(Firewall-Ports) Quels ports faut il garder?
Shiba2029
Messages postés
6
Statut
Membre
-
ea69 Messages postés 3 Statut Membre -
ea69 Messages postés 3 Statut Membre -
Bonjour,
je suis actuellement en stage dans une entreprise où l'on m'a demandé de mettre en place un firewall entre la connection internet (assurée par une LiveBox Pro) et le réseau local.
J'ai pour se faire à ma disposition un D-Link DFL-700 (voir https://eu.dlink.com/fr/fr/?go=gNTyP9CgrdFOIC4AStFCF834mptYKO9ZTdvhLPG3yV3oUYh7hKltbNlwaaFp6DQoHDrqxSJL+ooIDd/l )
Il me semble plus judicieux de tout bloquer, puis de rajouter les regles qui laisse passer uniquement ce que je souhaite... Jusque là je ne me trompe pas?
Donc ma question est la suivante: Quels sont les ports qu'il ne faut pas bloquer?
Petite précision, l'entreprise bosse essentiellement sous MAC, bien qu'il y ai quelques PC qui trainent.
Donc pr le moment j'en suis a me dire qu'il ne faut pas bloquer les ports suivants:
- 80 en TCP, HTTP, pr permettre l'acces au net
- 25 SMTP en TCP+UDP / 110 POP en TCP, pr les services mails
- 20/21, FTP en TCP
Ensuite on me demande de laisser tranquille le port qui gère l'horloge réseau (est ce que par hasard ce serait le 123 Network Time Protocol?), de laisser passer les MAJ MAC et Windows (la connection aux serveur de MAJ se fait elle par un port spécial ou simplement par le 80?)...
De quoi ai-je besoin de plus? DNS peut etre?
J'ai trouvé à cette adresse http://docs.info.apple.com/article.html?artnum=106439-fr une liste des ports TCP/UDP connus utilisé par les logiciels Apple, mais me sont ils tous utils?
En vous remerciant de vos réponses :D
je suis actuellement en stage dans une entreprise où l'on m'a demandé de mettre en place un firewall entre la connection internet (assurée par une LiveBox Pro) et le réseau local.
J'ai pour se faire à ma disposition un D-Link DFL-700 (voir https://eu.dlink.com/fr/fr/?go=gNTyP9CgrdFOIC4AStFCF834mptYKO9ZTdvhLPG3yV3oUYh7hKltbNlwaaFp6DQoHDrqxSJL+ooIDd/l )
Il me semble plus judicieux de tout bloquer, puis de rajouter les regles qui laisse passer uniquement ce que je souhaite... Jusque là je ne me trompe pas?
Donc ma question est la suivante: Quels sont les ports qu'il ne faut pas bloquer?
Petite précision, l'entreprise bosse essentiellement sous MAC, bien qu'il y ai quelques PC qui trainent.
Donc pr le moment j'en suis a me dire qu'il ne faut pas bloquer les ports suivants:
- 80 en TCP, HTTP, pr permettre l'acces au net
- 25 SMTP en TCP+UDP / 110 POP en TCP, pr les services mails
- 20/21, FTP en TCP
Ensuite on me demande de laisser tranquille le port qui gère l'horloge réseau (est ce que par hasard ce serait le 123 Network Time Protocol?), de laisser passer les MAJ MAC et Windows (la connection aux serveur de MAJ se fait elle par un port spécial ou simplement par le 80?)...
De quoi ai-je besoin de plus? DNS peut etre?
J'ai trouvé à cette adresse http://docs.info.apple.com/article.html?artnum=106439-fr une liste des ports TCP/UDP connus utilisé par les logiciels Apple, mais me sont ils tous utils?
En vous remerciant de vos réponses :D
A voir également:
- (Firewall-Ports) Quels ports faut il garder?
- Comodo firewall - Télécharger - Pare-feu
- Citez deux ports permettant de connecter directement un ordinateur à un écran (tv, vidéoprojecteur, etc.). - Guide
- Word supprimer tableau mais garder texte ✓ - Forum Word
- Free virtual serial ports - Télécharger - Émulation & Virtualisation
- Comment garder le 0 devant les chiffres sur excel - Guide
4 réponses
Il me semble plus judicieux de tout bloquer, puis de rajouter les regles qui laisse passer uniquement ce que je souhaite... Jusque là je ne me trompe pas?
Exact ! C'est comme cela qu'il faut procéder.
Quels sont les ports qu'il ne faut pas bloquer?
ça dépend des protocoles utilisés par l'enteprise.
- 80 en TCP, HTTP, pr permettre l'acces au net
- 25 SMTP en TCP+UDP / 110 POP en TCP, pr les services mails
- 20/21, FTP en TCP
Entrants ou sortants ?
ça fait une énorme différence.
En entrant, à mois d'avoir des serveurs en interne qui doivent être accessibles depuis internet, il faut tout bloquer.
Si vous avez un serveur web, alors il faut ouvrir le port 80 et le fowarder vers le serveur web.
En sortant, tu peux tout laisser libre. L'important est surtout d'empêcher les connexions venant de l'extérieur.
80 en TCP, HTTP, pr permettre l'acces au net
Mauvaise idée: Et pour les sites qui ne sont pas sur le port 80 ? Et pour les pages sécurisées (HTTPS, port 443) ?
Le "web", ce n'est pas seulement le port 80.
Exact ! C'est comme cela qu'il faut procéder.
Quels sont les ports qu'il ne faut pas bloquer?
ça dépend des protocoles utilisés par l'enteprise.
- 80 en TCP, HTTP, pr permettre l'acces au net
- 25 SMTP en TCP+UDP / 110 POP en TCP, pr les services mails
- 20/21, FTP en TCP
Entrants ou sortants ?
ça fait une énorme différence.
En entrant, à mois d'avoir des serveurs en interne qui doivent être accessibles depuis internet, il faut tout bloquer.
Si vous avez un serveur web, alors il faut ouvrir le port 80 et le fowarder vers le serveur web.
En sortant, tu peux tout laisser libre. L'important est surtout d'empêcher les connexions venant de l'extérieur.
80 en TCP, HTTP, pr permettre l'acces au net
Mauvaise idée: Et pour les sites qui ne sont pas sur le port 80 ? Et pour les pages sécurisées (HTTPS, port 443) ?
Le "web", ce n'est pas seulement le port 80.
C notre logiciel de gestion d'email qui se connecte sur le serveur mail de notre fournisseur? Donc si connexion sortante, je touche pas :D , c bien ça?
ça me semble logique.
Donc pas besoin de règle spécifique.
Vu que le mail se fait uniquement en connexion sortante, pas de règle spécifique à mettre en place.
Petit bémol: certains FAI utilisent le protocole IDENT et font une connexion entrante sur le port de ce protocole au moment où tu veux faire du SMTP/POP3 (pour des raisons de sécurité). Il faut voir si c'est nécessaire ou pas.
Par contre ils utilisent Timbuktu comme logiciel de prise a distance, là par contre il faut que je le gere en entrée (ports 407/408)...
Absolument.
Dans ce cas là il ne faudrait autoriser que le port 20 en entrée?
Oui.
Note que certains firewalls sont un peu "intelligents" et ont des règles automatiques pour certains protocoles (ça aide pour configurer).
ça me semble logique.
Donc pas besoin de règle spécifique.
Vu que le mail se fait uniquement en connexion sortante, pas de règle spécifique à mettre en place.
Petit bémol: certains FAI utilisent le protocole IDENT et font une connexion entrante sur le port de ce protocole au moment où tu veux faire du SMTP/POP3 (pour des raisons de sécurité). Il faut voir si c'est nécessaire ou pas.
Par contre ils utilisent Timbuktu comme logiciel de prise a distance, là par contre il faut que je le gere en entrée (ports 407/408)...
Absolument.
Dans ce cas là il ne faudrait autoriser que le port 20 en entrée?
Oui.
Note que certains firewalls sont un peu "intelligents" et ont des règles automatiques pour certains protocoles (ça aide pour configurer).
Tout d'abord merci de ta réponse ^^, mais du coup je vais t'embeter encore un peu si tu le permets xD
Entrants ou sortants ? ça fait une énorme différence.
Oui en effet, c logique, je n'y avais pas réellement pensé lool. J'ai encore du mal à me familiariser avec la chose. Pour le moment je n'ai pas trop à gerer les connexions sortantes (peut etre msn dans le futur, j'ai commencé à me renseigner sur le sujet ça n'a pas l'air de tout repos ^^, enfin on verra ça plus tard).
ça dépend des protocoles utilisés par l'entreprise.
On ne m'a parlé en terme de protocol que de POP3 (110)/SMTP (25), mais là il s'agit de connexion sortante apparement? C notre logiciel de gestion d'email qui se connecte sur le serveur mail de notre fournisseur? Donc si connexion sortante, je touche pas :D , c bien ça?
Par contre ils utilisent Timbuktu comme logiciel de prise a distance, là par contre il faut que je le gere en entrée (ports 407/408)...
En entrant, à mois d'avoir des serveurs en interne qui doivent être accessibles depuis internet, il faut tout bloquer.
Si vous avez un serveur web, alors il faut ouvrir le port 80 et le fowarder vers le serveur web.
Pas de serveur web, mais un serveur FTP, meme principe j'imagine sauf qu'il s'agit ici des ports 20 et 21 (il reçoit sur le port 20 et se connecte sur le 21 c bien ça? Dans ce cas là il ne faudrait autoriser que le port 20 en entrée?)
Merci d'avance :)
Entrants ou sortants ? ça fait une énorme différence.
Oui en effet, c logique, je n'y avais pas réellement pensé lool. J'ai encore du mal à me familiariser avec la chose. Pour le moment je n'ai pas trop à gerer les connexions sortantes (peut etre msn dans le futur, j'ai commencé à me renseigner sur le sujet ça n'a pas l'air de tout repos ^^, enfin on verra ça plus tard).
ça dépend des protocoles utilisés par l'entreprise.
On ne m'a parlé en terme de protocol que de POP3 (110)/SMTP (25), mais là il s'agit de connexion sortante apparement? C notre logiciel de gestion d'email qui se connecte sur le serveur mail de notre fournisseur? Donc si connexion sortante, je touche pas :D , c bien ça?
Par contre ils utilisent Timbuktu comme logiciel de prise a distance, là par contre il faut que je le gere en entrée (ports 407/408)...
En entrant, à mois d'avoir des serveurs en interne qui doivent être accessibles depuis internet, il faut tout bloquer.
Si vous avez un serveur web, alors il faut ouvrir le port 80 et le fowarder vers le serveur web.
Pas de serveur web, mais un serveur FTP, meme principe j'imagine sauf qu'il s'agit ici des ports 20 et 21 (il reçoit sur le port 20 et se connecte sur le 21 c bien ça? Dans ce cas là il ne faudrait autoriser que le port 20 en entrée?)
Merci d'avance :)
Si tu veux un conseille.
Tu demande un PC portable que tu installe un sniffer réseaux style etherreal (car gratos et très bon).
Ensuite tu vas voir les gens qui utilise des appli non standard.
Tu te trouve un HUb que tu place entre le réseau et le PC ainsi que ton PC et tu snif.
Tu trouveras tout les ports que tu recherche.
Tu demande un PC portable que tu installe un sniffer réseaux style etherreal (car gratos et très bon).
Ensuite tu vas voir les gens qui utilise des appli non standard.
Tu te trouve un HUb que tu place entre le réseau et le PC ainsi que ton PC et tu snif.
Tu trouveras tout les ports que tu recherche.
