Firewall IPFW & port?

-anonyme-

Légende
26 Février 2001
66 286
2 667
voila j'ai configuré le firewall ipfw.
Quand je regarde les ports ouverts sur ma machine je m'apperçois que le port 1033 en protocole tcp est tout le temps ouvert, à quoi sert t'il, puis je le bloquer avec ipfw pour toute connection extérieur en mettant sans risque
$fwcmd add allow tcp from any to any 1033 setup
puis plusieurs port udp sont ouvert dont le 49159, 49158, 909, syslog, bootpc, 1033 puis je les fermer ou pas, ou lesquels doivent rester ouvert?

2° question sur les protocoles
$fwcmd add 65435 deny icmp from any to any
cela refuse t'il toutes les connections icmp? et si je met
$fwcmd add 65435 deny udp from any to any
cela bloque t'il toute les conenctions en udp?

3° question sur netstat
quand je fais netstat -a il y a 3 types de reponses pouvez vous me dire si j'ai bien compris leur fonctionnement.
avec des address commençant par:
-localhost donc des connections interne
-une ip donc les conections venant de l'exterieur
-*.23 donc ecoute le port qui est ouvert

merci beaucoup pour votre aide
tibo

PS: quelle est la ligne pour bloquer les ping et traceroute dans ipfw?
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
si tu veux savoir à quoi correspondent les ports de ta machine tu peux éditer le fichier /etc/services où sont marqués tous les ports disponibles

[22 janvier 2002 : message édité par Pierre Bouvier]
 

Einbert

Membre d’élite
Club MacG
24 Avril 2001
1 236
20
J'ai aussi une petite question sur ipfw...Quand on veut empêcher qqch de sortir sur un certain port, et que je mette la ligne de code suivante dans le fichier firewall.conf que firewalk X m'avait générer

add 0 deny UDP from any to any xxx

, ben cela empêche-t-il effectivement que qqch ne sorte par le port xxx (donc de ma machine sur le net) ou faut-il mettre

add 0 deny UDP from any to any xxx out



Merci

++
 

Einbert

Membre d’élite
Club MacG
24 Avril 2001
1 236
20
Personne ne peut me répondre ?
snif....
...bon, formulons autrement

Ma machine est connecté à un routeur...donc via ettercap (merci pour l'info Pierre
...c.f un autre sujet sur le forum), ben je peux surveiller ce qui sort sur quel port...donc si j'ai bien compris ce qu'il m'affiche, pour la plupart des envoies ,UDP pour la plupart, ben la machine envoie d'abord via le routeur sur un certain port local, puis le routeur envoie à nouveau sur un autre port (le port qui a été ouvert par le programme je suppose)...Donc pour éviter que qqch ne sorte, faut-il plutôt que je bloque ce qui part de ma machine sur le routeur; donc si par exemple il envoie qqch du port 4439854273498752 vers le routeur qui lui envoie qqch depuis le port 78901946, faut-il alors que je bloque plutôt 4439854273498752 ??
Et ma commande dans le post ci-dessus est-elle correcte ?? Peut-on régler NetBarrier de telle sorte que si qqch veut sortir sur un certain port, ben il nous avertit en nous demandant s'il doit bloquer ou pas ??

++
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
désole de ne pouvoir vraiment te répondre sur netbarrier que je ne connais que par oui dire.

attention au requettes udp qui sont souvent importantes pour que la connexion se fasse.

ce qu'il faut surveiller c'est en fait si les sortie de ton mac correspondent à des requêtes en entrée. si ce n'est pas le cas ce n'est pas utile de les bloquer

je n'aime pas trop firewallX et conseille plutôt brickhouse. Il a un mode standart tout à fait interressant c'est à dire qu'il autorise tout ce qui sort et interdit tout ce qui rentre à moin que cela soit une réponse à une requête émise par ton mac.
 

simon

Membre d’élite
Club MacG
18 Juin 2000
3 669
16
Singapore
www.simonganiere.ch
Monsieur Pierre Bouvier notre expert's Security on OS X


Dès qu'il est question de firewall et de securité il est là !!!! Terrible
 

Einbert

Membre d’élite
Club MacG
24 Avril 2001
1 236
20
C'est vrai que c'est génial d'avoir qqun qui s'y connait bien, même très bien...désolé, je ne sais pas si c'est ton boulot carrément...En fait, moi j'ai l'impression d'avoir un pro qui me réponde


Avec mon routeur Zyxel, j'ai déjà un firewall intégré qui bloque tout par défaut... Mais moi j'aimerais justement empêcher qu'il y ait des info qui sortent de mon ordio, et qui soient retransmis à je ne sais trop quelle boîte...J'aimerais justement pouvoir bloquer ces petits mouchards qui envoient des infos sans que tu ne t'en rendent compte (donc à ton insu(s?) )

Il doit bien y avoir moyen de bloquer qqch qui sort sur un certain port, non ?? En tous cas je ne peux m'imaginer qu'on puisse bloquer en entrée, mais pas en sortie !!
Autre petites question concernant le fichier firewall.conf :
Est-ce que l'ordre des rules jouent un rôle, je veux dire est-ce que ça change qqch en fin de compte si on met cette ligne avant cette ligne ? Que veut dire le nombre suivant le add dans les commandes
add 0 deny UDP from any to any xxx
ou
add 1003 deny TCP from any to any 80 via ppp0

??

Moi j'ai installé Firewalk, mais si je veux maintenant passé à Brickhouse, comment faire ?? Je veux dire Firewalk met le fichier firewall.conf dans le dossier Firewall qui se trouve dans /Library/Startupitems
Quant à Brickhouse, ben lui génère aussi un fichier firewall.conf, mais celui-ci se trouve dans un autre dossier !! Comment faire pour passser d'un à l'autre alors ? Et Brickhouse permet-il justement de bloquer qqch en sortie (bon, vous me direz....i'commence à me les gonfler avec ces sorties
)...

Encore merci pour tes réponses et conseils Pierre

++
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
oui on peut empêcher des sorties sur un port

admettons que tu veuille interdire la sortie sur le port 7890 suivant le protocole udp voici

add 2013 deny log udp from 10.2.3.11 to any 7890 out via en0

le nombre après add est la position de ta ligne dans le fichier de conf, non je m'exprime mal c'est un numéro d'ordre de tes règles. Il est donc variable en fonction de la position de ta règle

deny : interdit

log dit que cette connexion peut être journalisée

udp indique le protocole (respectivement tcp...)

from indique la source, ici il s'agit donc de la machine 10.2.3.11

to indique la direction ici any donc tout le monde

out en sortie

via en0 indique que l'interface concernée est la carte ethernet d'adresse 10.2.3.11

c'est le cas d'un seul port

---------------------

pour une plage de ports il suffit d'écrire 7890-7899 (tous les ports compris entre 7890 et 7899)

---------------------

pour des ports qui ne suivent pas il faut les séparer par des virgules

[24 janvier 2002 : message édité par Pierre Bouvier]
 

Einbert

Membre d’élite
Club MacG
24 Avril 2001
1 236
20
Merci pour tes explications...ça devient déjà nettement plus clair...


<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>Posté à l'origine par Pierre Bouvier:

log dit que cette connexion peut être journalisée
<HR></BLOCKQUOTE>

Je ne vois pas ce que tu veux dire avec journalisée ??

Est-il possbile d'avoir plusieurs fois

add 0 deny...
donc plusieurs fois le 0 ?? Dans l'exemple que tu m'as donné, je peux remplacer 2013 par n'importe quelle valeur ? Et si j'ai bien compris, ben le numéro après le add indique juste dans quel ordre doivent être parcourue les règles, n'est-ce pas ? Donc si à la place de 2013 je mets 2015, ben cette règle sera exécutée après la 2014, si elle existe...

Et avec quelle commande je peux voir l'adresse de la carte ethernet ? ifconfig -a ??

Encore merci


++
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
non tu ne peux avoir qu'une fois 0. En ce qui concerne le numéro de reègle c'est bien cela.

pour l'adresse de la carte un ifconfig -a te donne l'adresse en lo0 (127.0.0.1 adresse interne) et en en0 (carte ethernet) mais il est aussi simple de la lire dans les préférences système --&gt; réseau.

journalisée veut dire que l'on peux voir dans les log (journal) les connexions concernant cette règle

[24 janvier 2002 : message édité par Pierre Bouvier]
 

Einbert

Membre d’élite
Club MacG
24 Avril 2001
1 236
20
Et ce journal de log me permet-il de voir si qqch a voulu sortir par ce port et si cela a bien été bloqué ??
Ou existe-t-il un autre moyen de le voir ??
Et quand tu parles de la carte ethernet d'adresse xxx, c'est bien ce qui suit inet quand on fait un ifconfig -a et non ce qui suit ether avec des numéro et des lettres qui sont séparés par ':' ... Et ça correspond à quoi ether ?


++

[24 janvier 2002 : message édité par Einbert]

[25 janvier 2002 : message édité par Einbert]
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
si tu n'a qu'une seule carte ethernet quand tu faits ifconfig -a tu as deux sections

lo0 avec pour adresse 127.0.0.1 et en0

lo0: flags=8049&lt;UP,LOOPBACK,RUNNING,MULTICAST&gt; mtu 16384
inet 127.0.0.1 netmask 0xff000000
en0: flags=8863&lt;UP,BROADCAST,b6,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500
inet 10.2.3.48 netmask 0xffffff00 broadcast 10.2.3.255
ether 00:0a:27:8a:2c:9c
media: autoselect (100baseTX) status: active
supported media: 10baseT/UTP 10baseT/UTP &lt;full-duplex&gt; 100baseTX 100baseTX &lt;full-duplex&gt; autoselect autoselect 10baseT/UTP

en0 représente ton interface ethernet

l'adresse IP de ta machine (ici 10.2.3.48) est celle inscrite après inet puis le masque (ici 255.255.255.0 = 0xffffff00)

