Bonjours à tous!
Après avoir galéré de longues heures....ou plutôt de long jours à faire des tests en tous genres, écumer de nombreux sites et forums, je suis enfin arrivé à configurer cette bestiole comme il faut pour avoir une connexion xbox<=>pc<=>internet qui fonctionne à 100% autant au niveau de la sécurité que de la connexion! (je n'ai pas essayer le xboxlive.... à vous de me dire si ça fonctionne )
Pour éviter que tous ceux qui utilise cet excellent firewall ne le désactive ou le remplace...ou se prenne la tête comme moi, je me permet de vous offrire un petit récapitulatif des règles et étapes à suivre.
Je pars sur le principe que sans le firewall, votre connexion xbox<=>internet fonctionne, si c'est pas le cas allez d'abord voir ICI
1 - Les règles par defaut
2 - Les règles pour vos programmes
3 - La connexion de la xbox sur le net
1 - Les règles par defaut
Les règles suivantes proviennent du site de blueduck (http://blueduck.free.fr/informatique/sommaire.html) que je conseil de consulter pour plus d'infos!
Et mille excuses pour le plagiat
ATTENTION, ne pas modifier l'ordre de ces règles !!!!
==================================================
Règle n°0a
Description : Loopback
Protocol : Any
Direction : Both
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Single address
Address(es) : 127.0.0.1
Port type : Any
Port(s) : -
Action : Permit
------------------------------------------------
L'adresse 127.0.0.1 désigne votre propre ordinateur, même lorsqu'il n'est pas connecté à un réseau (local ou Internet). Toutes les requêtes vers cette adresse sont sûres. En les autorisant par cette règle en début de liste, vous gagnez du temps sur les connexions et vous vous épargnez d'autres règles.
==================================================
Règle n°0b
Description : LAN
Protocol : Any
Direction : Both
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Network/Range
Address(es) : First IP 192.168.0.1, Last IP 192.168.255.254
Port type : Any
Port(s) : -
Action : Permit
------------------------------------------------
Cette règle autorise toute connexion sur un LAN dont les postes ont des adresses IP dans l'intervalle précisé. Cet intervalle est constitué d'adresses privées qui ne correspondront jamais à l'adresse d'un hôte sur Internet.
Si vous n'avez que quelques PCs avec des IP statiques, limitez l'intervalle à ces adresses, sinon laissez cet intervalle.
Si vous n'avez que la Xbox de relier à votre pc, mettez pour Address type : Single (à la place de Network/Range) et en dessous mettez l'adresse de votre xbox
==================================================
Règle n°1
Description : Block inbound NetBIOS
Protocol : TCP et UDP
Direction : Incoming
Port type : Port/Range
Port(s) : First port number 137, Last port number 139
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
Cette règle et la suivante bloquent les communications NetBIOS qui se font sur les ports 137, 138 et 139. Désactivez-les si vous utilisez NetBIOS sur le réseau (notamment pour les partages de fichiers et d'imprimantes).
==================================================
Règle n°2
Description : Block outbound NetBIOS
Protocol : TCP et UDP
Direction : Outgoing
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Port/Range
Port(s) : First port number 137, Last port number 139
Action : Deny
------------------------------------------------
Cf. règle n°1.
==================================================
Règle n°3
Description : ISP domain name server (DNS)
Protocol : UDP
Direction : Both
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Single
Address(es) : cf. ci-contre
Port type : Single
Port(s) : 53
Action : Permit
------------------------------------------------
Cette règle autorise les communications avec le(s) serveur(s) DNS de votre fournisseur d'accès. Ces serveurs fonctionnent sur le port 53. Si vous n'arrivez pas à surfez, c'est peut-être que l'adresse indiquée n'est pas la bonne...
Comment déterminer l'adresse de mon serveur DNS ?
Sous Windows 95, 98, 98 SE et Millénium
1. Cliquez sur le bouton Démarrer, puis Exécuter... ;
2. Entrez 'winipcfg' et cliquez sur OK ;
3. Si vous avez une carte réseau, déroulez la liste des cartes et sélectionnez celle qui N'EST PAS votre carte réseau ;
4. Cliquez sur le bouton Détails ;
5. Lisez l'adresse en face de Serveur DNS.
Sous Windows 2000 et XP
1. Cliquez sur le bouton Démarrer, puis Exécuter... ;
2. Entrez 'cmd' puis cliquez sur OK ;
3. A l'invite de commande, tapez 'ipconfig /all' et validez avec la touche Entrée ;
4. Cherchez la ligne qui contient Serveur DNS et notez l'adresse.
==================================================
Règle n°4
Description : Others DNS
Protocol : UDP
Direction : Both
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Single
Port(s) : 53
Action : Deny
------------------------------------------------
Les communications avec des serveurs DNS qui ne sont pas ceux de votre FAI sont inutiles. Cette règle les bloque.
==================================================
Règle n°5
Description : Out needed ICMP
Protocol : ICMP
Direction : Outgoing
Set ICMP... : [8] Echo request
Port type : -
Port(s) : -
Application : -
Ordinary path : -
Address type : Any
Address(es) :
Port type : -
Port(s) : -
Action : Permit
------------------------------------------------
Le protocole ICMP contrôle les connexions, mais toutes ses fonctions ne sont pas nécessaires.
Ici les règles indispensables en sortie...
==================================================
Règle n°6
Description : In needed ICMP
Protocol : ICMP
Direction : Incoming
Set ICMP... : [0] Echo Reply, [3] Destination Unreachable, [11] Time Exceeded
Port type : -
Port(s) : -
Application : -
Ordinary path : -
Address type : Any
Address(es) : -
Port type : -
Port(s) : -
Action : Permit
------------------------------------------------
...et là en entrée.
==================================================
Règle n°7
Description : IGMP
Protocol : Other
Number : 2
Direction : Both
Port type : -
Port(s) : -
Application : -
Ordinary path : -
Address type : Any
Address(es) : -
Port type : -
Port(s) : -
Action : Deny
------------------------------------------------
==================================================
Règle n°8
Description : Reply from DHCP
Protocol : UDP
Direction : Both
Port type : Single
Port(s) : 68
Application : Only selected below
Ordinary path : c:\windows\system32\svchost.exe
Address type : Any
Address(es) : -
Port type : Single
Port(s) : 67
Action : Permit
------------------------------------------------
Si votre adresse sur le réseau local vous est donnée par un serveur DHCP, vous devez entrer cette règle.
Si vous ne savez pas de quoi il s'agit, vous n'en avez probablement pas besoin :-)
==================================================
Règle n°9
Description : Block common ports
Protocol : TCP et UDP
Direction : Incoming
Port type : List of ports
Port(s) : 21,22,23,25,42,53,80,79,98,110,113,143,443,8080
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
Vous pouvez bloquer en entrée les ports qui servent habituellement à héberger des services (un serveur web comme Apache ou un serveur FTP par exemple). Mais si vous proposez effetivement un de ces services, n'oubliez pas de supprimer de cette règle le port correspondant.
==================================================
Règle n°10
Description : Block Back Orifice
Protocol : TCP et UDP
Direction : Incoming
Port type : List of ports
Port(s) : 31337,54320,54321
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
Pour éviter de se prendre ce bon vieux trojan dans la gueule!
==================================================
Règle n°11
Description : Block Netbus
Protocol : TCP
Direction : Incoming
Port type : List of ports
Port(s) : 12345,12346,12456,20034
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
Idem que la règle 10 mais pour Netbus.
==================================================
Règle n°12
Description : Bootp
Protocol : TCP et UDP
Direction : Both
Port type : Single
Port(s) : 68
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
pour les infos sur le Bootp [bootstrap Protocol Client] voir ICI
==================================================
Règle n°13
Description : RPCSS
Protocol : UDP
Direction : Incoming
Port type : Single
Port(s) : 135
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
==================================================
Règle n°14
Description : Block low trojan ports
Protocol : TCP et UDP
Direction : Both
Port type : Port/Range
Port(s) : First port number 1, Last port number 79
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
Cette règle bloque les chevaux de Troie qui utilisent les ports 1 à 79 (attention : le port 21 sur lequel vous faites peut-être fonctionner un serveur FTP est aussi bloqué).
Vous pouvez créer une deuxième règle similaire mais avec les ports 5000 à 65535 ; cependant, vous risquez de bloquer certaines applications. Il vaut mieux utiliser proprement la règle 999.
==================================================
Règle n°1 pour XBConnect
Protocol : UDP
Direction : Both
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Single
Address(es) : 0.0.0.1
Port type : Single
Port(s) : 3074
Action : Permit
==================================================
Règle n°2 pour XBConnect
Description : Reply from DHCP
Protocol : UDP
Direction : Outgoing
Port type : Single
Port(s) : 3074
Application : Any
Ordinary path : -
Address type : Single
Address(es) : 255.255.255.255
Port type : Single
Port(s) : 3074
Action : Permit
==================================================
/****CETTE REGLE DOIS TOUJOURS ETRE LA DERNIERE****/
Règle n°999
/****CETTE REGLE DOIS TOUJOURS ETRE LA DERNIERE****/
Description : Block all others connections
Protocol : Any
Direction : Both
Port type : Any
Port(s) : -
Application : Any
Ordinary path : -
Address type : Any
Address(es) : -
Port type : Any
Port(s) : -
Action : Deny
------------------------------------------------
Cette règle est essentielle pour une bonne sécurité : elle interdit tout ce qui n'est pas expressément autorisé, à condition toutefois d'être toujours placée en bas de la liste (sinon elle bloque absolument tout).
==================================================
2 - Les règles pour vos programmes
Avant d'essayer de connecter votre xbox au net, mettez à la suite les programmes que vous utilisez.
Dabord mettez kerio sur "ASk me first" (dans administration)
Ce que je vous conseil, c'est de désactiver la règle 999 temporairement (ATTENTION ! toujours vérifiez que l'opton "Is Running on Internet Gateway" dans l'onglet Miscellaneous est décoché quand vous désactivez la 999) puis de lancer les programmes que vous utilisez le plus.
Kerio émettra une alerte et vous demandera si vous autorisez ou pas l'application à accéder au net....à vous de voir si cette application à réellement quelque chose à faire sur le net ou pas. Votre mailreader ou votre antivirus devront se connecter, il faudra les autoriser. Au contraire, si kerio émet une alerte pour Paint ou la calculatrice windows, refuser!
N’oublier pas de coché la petite case en bas à droite, ça vous évitera de cliquer un million de fois sur "permit" ou "deny".
Si vous ne savez pas ce que c'est : dans le doute, refusez (par ex,vous pouvez refuser : Exécutable LSA et DLL, SYSTEM,...). Si après avoir refuser votre programme continu normalement alors vous avez bien fait, sinon vous avez juste à modifier la règle que vous venez de créer et de la passer en "permit"
Vous trouverez des configs pour plusieurs programmes grand public sur le site que j'ai cité au début.
PENSEZ A BIEN METTRE LA REGLE 999 A LA FIN (elle doit être après vos programmes)
Si vous n'utilisez pas votre xbox, il est préférable (pas forcément conseiller) de désactiver la règle 999, ça vous permettra de peaufiner vos réglage.
3 - La connexion de la xbox sur le net
Bon... la partie la plus simple MAIS la plus importante!
Dans l'onglet "Microsoft Networking", décochez tout.
ACTIVEZ LA REGLE 999. Sans cette règle, votre firewall ressemblera à un gruyère! (faute à l'option suivante)
Pour finir, dans Miscellaneous cochez "Is Running on Internet Gateway"
Voila tous dois fonctionner!
Mais n'oublier jamais :
- d'activer la règle 999 et "Is Running on Internet Gateway" lorsque vous utilisez la xbox sur le net
- Que si vous désactivez la règle 999, il faut décoché "Is Running on Internet Gateway"
Pour savoir si le firewall fait bien son boulot,
rendez-vous à cette à cette adresse : ShieldsUP => Proceed=>ShieldsUP!! Services=>All Services Ports
Si tout se passe bien(tout vert), vous devriez avoir quelque chose comme ça
Si vous avez pas activé la règle 999 voila ce que vous aurez
Voila, je suis ouvert à toutes suggestions, remarques, lynchages, ... En espérant que ça en aideras plusieurs