Reprise du message précédent :

Oui mais non, il ouvre le port nécessaire pour l'appli à un instant donné, mais ce n'est pas très précis. C'est quand même mieux de lui indiquer exactement ce dont l'appli a besoin.

quelques regles :
 
http://www.pcflank.com/fw_rules_db.htm
 

 
 
tu pourrais peut etre faire 1 tri dans ta liste
il y a des applications dont tout le monde se fou dedans !
 

Pour Ineq:
 
-Tes règles DNS sont un peu "large" non? Tu pourrais peut-être restreindre  au seul programme services.exe et sur le port des serveurs DNS de ta FAI..C'est vrai qu'il n'y a pas (il me semble... ) encore d'attaque connu sur le port 53, m'enfin...Vaut mieux prévénir que guérir, non?
- A quoi te sert la première règle, le loopback? (je te pose cette question parce que je vois que tous le monde met cette règle, mais j'en ai pas encore vu l'utilité, un peu comme ce que dit serveur.)
 
 

 
Ca a déjà été dit par serveur, mais bon..  
 
-D'abord limite cette règle au services.exe qui se trouve dans le winnt/system32. Tu n'as pas à ouvrir ce port pour tous les programmes.    
-ensuite ouvre une console dos, tape ipconfig /all, et récupère les ip des serveurs de ta FAI(souvent une ou deux). Et dans le remote, tu mets ces ip, au lieu de mettre tous. (bien sur tu conserves le port 53). Tu auras donc peut-être à créer deux règles, comme moi (règles DNS 1 et 2), ou alors tu choisis de mettre tout une plage d'adresse. A toi de voir.
-enfin tu n'es pas obligé d'ouvrir tous les ports en local. La plage 1024-5000 suffit.
 
Conclusion: tu authorises un seul programme, sur une seule adresse et un seul port distant, et sur une petite plage de ports locaux. C'est ça un firewall bien configuré!    
 
Petit détail. Comme je l'ai expliqué, personnellement j'ai été obligé de rajouter les règles DNS 3 et 4 parce que parfois l'accès à certaines pages étaient refusée. Si tu as des problèmes de navigation, il faut que tu navigues un certain temps en mode Ask me first pour voir si le services.exe n'aurais pas besoin d'une autre authorisation. Attention à tes interdictions dans les règles qui suivent! Il faut peut-être décocher un p'tit quelque chose pour faire fonctionner ton Ask me first.

Si ton FAI n'utilise qu'un serveur, tu n'as qu'une IP, donc tu ne rentres qu'une seule IP, donc une seule règle    
 
As-tu tapé ipconfig /all dans une invite de commande?

Exact. Regarde mes règles DNS 1 et 2 et fais la même chose, avec tes propres Ips bien-sur.
 
 

bonjour
 
vous qui paraissez etre super bon avec kerio, j'ai un soucis actuellement:
 
J'ai depuis longtemps kerio qui me donne satisfaction
mais je voudrais maintenant utiliser Filezilla
pour la connection OK, no pb
par contre a la commande LIST de ftp, je me fais jeter pour inactivité
si je desactive  "Enable Network security module" tout marche bien
mais bon .... pas top comme manip
pour info
filezilla n'est pas dans les description d'application  
par contre je l'ai mis dans les packet filter en both/permit/any port/any remote
mais peine perdu, ca marche pas plus  
 
 
SOSSSSSS :-)
 

Pour localiser le problème tu pourrais déjà créer (temporairement..) une règle au tout début de ta liste authorisant filezilla. Du genre:
 
Règle: Filezilla temp
protocole: TCP (both)
port local: tous
Ip: tous
port distant: tous
 
Et tu testes. Si ça passe, c'est qu'il y a un refus dans tes règles qui interdit l'accès à Filezilla.

 
Qu'est-ce que tu entends par 'elles s'affichent plus pareils"??

 
Moi, con!!  
 
Bon alors justement ça ressemble à ce que j'expliquais, d'où mes deux règles DNS 3 et 4.
 
Dans un premier temps, vu les interdictions que tu as mis, il faudrait décocher les règles d'interdictions concernant le protocole UDP pour faire des tests. (les 6 règles à partir de Netbios).
Puis tu laisse en Ask me first
Là tu navigues et tu regardes. Normalement des messages devraient t'informer que le Services.exe tente de se connecter en UDP. Tu notes sur quelle(s) adresse (normalement ça sera toujours sur le port 53) et tu refuses plusieurs fois de suite. Fais ça 10mn, en changeant de page, en te déconnectant, ect...et tiens moi au courant.
 
PS: si d'autres applications t'ennuient pendant ce même temps, crée une règle pour cette application le temps du test: cette règle se placera à la fin dans la file et tu pourras toujours la virer par la suite.
 
 

J'avais pas fait gaffe, mais toi non plus apparemment   , mais on a les même adresse de serveur, ce qui sous-entend que tu es sur tele2 et que tu pourrais tenter de rentrer exactement les mêmes règles DNS 3 et 4 que moi..  
 
Y 'a pas de raison que ce soit pas les mêmes a priori..

 
j'ai fais ca mais toujours le mm resultat
je me connecte bien a mon FTP  
mais au moment de faire la commande LIST ..... Hop dehors car pas de reponses.
et sans kerio, ca passe bien
je m'arrache les cheveux

LAISSE tes règles pour le svhost.exe!!!
Je parlais des règles en-dessous de netbios, les 6 qui concernent le protocole UDP et "Touts les applications". C'est celles-là qu'il faut décocher.

 
Tu as bien authoriser Filezilla en ENTREE (In) aussi??
La règle que je t'ai demandé de créer est bien en tout premier?