[27 janvier 2002 : message édité par Pierre Bouvier]
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
si tu utilise brickhouse, ce dernier a plusieurs niveaux d'utilisation

un niveau graphique ou tu peux créer et éditer chaque règles graphiquement

un niveau expert qui va te donner ton fichier de conf et les régles en mode texte et ou tu retrouvera les règles dont nous avons parlé plus haut

un niveau monitor ou tu vois en temps réel ce qui se passe

les log ou tu pourras consulter des différentes connexions


c'est un programme qui finalement est très didactique et t'apprendra plein de chose sur ta machine
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
si tu utilise brickhouse, ce dernier a plusieurs niveaux d'utilisation

un niveau graphique ou tu peux créer et éditer chaque règles graphiquement

un niveau expert qui va te donner ton fichier de conf et les régles en mode texte et ou tu retrouvera les règles dont nous avons parlé plus haut

un niveau monitor ou tu vois en temps réel ce qui se passe

les log ou tu pourras consulter des différentes connexions


c'est un programme qui finalement est très didactique et t'apprendra plein de chose sur ta machine
 

-anonyme-

Légende
26 Février 2001
66 286
2 667
mettre "out" ou "in" dans le firewall
dans les posts précédents vous signaler que pour empécher en sortit il faut mettre out dans la ligne de config voici ma ligne pour empecher qu'on me ping et me traceroute

$fwcmd add 64000 deny icmp from any to any out icmptypes 0,11

en fesant des testes avec des copains ils ne peuvent pas faire de ping sur mon ip ni de traceroute

$fwcmd add 64000 deny icmp from any to any in icmptypes 0,11

mais si à la place du out je met un in alors ils font des ping et traceroute sur mon ip alors que moi je ne peux plus enf aire vers l'extérieur.
Donc "in" c'est pour les packet à l'intérieur de la machine alors que out c'est pour les packets qui viennent de l'extérieur.

Merci de me corriger si je me trompe, mais après de nombreux teste, ils confirment tous mon hypothèse

@++
tibo
 

-anonyme-

Légende
26 Février 2001
66 286
2 667
dans un site sur la configuration de ipfw je trouve ecrit

&gt;$fwcmd add allow tcp from any to any out xmit $MonInterface setup

&gt;Cette ligne autorise tout le trafic TCP/IP qui sort de la machine.

or comme je le dit dans le precedent post pour les messages icmp donc peut on me dire les bonnes commandes pour bloquer les tests de ping sur mon ip.
 

Pierre Bouvier

Membre émérite
31 Mars 2001
559
0
le ping se fait sur protocole icmp sur les ports 0 et 8 mais pour le protocole icmp on ne peux pas sélectionner de ports particuliers dans les règles.

donc la règle pour interdire le ping venant de l'extérieur est (si ta machine a pour adresse 10.2.3.56) :
add xx deny log icmp from any to 10.2.3.56 in via en0

et pour interdire le ping depuis ta machine :

add yy deny log icmp from 10.2.3.56 to any out via en0

et dans les deux sens

add zz deny log icmp from any to any via en0

et ou xx, yy et zz représentent les numéro d'ordre de tes règles

ps quel est l'adresse du site dont tu parles
 

Einbert

Membre d’élite
Club MacG
24 Avril 2001
1 236
20
<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>Posté à l'origine par Pierre Bouvier:

log dit que cette connexion peut être journalisée
[24 janvier 2002 : message édité par Pierre Bouvier]
<HR></BLOCKQUOTE>

Dans quel fichier et où se trouve-t-il ??


Et quand on met la commande
ifconfig -a
je vois qu'il est noté broadcast et suivi d'une adresse, du style 172.121.1.255 et via ettercap, ben je vois un truc du style
1) 172.121.1.33:49162 &lt;--&gt; 172.121.1.255:xxxx | UDP |
Où 172.121.1.33 est l'adresse de ma machine par exemple, 172.121.1.255 l'adresse du broadcast (?) et 172.121.1.1 serait l'adresse de mon routeur...donc apparemment il y a qqch qui sort par l'adresse du broadcast sur le port xxxx, cette information sortant du port 49162 de ma machine.
Donc ma quesiton : peut-on faire bloquer la sortie sur le port xxxx avec l'adresse de broadcast, vu qu'il me paraît difficile de faire bloquer un port su ma machine, vu que lui ne communique pas sur des ports fiches ? Ou bien si j'utilise l'exemple de règle que tu m'as donné plus haut et qui bloque sur en0 en sortie, ben l'adresse broadcast est-elle aussi concerné par cette règle vu qu'elle se trouve dans en0 ??
Si on fait bloquer en sortie le port 53, a-t-on des chances de ne plus pouvoir surfer, vu qu'il s'agit du port DNS ??


++

[27 janvier 2002 : message édité par Einbert]

[27 janvier 2002 : message édité par Einbert]