Reprise du message précédent :

 
edit:
 
merci minipouss  , c corrigé

Aucune application qui veut se connecter, j'ai même coupé l'anti-virus
dans le log, il n' y avait rien d'autres, à part quelques blocages autres normaux.
Je n'avais que ces connexions entrantes sur ce port. Je connais pas mal le gestionnaire des tâches pour savoir que je n'avais pas de spywares ou autres conneries qui voulaient se connecter
Dans les services, aucuns n'utilisent ce port là.
 
Pour moi ça ne pouvait venir que de Kerio. Du coup, je l'ai réinstall en remettant ma liste précédemment sauvegardée, et pour l'instant, plus de problèmes avec ce port... Tout semble marcher correctement...
 
Petite question en plus: en moyenne, combien la règle "Bloque tout" (ou autre) bloque de trucs par minutes ?? c'est à dire combien de connexions sont refusées chez vous par votre règle qui bloque tout ce qui n'appartient pas dans les trucs définis au dessus dans votre liste ?...

Salut à tous,
 
J'ai lu avec beaucoup d'intérêt ce topic, et deux ou trois trucs m'intriguent    
Je teste l'inscription et je reviens...
 
A suivre

Resalut,
 
Belle activité sur le port 135 (RCPSS ?)(un p'tit 40 blocks en 10 mn de connexion RTC !).
Sinon il y a des lignes doublées de temps en temps, non ?
 
A +

 
Pour mon paramétrage, toutes les secondes ou deux secondes.. Mais ce ne sont pas des attaques extérieures (j'en ai jamais eu). Même blaster, sasser et autres, (et personnelement je ne les considère pas comme étant des attaques) sont plutôt rare dans mes logs. Même un bloquage netbios sur le port 138 est une fois toute les 10 mn (transmission d'infos simplement)
Ca dépend du réseau sur lequel on peut se trouver, car les serveurs ne sont pas tous paramétrés de la même manière et les postes clients non plus..
En règle générale c'est plutôt des retours non signé, des applis qui veulent se connecter sur le port 80 continuellement sur le site mère (très utile finalement un firewall pour les repérer et les virer ou économiser de la bande passante et acélèrer le surf).
 
Bref, ne pas s'inquiéter.

 
Le Generic host process utilise le port 135 (C'est ce service qui gère un ensemble de services important comme celui du DHCP, des DNS et du RPC permettant la réalisation des appels de procédures distantes (RPC ou Remote Procedure Call).  
 
je te fais un copier/coller:

 
donc rien d'inquiétant, sauf que ce serait cool d'obtenir la liste exacte des services - avec les fonctions très précises de chacune d'elles et leurs relations entre elle -  qui fonctionnent en relation sur le service.exe ou svchost.exe.
J'espère en un un tech. microsoft qui passerait et aurait la gentillesse de me mettre cette liste sur ce topic pour améliorer la suite du TUT qui est en préparation. Je suis pas trop satisfait des explications que je trouve sur le net..
 
En désactivant ce qui est inutile, on gagnerait en temps et problèmes.

Melkhat> merci, car grâce à ton histoire j'ai réalisé que je me suis trompé sur un truc sur les applis et le DNS, car je pensais à tort que lorsque la liste (le record A) n'était pas dans le cache local, c'était le cacheDNS qui faisait la requête au serveur DNSet non l'appli..
Je ne sais pas comment fonctionne intiment la relation applis - cacheDNS de windows - DNS serveur , concernant les infos du record A.
 
Et le fait qu'il est possible de bypasser le cacheDNs local et que les applis peuvent gérer le retour d'infos du serveur DNS directement pourrait être interressant si justement on veut empêcher le svchost de communiquer.
 
Faut que je creuse de ce côté, ou qu'un programmeur connaissant le fonctionnement de la gestion/transfert de cette liste par les applis vienne et explique tout ça ..

oui, mais faut que je me replonge sur tes règles. C'est quand ton Lan-party ?

Salut Serveur,
Je ne m'inquiète pas plus que ça pour le 135 (le port de ports), d'autant plus qu'il est fermé de l'extèrieur chez moi.
Merci pour ta réponse

Serveur,
 
Si cela peut te sevir, jette une paupière la:
http://clement.reinier.free.fr/modules.php
 
A +

 
pas mal la liste, ça va me servir, ça permet de recouper les services avec le svchost, m^me si la ligne de résumé est trop succincte..  
par exemple pour le DNScache qui m'interesse il y a:

et bon, je ne suis pas plus avancé parcequ'en le désactivant, je ne sais pas si on se retrouve comme dans la situation de melkhat, c'est à dire que ce sont les applis/serveur DNS qui font le travail (et est-ce plus rapide ?) ou il y a un autre service (?).. bref je vais aller à la pêche aux infos ..( je suis pas couché.. )
 
sinon le site est bien fait pour les explications sur ses sujets et j'ai trouvé un lien du HSC très interessant. Merci    
 
sinon, tu as fermé le port 135 manuellement, ou tu utilises "zebprotect" ?  
tes pages s'affichent aussi rapidement ? pas eu le temps de faire ce test encore)
Et qu'est-ce que tu entendais par "je teste l'inscription" ?    
 
