laisse en Ask me first
Là tu navigues et tu regardes. Normalement des messages devraient t'informer que le Services.exe tente de se connecter en UDP. Tu notes sur quelle(s) adresse (normalement ça sera toujours sur le port 53) et tu refuses plusieurs fois de suite. Fais ça 10mn, en changeant de page, en te déconnectant, ect...et tiens moi au courant.
 
PS: si d'autres applications t'ennuient pendant ce même temps, crée une règle pour cette application le temps du test: cette règle se placera à la fin dans la file et tu pourras toujours la virer par la suite.
 
 :sol:


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809454
ramkin
Posté le 21-11-2004 à 22:33:17  profilanswer
 

J'avais pas fait gaffe, mais toi non plus apparemment  :) , mais on a les même adresse de serveur, ce qui sous-entend que tu es sur tele2 et que tu pourrais tenter de rentrer exactement les mêmes règles DNS 3 et 4 que moi.. ;)  
 
Y 'a pas de raison que ce soit pas les mêmes a priori..


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809463
phil_IP
Posté le 21-11-2004 à 22:40:07  profilanswer
 

ramkin a écrit :

Pour localiser le problème tu pourrais déjà créer (temporairement..) une règle au tout début de ta liste authorisant filezilla. ....


 
j'ai fais ca mais toujours le mm resultat
je me connecte bien a mon FTP  
mais au moment de faire la commande LIST ..... Hop dehors car pas de reponses.
et sans kerio, ca passe bien
je m'arrache les cheveux

n°1809480
ramkin
Posté le 21-11-2004 à 22:53:30  profilanswer
 

LAISSE tes règles pour le svhost.exe!!!
Je parlais des règles en-dessous de netbios, les 6 qui concernent le protocole UDP et "Touts les applications". C'est celles-là qu'il faut décocher.


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809489
ramkin
Posté le 21-11-2004 à 22:59:09  profilanswer
 

phil_IP a écrit :


mais au moment de faire la commande LIST ..... Hop dehors car pas de reponses.
et sans kerio, ca passe bien
je m'arrache les cheveux


 
Tu as bien authoriser Filezilla en ENTREE (In) aussi??
La règle que je t'ai demandé de créer est bien en tout premier?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809496
ramkin
Posté le 21-11-2004 à 23:04:15  profilanswer
 

Au moment ou tu as le message, tu fais un Deny en cochant customiser. La règle sera crée, et tu n'auras plus de demande.


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809534
ramkin
Posté le 21-11-2004 à 23:22:16  profilanswer
 

Hummm, bon....Reprenons.
 
1) Ce qu'on cherche à savoir, c'est de quels IP supplémentaires tu as besoin pour que le services.exe te laisse naviguer. Pour te convaincre que  c'est lui qui cause problème, tu crées une règle au tout début de ta liste
 
Règle: services.exe temporaire
protocole: UDP (both)
port local: tous
Ip: tous
port distant: 53
programme: c:\winnt\system32\services.exe
 
Si la navigation se passe impec, on poursuit.
 
2) Donc l'idée de base était de RESTREINDRE les authorisations liées à cette application. Donc pour savoir de quels IP et ports il a besoin faut mettre en Ask me first et regarder ce qui se passe pour les protocoles UDP, et noter les ces demandes d'IP en vue de créer des règles spécifiques.
 
3) Seulement comme tu l'as remarqué, d'autres applications pénibles, sont plus que pénibles...Donc, au moins le temps du test, il faut les empêcher de passer en créant une règle pour éviter les demandes incessantes. Mais une règle uniquement pour l'application concernée bien sur!! Si le svhost tente de se connecter et que tu crées un deny pour tout les protocoles UDP pour toutes les applications, il est clair que le services.exe ne se connectera pas puisqu'à lui aussi tu auras interdit l'accès.
 
C'est plus clair?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809572
ramkin
Posté le 21-11-2004 à 23:42:30  profilanswer
 

Très bizarre en effet... :??:  
 
Et si dans cette même règle, tu mets "Toute application" au lieu de services.exe??


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1809815
serveur
Posté le 22-11-2004 à 10:01:19  profilanswer
 

salut, désolé, j'ai pas eu le temps ce week-end de mettre à jour, mais je me rattraperai..
 
Pour les DNS, je vais continuer à regarder ça, car certains FAI (comme wanadoo) utilisent des Serveurs dynamique qui répartissent les charges (load balancing) afin d'équilibrer la demande.. et les effets sont différents.  
mettre "toutes appli" permet le retour des "no owner" .. je dois regarder ça.  
Pour les applis, c'est prévu, faut que je me remette à la tâche. En tout cas merci pour vos posts car ca va faire progresser le topic et les règles  :hello:


---------------
Si tu es champion pour ouvrir ta gueule sur les forums, alors souviens toi de franz et Emma qui sont en train de payer pour toi: http://opserpir.free.fr/petitionF.html
n°1809938
el muchach​o
Comfortably Numb
Posté le 22-11-2004 à 11:09:47  profilanswer
 

Ca serait bien en effet de regrouper ce genre de regles utiles dans un post.
 
Pour info, chez Noos et chez Free, j'ai mis pour le DNS primaire:  
UDP (both), [1024-5000], (IP DNS primaire):[53], Any Application
 
Pour Firefox :
TCP (out), Any Port, 127.0.0.1:[Any Port], FireFox.exe
TCP (out), Any Port, [Any addres]:[80,443], FireFox.exe
 
Pour Internet Explorer :
UDP (out), Any Port, 127.0.0.1:[Any Port], iexplore.exe
TCP (out), Any Port, [Any addres]:[80], iexplore.exe
 
Il y a sans doute moyen d'ameliorer ca parce que ca fait quand meme un peu moulin a vent, mais ca a l'air de fonctionner avec tous les sites que j'ai essayes, et ceci, avec une regle "Block all" finale par defaut.


