DEDIBOX-NEWS.COM

cricou.net · 2006-10-19 13:13:15

Bonjour a tous
Je cherche a deployer un firewall sur ma dedibox win2003 mais evidemment, comme on a pas acces physiquement a l'ecran on ne peut pas le faire a distance
j'ai essaye Sygate , keryo etc... on n'arrive plus a prendre la main une fois qu'on a reboote
Est ce que certains ont reussi ? avec quel logiciel ?
je cherche autre chose que celui de windows
Merci d'avance

ScHinZe · 2006-10-19 13:15:46

A toi de rajouter la règle qui autorise le port utilisé par le service Terminal Server.

cricou.net · 2006-10-19 13:19:14

Oui je sais ca mais je ne peux pas rajouter la regle sur le firewall tant qu'il n'a pas demarré et si il a demarré je ne peux plus prendre le controle
c'est le serpent qui se mord la queue

ScHinZe · 2006-10-19 13:21:20

Ah ouaih, c'est con ca ^^

Voila pourquoi je préfère installer les box windows en offline...

cricou.net · 2006-10-23 09:41:22

Personne n'a une idee et surtout l'a deja fait ?

maddanny · 2006-10-23 15:01:10

Une question con, pourquoi ne pas utiliser le firewall de 2003 ??

MAddanny

cricou.net · 2006-10-23 15:18:44

Parce que si il etait si performant que ca , avec des regles de filtrages, in, out tcp/upp... avec des options sur les sources et destination des paquets ce serait pas un probleme , le firewall de windows n'est valable que pour XP, a la maison c'est bien suffisant mais sur un serveur Internet
je n'ai pas vraiment confiance

salut

rpgmax2k6 · 2006-10-23 16:58:35

Rohh si tu bloques tous les ports et que tu n'ouvres que ceux nécessaire ca fait pas trop trop mal son boulot, c'est pas l'idéal mais y a pire

cricou.net · 2006-10-23 17:04:51

oui mais moi je cherche vraiment a rajouter des regles
genre mysql port 3306 ouvert uniquement sur l'adresse ip locale ET mon pc a la maison pour l'administrer en live
pareil pour bannir une ip qui ferait du spam ou tenterait de hacker ton serveur ...
sygate le faisait super bien mais il y a pas de configuration a l'install
on perd la main
merci

rpgmax2k6 · 2006-10-23 19:53:32

Arf we dans ce cas ... :-(

echristophe · 2006-10-23 19:58:23

avec l'installation windows 2003 std fr de dédibox, par defaut le firewall est désactivé, mais quand on active le firewall, par defaut la regle pour le bureau distant sera activé (son pas bete les mecs de dedibox) par contre si quelqu'un sais comment enlever leur port ouvert par defaut ca serais sympa! j'veut juste icmp et 3389

merci de votre aide

maddanny · 2006-10-23 20:58:09

cricou.net a écrit:
oui mais moi je cherche vraiment a rajouter des regles
genre mysql port 3306 ouvert uniquement sur l'adresse ip locale ET mon pc a la maison pour l'administrer en live

Mais le firewall de 2003 fait ça aussi ...

MADdanny

cricou.net · 2006-10-24 00:51:38

tu peux configurer des regles d'adresse ip :source + dest dans le firewall de windows ?

maddanny · 2006-10-24 01:00:12

cricou.net a écrit:
tu peux configurer des regles d'adresse ip :source + dest dans le firewall de windows ?

Non. Enfin, pas comme sous linux
Mais tu peux definir un "scope" qui correspond aux IPs autorisées. Et c'est ce que cricou recherche.
De toute façon les firewalls genre keryo & co ne sont pas conçus pour une utilisation sur un serveur A la rigueur tu prends une autre dedibox sous linux ou sinon ISA !

MADdanny

cricou.net · 2006-10-24 09:11:53

Merci maddany je vais approfondir, ISA Server c'est pas donne tout de meme
je regrette vraiment mon petit sygate firewall

maddanny · 2006-10-24 10:56:10

surtout qu'ISA c'est un peu (beaucoup) une usine à gaz!

Si tu veux faire quelque chose de correct, alors je te conseille de monter un VPN entre ta dedibox et toi et ne laisser ouverts à l'exterieur que les ports necessaires.