 

J'ai envoyé un reg d'une ligne qui a fermé en écoute le 135 et le 445 d'un coup.
 
J'ai déja essayer de désactiver le service DNScache et je l'ai vite remis parce que cela allait pas bien !!
 
En fait, vu que je suis frais inscrit, j'attendais que quelqu'un valide mon mdp sur le forum.
 
A +

Je le retrouvais pas, c'est un peu le bin's sur mon disque    
le voila (XP)
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SmbDeviceEnabled"=dword:00000000
 
A +

cool merci pour eux (je suis sous 2000 )
ce topic va bientôt avancer..
 
Inek, je ne t'oublie pas

Salut serveur,
 
La ligne "Smb... du reg est rajoutée dans le registre (dans XP), alors tu pourrais regarder si elle existe sous 2000. Sinon, moi j'essairais après export de ta clé Parameters, bien sur !!
 
A +

Oups!!
 
L'export de la clé et la fusion après ne supprimera pas la ligne rajoutée. Il faudra si cela ne donne rien, y aller à la "mano".
Par contre, j'y pense, je ne rappelle + avec quel version de Windows Registry fonctionne 2000 (pour la 1ère ligne du reg)
 
A +

Bonjour, voilà j'ai un problème avec Kerio 2.1.5 et Antivir. En effet, au demarrage de la machine, il faut plusieurs minutes avant que Kerio ne se lance une fois arrivé sur le bureau. Durant ce (long) laps de temps, Antivir n'est pas démarré, et il est impossible de lancer internet ou de lancer l'explorateur par exemple. J'ai une fois reussi à résoudre ce problème (je ne sais plus comment, en farfouillant dans les options de Kerio surement...) : Kerio se lancait avant même d'être sur le bureau (à la page Bienvenue de Win XP pour être précis), Antivir se lancait dans la foulée, et je pouvais travailler d'entree de jeu, mais depuis que j'ai formatté et réinstallé tout mon système, je me retrouve à nouveau avec ce long problème d'attente au démarrage.
Quelqu'un pourrait il m'aider SVP ?

Salut à tous,
et beh, ça faisait un moment que ce post était pas remonté!!    
 
Bon, alors à mon tour d'avoir une question. Depuis quelques temps le tcpip kernel driver veut se connecter en ICMP. Jusqu'ici rien d'anormal mais le problème c'est que j'ai une règle qui bloque toutes les demandes ICMP in/out de toutes les applications sur tous les ports et toutes les IP. Or Kerio est en mode Ask me first et j'ai une demande qui est faite à chaque fois.
 
Un bug?  

ça vous arrive, sans avoir de virus que Kerio vous annonce un changement dans le MD5 d'une appli que vous n'avez pas mis à jour?  
 
Il m'a fait ça sur Firefox ce matin

oups non , pas normal.. si l'exe n'a pas été modifié, le checksum doit reter le même.. donc la signature MD5 de même.  
 
j'ai pas oublié ce topic, ni Inek, loin de là, mais les recherches que j'effectuent sont nombreuses à cause de l'implication des services, de leur fonctions, de la possibilité de les bypasser, sans compter un paragraphe pour le port 80 et la technologie SOAP qui vont m'amener à refondre complètement le TUT.. (C'est en préparation, j'ai déjà l'architecture), donc je te le resousmettrai Minipouss pour correction..

ok
 
bon ben pour éviter tout problème j'ai désinstall/réinstall Firefox et il m'a redemandé de modifier le MD5. Je verrai si ça recommence, c'est vraiment zarbi

Salut !!! je viens d'installer ce firewall qui m'a l'air très bien et complet, mais je ne sais pas bien le configurer. Est-ce normal que j'ai le programme "system" en ecoute sur les ports 137-138-139 alors que je les ai bloqué ? pareil pour svchost.exe, j'y comprend pas grand chose et si je les bloques plus moyen de rien faire sur le net ...

 
Concernant la navigation tu peux surement trouver tes réponses en lisant ce post. Beaucoup de choses ont été abordées sur quelles règles creer pour le services.exe et le svchost.exe suivant ton OS.
 
 

 
Super ce firewall, j'adore par contre je ne m'y connais pas trop niveau ports d'ataque, j'ai lu les 6 pages du topic et j'ai config comme vous avec un Block All
 
Pour le svchost.exe je laisse tranquile pour in/out en UDP et out en TCP, je sais pas si c'est bien ou pas.
 
J'ai aussi un truc bizar: "Outgoing IP protocol 2", kesako
 
Sinon ben il est vraiment super ce firewall, il faut se mettre dans le bain des réseaux et autres et pis voila ca change de mon Sygate !