Au moment ou tu as le message, tu fais un Deny en cochant customiser. La règle sera crée, et tu n'auras plus de demande.

Hummm, bon....Reprenons.
 
1) Ce qu'on cherche à savoir, c'est de quels IP supplémentaires tu as besoin pour que le services.exe te laisse naviguer. Pour te convaincre que  c'est lui qui cause problème, tu crées une règle au tout début de ta liste
 
Règle: services.exe temporaire
protocole: UDP (both)
port local: tous
Ip: tous
port distant: 53
programme: c:\winnt\system32\services.exe
 
Si la navigation se passe impec, on poursuit.
 
2) Donc l'idée de base était de RESTREINDRE les authorisations liées à cette application. Donc pour savoir de quels IP et ports il a besoin faut mettre en Ask me first et regarder ce qui se passe pour les protocoles UDP, et noter les ces demandes d'IP en vue de créer des règles spécifiques.
 
3) Seulement comme tu l'as remarqué, d'autres applications pénibles, sont plus que pénibles...Donc, au moins le temps du test, il faut les empêcher de passer en créant une règle pour éviter les demandes incessantes. Mais une règle uniquement pour l'application concernée bien sur!! Si le svhost tente de se connecter et que tu crées un deny pour tout les protocoles UDP pour toutes les applications, il est clair que le services.exe ne se connectera pas puisqu'à lui aussi tu auras interdit l'accès.
 
C'est plus clair?

Très bizarre en effet...  
 
Et si dans cette même règle, tu mets "Toute application" au lieu de services.exe??

salut, désolé, j'ai pas eu le temps ce week-end de mettre à jour, mais je me rattraperai..
 
Pour les DNS, je vais continuer à regarder ça, car certains FAI (comme wanadoo) utilisent des Serveurs dynamique qui répartissent les charges (load balancing) afin d'équilibrer la demande.. et les effets sont différents.  
mettre "toutes appli" permet le retour des "no owner" .. je dois regarder ça.  
Pour les applis, c'est prévu, faut que je me remette à la tâche. En tout cas merci pour vos posts car ca va faire progresser le topic et les règles  

Ca serait bien en effet de regrouper ce genre de regles utiles dans un post.
 
Pour info, chez Noos et chez Free, j'ai mis pour le DNS primaire:  
UDP (both), [1024-5000], (IP DNS primaire):[53], Any Application
 
Pour Firefox :
TCP (out), Any Port, 127.0.0.1:[Any Port], FireFox.exe
TCP (out), Any Port, [Any addres]:[80,443], FireFox.exe
 
Pour Internet Explorer :
UDP (out), Any Port, 127.0.0.1:[Any Port], iexplore.exe
TCP (out), Any Port, [Any addres]:[80], iexplore.exe
 
Il y a sans doute moyen d'ameliorer ca parce que ca fait quand meme un peu moulin a vent, mais ca a l'air de fonctionner avec tous les sites que j'ai essayes, et ceci, avec une regle "Block all" finale par defaut.

 
oui  
premiere rgles de packet filter :
Filezilla temp  
direction Both
Action : permit
local ANY
remote : ANY
protocole : UDP TCP 2 ICMP ( oui j'ai tout mis LOL )
time interval : Alway
applicatio,n Filezilla
 
mais toujours rien!!!

Salut à tous, et welcomme sur le forum du "Prends-toi la tête une bonne fois pour toute mon gars, ça t'éviteras de le faire plus tard!"    
 

Salut serveur,   , je croyais que tu nous avais abandonné...    
Alors là, je suis plus!! Jusqu'à présent je n'ai vu aucune application autre que le services.exe se connecter sur le 53. Va falloir tout retester.
Pourtant tu as bien mis ces règles-là chez toi??

Et ça marche bien chez toi??
Pour être honnête, j'ai parfois des problèmes de navigation du genre "Le site est introuvable. Vérifiez l'adresse." Mais en insistant genre 5 ou 6 fois, la page s'affiche finalement.
 
Mais il est hors de question que je laisse tout ça ouvert pour toutes les applications..  
 
Ineq ( ), quelles genre de problèmes tu as avec les navigation? Rien ne s'affiche?? Des messages??
Est-ce que tes règles sont toujours les dernières que tu as postée?
 
phil_IP( ), ton hébergeur c'est quoi?? Moi je suis sur Lycos et i-France (en utilisant Filezilla). C'est pas top niveau temps de connexion, mais au bout d'un moment la connexion se fait. Est-ce que tu as attendu suffisemment pour voir si la connexion se fait quand même?
 
Allez, allez, au boulot!!  
 
 

je confirme, avant j'avais "all applications" et ça marchait et depuis hier j'ai mis que "services.exe" et tout fonctionne encore

Tiens, salut minipouss.
 

 
Sans messages? Sans plus de délai d'affichege?

ramkin
 
non je trouve que c'est pareil qu'avant (mais j'ai pas pris le temps de remettre en "ask me first" pour vérifier si il veut autre chose)
 
edit : non rien en "ask me first" même si je décoche la règle qui bloque tout le reste du traffic dns

Inek, vraiment pour l'instant je vois pas....  
 
Je viens de tester avec ces règles minimales de chez minimales...
 

 
et la navigation est niquel.
 
Au fait est-ce que tu as essayé de mettre aussi mes règles DNS 3 et 4, avec les même IP?
Je rejette un coup d'oeil à tes règles.

 
Non, rien à voir à mon avis. N'oublie pas que Kerio applique les règles de haut en bas. Tes règles DNS sont en premier, donc ça doit passer!
 
Ahhhh, yep!! Je pense à un truc. Remonte ta règle Internet Explorer pour la mettre juste en dessous des règles DNS, juste pour voir....