MADdanny
y'a 2 N! nan mais ho

cricou.net · 2006-10-24 13:57:52

Effectivement Le Fw de windows permet basiqueemnt de bloquer par exemple un port pour TOUT le monde Sauf pour une adresse ip (ou classe )
c'est pas mal
par contre je cherche toujours un outils gratuit et installable a distance sans perdre la main
j'ai vu que JETICO permet a la fin de l'install de creer une zone de confiance avec sa ou ses propres adresses ip du coup on a acces au serveur
vous connaissez Jetico un peu ? facile ? fiable ?
merci

maddanny · 2006-10-24 14:17:37

cricou.net a écrit:
par contre je cherche toujours un outils gratuit et installable a distance sans perdre la main

Ce que tu cherches est un peu en contradiction avec la la philosophie de 2003 serveur: tu veux un produit gratuit qui s'installe sur une plateforme dediée aux professionnels Les entreprises sont peu enclines à utiliser un produit gratuit (qui par définition n'offre aucune garantie ni de fiabilité ni de perenité, même si certains depassent en qualité les produits commerciaux) pour garantir la securité de leur serveur De plus, il est plus facile/fiable/performant d'utiliser un firewall materiel pour proteger des serveurs windows, ne serais-ce pour eviter tout plantage du firewall

Certains firewalls pour XP peuvent fonctionner sous 2003 mais sont malheureusement conçus pour être utilisés de l'interieur, pas de l'exterieur

Toutefois, je te conseille de chercher du côté de netsh (voir ici et là ou là), il permet un parametrage beaucoup plus fin que le firewall integré. Certes c'est plus compliqué mais c'est assez proche de la syntaxe linux Par contre fais gaffe de pas t'enfermer dehors

MADdanny

rpgmax2k6 · 2006-10-24 18:26:19

+1 pour le vpn, j'en ai justement fais un sur mes dedi, qui sont donc reliées entre elles et moi par vpn en ssl

misterin · 2006-11-12 19:03:51

C'est pas idiot de mettre un vrai firewall pour maîtriser la sécurité de son serveur.
J'ai réussi à installer Jetico V2.0 en service windows (attention c'est une version beta mais çà marche déjà bien - çà na plus rien à voir avec la V1)

L'astuce, juste avant le reboot demandé par l'install, c'est de modifier le fichier C:/program files/jetico/jetico personal firewall/config/jpfconfig.xml
- sur la première page :
- enlever l'option default="1"de la policy "optimal protection"
- ajouter cette même option default="1" sur la policy "allow all" (bien respecter la syntaxe !)

Ainsi, à chaque reboot, le firewall démarre en mode "tout accepter".
On peux ainsi ajouter les ports RDP et VNC avant d'activer la protection

Je conseille de laisser le paramètre ainsi jusqu'à ce qu'on soit devenu expert
Ainsi, toute erreur de paramétrage (inévitable) coupant le RDP sera sanctionnée par un simple redémarrage hard de la box

Pour ma part, j'ai déplacé le fichier config dans une partition FAT pour pouvoir le modifier par SSH en cas de pb.
C'est mon assurance tout risque.

Dernière modification par misterin (2006-11-12 19:12:47)

maddanny · 2006-11-12 19:06:18

misterin a écrit:
C'est pas idiot de mettre un vrai firewall pour maîtriser la sécurité de son serveur.
J'ai réussi à installer Jetico V2.0 en service windows (attention c'est une version beta mais çà marche déjà bien)

L'astuce, juste avant le reboot demandé par l'install, c'est de modifier le fichier C:/program files/jetico/jetico personal firewall/config/jpfconfig.xml
- sur la première page :
- enlever l'option default="1"de la policy "optimal protection"
- ajouter cette même option default="1" sur la policy "allow all"

Ainsi, à chaque reboot, le firewall démarre en mode "tout accepter".

Ah la bonne idée

Comme ça au bout de 3 mois tu te fais hacker et tu comprends aprés que t'avais oublié de remettre le firewall aprés un reboot

Comme quoi le firewall de windows n'est pas si mal

MADdanny

misterin · 2006-11-12 19:28:06

maddanny a écrit:
misterin a écrit:
C'est pas idiot de mettre un vrai firewall pour maîtriser la sécurité de son serveur.
J'ai réussi à installer Jetico V2.0 en service windows (attention c'est une version beta mais çà marche déjà bien)

L'astuce, juste avant le reboot demandé par l'install, c'est de modifier le fichier C:/program files/jetico/jetico personal firewall/config/jpfconfig.xml
- sur la première page :
- enlever l'option default="1"de la policy "optimal protection"
- ajouter cette même option default="1" sur la policy "allow all"

Ainsi, à chaque reboot, le firewall démarre en mode "tout accepter".
Ah la bonne idée

Comme ça au bout de 3 mois tu te fais hacker et tu comprends aprés que t'avais oublié de remettre le firewall aprés un reboot

Comme quoi le firewall de windows n'est pas si mal

MADdanny

Tu peux paramétrer la policy "allow all" ou créer une policy "de reboot" par défaut
- tout interdire sauf le RDP
- ou filtrer le ping de l'utilitaire de supervision et recevoir un email d'alerte
- etc

C'est un peu osé d'utiliser le terme de Firewall pour parler du filtre Microsoft...
Mais si on n'est pas très rigoureux, mieux vaut utiliser le filtre Windows effectivement

maddanny · 2006-11-12 19:31:34

misterin a écrit:
C'est un peu osé d'utiliser le terme de Firewall pour parler du filtre Microsoft...
Mais si on n'est pas très rigoureux, mieux vaut utiliser le filtre Windows effectivement

Ah bon, et qu'est ce que tu lui reproches au firewall Windows ?

MADdanny

misterin · 2006-11-12 19:34:51

maddanny a écrit:
misterin a écrit:
C'est un peu osé d'utiliser le terme de Firewall pour parler du filtre Microsoft...
Mais si on n'est pas très rigoureux, mieux vaut utiliser le filtre Windows effectivement
Ah bon, et qu'est ce que tu lui reproches au firewall Windows ?

MADdanny

moi rien (je ne me permettrais pas) !
il suffit de lire les résultats des tests et comparatifs de firewall réalisés par des experts...

Vilo · 2006-11-24 09:41:49

Bonjour à tous,

J'ai été récemment confronté au problème.
Le firewall de XP est une grosse merde pour 2 raisons au moins :
1. Non gestion des plages de ports, ce qui disqualifie ce firewall dans le cas d'une utilisation avec un serveur FTP passif (car il faut ouvrir plusieurs dizaines de ports).
2. Limitation interne de la durée de connexion (timeout) relativement faible, qui pose de nombreux problèmes (notamment avec les FTP passifs ...).

Bref, j'ai voulu installer autre chose.
Or, comme soulevé fort justement, impossible d'installer directement un FW à distance sous peine de perde irrémédiablement le contact avec la dédibox ...

J'ai donc procédé comme suis :
1. Installation en local sur ma machine (tournant sous XPpro SP2) de Kerio Personnal Firewall 2.1.5 (la dernière version entièrement gratuite et stable).
2. Réglage du firewall pour tout bloquer sauf le port TCP 3389 dans les 2 sens.
3. Copie du fichier "persfw.conf".
4. Désinstallation du FW.

5. Installation à distance du FW sur la Dedibox.
6. Avant reboot, copie du fichier sus-nommé dans le répertoire idoine.
7. Reboot Hard.

Ca marche impec.
Par contre gaffe en triffouillant les règles, car une mauvaise manip et c'est réinstalle gratuite ... à moins que la console de secours ne permette de modifier des fichiers à la mainn auquel cas il faudra modifier "persfw.conf" pour remettre l'accès.

DEDIBOX-NEWS.COM

#1 2006-10-19 13:13:15

Firewall Windows

#2 2006-10-19 13:15:46

Re: Firewall Windows

#3 2006-10-19 13:19:14

Re: Firewall Windows

#4 2006-10-19 13:21:20

Re: Firewall Windows

#5 2006-10-23 09:41:22

Re: Firewall Windows

#6 2006-10-23 15:01:10

Re: Firewall Windows

#7 2006-10-23 15:18:44

Re: Firewall Windows

#8 2006-10-23 16:58:35

Re: Firewall Windows

#9 2006-10-23 17:04:51

Re: Firewall Windows

#10 2006-10-23 19:53:32

Re: Firewall Windows

#11 2006-10-23 19:58:23

Re: Firewall Windows

#12 2006-10-23 20:58:09

Re: Firewall Windows

cricou.net a écrit:

#13 2006-10-24 00:51:38

Re: Firewall Windows

#14 2006-10-24 01:00:12

Re: Firewall Windows

cricou.net a écrit:

#15 2006-10-24 09:11:53

Re: Firewall Windows

#16 2006-10-24 10:56:10

Re: Firewall Windows

#17 2006-10-24 13:57:52

Re: Firewall Windows

#18 2006-10-24 14:17:37

Re: Firewall Windows

cricou.net a écrit:

#19 2006-10-24 18:26:19

Re: Firewall Windows

#20 2006-11-12 19:03:51

Re: Firewall Windows

#21 2006-11-12 19:06:18

Re: Firewall Windows

misterin a écrit:

#22 2006-11-12 19:28:06

Re: Firewall Windows

maddanny a écrit:

misterin a écrit:

#23 2006-11-12 19:31:34

Re: Firewall Windows

misterin a écrit:

#24 2006-11-12 19:34:51

Re: Firewall Windows

maddanny a écrit:

misterin a écrit:

#25 2006-11-24 09:41:49

Re: Firewall Windows

Pied de page des forums