Salut à tous,
 
J'ai eu quelquefois le coup sur IE et OE du changement d'exe qui a la couleur de, l'odeur de, mais qui pourrait être autre chose (après une restau complète, il me semble). Je ne sais si c'est très fiable    
Y'en a-t-il un qui a réussi à faire fonctionner "custom adress", parce que par ex., sur toutfr.com, j'ai pingué un pop-up qui m'énerve particulièrement, j'ai mis l'IP la ou il fallait et bernique (subtilité genre masque ??)
 
A +

Salut Adonai_24,
 
J'ai eu Outgoing IP protocol 2 aussi, faut juste que je recharge la config, pour me rappeler comment j'ai réussi a m'en passer.
 
A suivre

salut
 
ça fait 2 jours que j'ai des soucis bizarres. mon modem n'est plus détecté, j'ai mes regles de FW qui ont disparu et remplacé par d'autre. Mon modem depuis 2 jours a chaque fois que j'allume mon ordi le matin (il tourne la nuit) a le modem (sagen 908 USB) qui n'est plus detecté par le PC. De plus si je le debranche et que je le rebranche il ne le detecte pas et me dit qu'il y a deja quelque chose de connecter.
 
Par contre des que je reboot ça va tout remarche sauf evidemment les regles du firewall qui sont changées.
 
La j'ai remis mes regles perso et tout semble remarcher.
 
si cela ne s'etait pas produit 2 jours de suite je n'aurai pas posté mais la ça commence a titiller mon coté parano.
 
je precise aussi que mes USB ne se mettent pas en veille (vu que c la 1ere chose que j'ai viré qd ça a commencé a se produire) et que le phenomene se produit qd meme

voila ce que je viens de rajouter dans le topic Sécurité :
 
## Problème sous Kerio Personal Firewall ## Kerio Personal Firewall Local Denial Of Service Vulnerability SecurityFocus Bugtraq 08/12/2004  
Versions concernées : toutes (4.x et 2.x)
Description : Il a été rapporté que le driver de Kerio Personal Firewall (KPF) n'aseptise pas suffisamment les paramètres API qu'il reçoit des API qu'il surveille. Il plante lorsqu'il doit traiter certaines données. Le rapport indique que cette exception n'est pas prévue, ce qui fait crasher le noyau de Windows kernel entrainant un Deny de Service sur tout le système.
Un attaquant local pourrait exploiter cette vulnérabilité pour refuser le service à des utilisateurs légitimes.  
Solution : pas de solution pour le moment (et bien sûr seule la version 4 aura un patch)

Salut minipouss,
 
Et en clair, ça donne quoi, ton post !?
 
A +

ben qu'il y a une faille dans Kerio mais que c'est local donc ça risque pas grand chose si tu laisses personne bidouiller ton pc

Pour Inek >c'est brut de fonderie parceque je ne trouve pas un soir en ce moment pour te faire une liste, mais deux possibilitées s'offre à toi pour ton réseau:
1/ comme indiquée plus haut, dans Kerio, tu peux aller dans l'onglet "Microsoft Network" et activer la résolution des noms netbios (Microsoft nertwork) sur une adresse de confiance, et tu rentre ton groupe d'adresse Ip/masque (statique ou donné par le DHCP) sur le groupe d'adresse de confiance.
 
2/ Utiliser les règles en ajoutant:
 

• une règle submask "bypass" paramétré comme suit: Autorisant  

- les protocoles  suivant tes jeux ( mais je les connais pas)
- Adresse distant: IP/Submask: 192.168.1.0 / 255.255.255.0
- sur les ports des applis/jeux
 
cette règle tu la place avant les règles bloquant les ports 137 à 139.. cela te permettra de voir tous les autres postes dans le réseau sur ce masque

j'uploaderai un screenshot ce soir ou demain matin.. mais normalement le DHCP devrait attribuer des adresses sur un plage IP.. faut connaître cette plage, sinon tu vas devoir spécifier toute adresse..

tiens deux screenshots explicatifs:
 

 
Tu places ces règles AVANT le blocage Netbios des ports 137-139
 
tu place dans le groupe personnalisé les adresses de tes amis (en exemple ici PAO:
 

 
Faut mettre aussi le masque réseau (noté en SUB)... pourquoi, je ne sais pas trop, car sans , il n'a pas l'air de le prendre en compte..
 et sinon la plage distribué par le DHCP si tu n'as pas les IP fixes de tes amis...  
 
Bon si tu n'as pas l'adressage du DHCP, faudrait faire le test en placant l'adresse du DHCP dans l'adresse personnalisé et paramétrer en fonction..  
et aussi en mettant une règle entrante pour ton DHCP LAN avec une adresse distante en 0.0.0.0 (UDP, port 67 en local).
 
Bon , n'oublies pas que j'ai mis les ports 137-139 pour le partage réseau, mais il y a d'autres ports à spécifier peut-être en fonction de tes jeux, et les rentrer comme "applis" autorisé..

Bonjour
 
Comment empêcher un idiot dont je connais l'ip de venir sur un serveur de jeu ?