Message édité par el muchacho le 22-11-2004 à 11:19:47
n°1810847
phil_IP
Posté le 22-11-2004 à 18:10:32  profilanswer
 

ramkin a écrit :

Tu as bien authoriser Filezilla en ENTREE (In) aussi??
La règle que je t'ai demandé de créer est bien en tout premier?


 
oui  
premiere rgles de packet filter :
Filezilla temp  
direction Both
Action : permit
local ANY
remote : ANY
protocole : UDP TCP 2 ICMP ( oui j'ai tout mis LOL )
time interval : Alway
applicatio,n Filezilla
 
mais toujours rien!!!

n°1811036
ramkin
Posté le 22-11-2004 à 19:53:16  profilanswer
 

Salut à tous, et welcomme sur le forum du "Prends-toi la tête une bonne fois pour toute mon gars, ça t'éviteras de le faire plus tard!"  :pt1cable:  
 

serveur a écrit :


mettre "toutes appli" permet le retour des "no owner" ..  


Salut serveur,  :hello: , je croyais que tu nous avais abandonné...  :(  
Alors là, je suis plus!! Jusqu'à présent je n'ai vu aucune application autre que le services.exe se connecter sur le 53. Va falloir tout retester.
Pourtant tu as bien mis ces règles-là chez toi??
http://img23.exs.cx/img23/7172/K1rule5.gif
Et ça marche bien chez toi??
Pour être honnête, j'ai parfois des problèmes de navigation du genre "Le site est introuvable. Vérifiez l'adresse." Mais en insistant genre 5 ou 6 fois, la page s'affiche finalement.
 
Mais il est hors de question que je laisse tout ça ouvert pour toutes les applications.. :non:  
 
Ineq ( :hello: ), quelles genre de problèmes tu as avec les navigation? Rien ne s'affiche?? Des messages??
Est-ce que tes règles sont toujours les dernières que tu as postée?
 
phil_IP( :hello: ), ton hébergeur c'est quoi?? Moi je suis sur Lycos et i-France (en utilisant Filezilla). C'est pas top niveau temps de connexion, mais au bout d'un moment la connexion se fait. Est-ce que tu as attendu suffisemment pour voir si la connexion se fait quand même?
 
Allez, allez, au boulot!!  
 
 :sol:


Message édité par ramkin le 22-11-2004 à 19:58:29

---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811040
minipouss
un mini mini
Posté le 22-11-2004 à 19:55:34  profilanswer
 

je confirme, avant j'avais "all applications" et ça marchait et depuis hier j'ai mis que "services.exe" et tout fonctionne encore


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1811050
ramkin
Posté le 22-11-2004 à 19:59:57  profilanswer
 

Tiens, salut minipouss.
 

minipouss a écrit :

je confirme, avant j'avais "all applications" et ça marchait et depuis hier j'ai mis que "services.exe" et tout fonctionne encore


 
Sans messages? Sans plus de délai d'affichege?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811059
minipouss
un mini mini
Posté le 22-11-2004 à 20:04:45  profilanswer
 

:hello: ramkin
 
non je trouve que c'est pareil qu'avant (mais j'ai pas pris le temps de remettre en "ask me first" pour vérifier si il veut autre chose)
 
edit : non rien en "ask me first" même si je décoche la règle qui bloque tout le reste du traffic dns :)


Message édité par minipouss le 22-11-2004 à 20:09:30

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1811087
ramkin
Posté le 22-11-2004 à 20:20:32  profilanswer
 

Inek, vraiment pour l'instant je vois pas.... :(  
 
Je viens de tester avec ces règles minimales de chez minimales...
 
http://www.ifrance.com/ramkin/Divers/kerio_config.jpg
 
et la navigation est niquel.
 
Au fait est-ce que tu as essayé de mettre aussi mes règles DNS 3 et 4, avec les même IP?
Je rejette un coup d'oeil à tes règles.


Message édité par ramkin le 22-11-2004 à 20:21:15

---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811106
ramkin
Posté le 22-11-2004 à 20:28:42  profilanswer
 

Inek a écrit :

Oui ca change rien pour ma navigation avec les regles DNS 3 et 4. Par contre jai une liste enorme de regle apres celle que tu vois, qui concerne tout les programmes qui m'ont demandé en ask me first. Peut etre ca vient de là.


 
Non, rien à voir à mon avis. N'oublie pas que Kerio applique les règles de haut en bas. Tes règles DNS sont en premier, donc ça doit passer!
 
Ahhhh, yep!! Je pense à un truc. Remonte ta règle Internet Explorer pour la mettre juste en dessous des règles DNS, juste pour voir....


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  16  17  18  19  20  21

Aller à :
Ajouter une réponse
 

Sujets relatifs
pb kerio msnmozilla kerio et propagation de virus
Kerio et reso??paramétrage en Microsoft Outlook pour hotmail
paramétrage MSN sous XPAttaque DOS MSDTC attempt avec Kerio 4.1.1
kerio 4.1.1PB avec Kerio 4.0 réseau wifi avec routeur
Site Web introuvable avec Kerio, [résolu]Kerio -> lecture des cd impossible....
Plus de sujets relatifs à : [Topic R+]Kerio 2.1.5 et paramétrage *maj23/03*


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR