[tuto] Configuration De Kerio 2.15


Messages recommandés

Bonjours à tous!

Après avoir galéré de longues heures....ou plutôt de long jours à faire des tests en tous genres, écumer de nombreux sites et forums, je suis enfin arrivé à configurer cette bestiole comme il faut pour avoir une connexion xbox<=>pc<=>internet qui fonctionne à 100% autant au niveau de la sécurité que de la connexion! (je n'ai pas essayer le xboxlive.... à vous de me dire si ça fonctionne )

Pour éviter que tous ceux qui utilise cet excellent firewall ne le désactive ou le remplace...ou se prenne la tête comme moi, je me permet de vous offrire un petit récapitulatif des règles et étapes à suivre.

Je pars sur le principe que sans le firewall, votre connexion xbox<=>internet fonctionne, si c'est pas le cas allez d'abord voir ICI

1 - Les règles par defaut

2 - Les règles pour vos programmes

3 - La connexion de la xbox sur le net

1 - Les règles par defaut

Les règles suivantes proviennent du site de blueduck (http://blueduck.free.fr/informatique/sommaire.html) que je conseil de consulter pour plus d'infos!

Et mille excuses pour le plagiat

ATTENTION, ne pas modifier l'ordre de ces règles !!!!

==================================================

Règle n°0a

Description : Loopback

Protocol : Any

Direction : Both

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Single address

Address(es) : 127.0.0.1

Port type : Any

Port(s) : -

Action : Permit

------------------------------------------------

L'adresse 127.0.0.1 désigne votre propre ordinateur, même lorsqu'il n'est pas connecté à un réseau (local ou Internet). Toutes les requêtes vers cette adresse sont sûres. En les autorisant par cette règle en début de liste, vous gagnez du temps sur les connexions et vous vous épargnez d'autres règles.

==================================================

Règle n°0b

Description : LAN

Protocol : Any

Direction : Both

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Network/Range

Address(es) : First IP 192.168.0.1, Last IP 192.168.255.254

Port type : Any

Port(s) : -

Action : Permit

------------------------------------------------

Cette règle autorise toute connexion sur un LAN dont les postes ont des adresses IP dans l'intervalle précisé. Cet intervalle est constitué d'adresses privées qui ne correspondront jamais à l'adresse d'un hôte sur Internet.

Si vous n'avez que quelques PCs avec des IP statiques, limitez l'intervalle à ces adresses, sinon laissez cet intervalle.

Si vous n'avez que la Xbox de relier à votre pc, mettez pour Address type : Single (à la place de Network/Range) et en dessous mettez l'adresse de votre xbox

==================================================

Règle n°1

Description : Block inbound NetBIOS

Protocol : TCP et UDP

Direction : Incoming

Port type : Port/Range

Port(s) : First port number 137, Last port number 139

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

Cette règle et la suivante bloquent les communications NetBIOS qui se font sur les ports 137, 138 et 139. Désactivez-les si vous utilisez NetBIOS sur le réseau (notamment pour les partages de fichiers et d'imprimantes).

==================================================

Règle n°2

Description : Block outbound NetBIOS

Protocol : TCP et UDP

Direction : Outgoing

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Port/Range

Port(s) : First port number 137, Last port number 139

Action : Deny

------------------------------------------------

Cf. règle n°1.

==================================================

Règle n°3

Description : ISP domain name server (DNS)

Protocol : UDP

Direction : Both

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Single

Address(es) : cf. ci-contre

Port type : Single

Port(s) : 53

Action : Permit

------------------------------------------------

Cette règle autorise les communications avec le(s) serveur(s) DNS de votre fournisseur d'accès. Ces serveurs fonctionnent sur le port 53. Si vous n'arrivez pas à surfez, c'est peut-être que l'adresse indiquée n'est pas la bonne...

Comment déterminer l'adresse de mon serveur DNS ?

Sous Windows 95, 98, 98 SE et Millénium

1. Cliquez sur le bouton Démarrer, puis Exécuter... ;

2. Entrez 'winipcfg' et cliquez sur OK ;

3. Si vous avez une carte réseau, déroulez la liste des cartes et sélectionnez celle qui N'EST PAS votre carte réseau ;

4. Cliquez sur le bouton Détails ;

5. Lisez l'adresse en face de Serveur DNS.

Sous Windows 2000 et XP

1. Cliquez sur le bouton Démarrer, puis Exécuter... ;

2. Entrez 'cmd' puis cliquez sur OK ;

3. A l'invite de commande, tapez 'ipconfig /all' et validez avec la touche Entrée ;

4. Cherchez la ligne qui contient Serveur DNS et notez l'adresse.

Votre FAI n'a pas forcement que deux adresses! Dans mon cas (Free), j'en ai relever 6, donc j'ai du créer 6  règles (3a,3b,3c,...). Les adresses ne changent pas forcement du jour au lendemains... si dans trois semaines (ou plus) vous avez du mal à surfer, c'est sûrement que les adresses ont changés
Pour ceux qui tournent avec AOL sick, à la place des adresses dns, mettez Any... ou changer de FAI :P

==================================================

Règle n°4

Description : Others DNS

Protocol : UDP

Direction : Both

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Single

Port(s) : 53

Action : Deny

------------------------------------------------

Les communications avec des serveurs DNS qui ne sont pas ceux de votre FAI sont inutiles. Cette règle les bloque.

==================================================

Règle n°5

Description : Out needed ICMP

Protocol : ICMP

Direction : Outgoing

Set ICMP... : [8] Echo request

Port type : -

Port(s) : -

Application : -

Ordinary path : -

Address type : Any

Address(es) :

Port type : -

Port(s) : -

Action : Permit

------------------------------------------------

Le protocole ICMP contrôle les connexions, mais toutes ses fonctions ne sont pas nécessaires.

Ici les règles indispensables en sortie...

==================================================

Règle n°6

Description : In needed ICMP

Protocol : ICMP

Direction : Incoming

Set ICMP... : [0] Echo Reply, [3] Destination Unreachable, [11] Time Exceeded

Port type : -

Port(s) : -

Application : -

Ordinary path : -

Address type : Any

Address(es) : -

Port type : -

Port(s) : -

Action : Permit

------------------------------------------------

...et là en entrée.

==================================================

Règle n°7

Description : IGMP

Protocol : Other

Number : 2

Direction : Both

Port type : -

Port(s) : -

Application : -

Ordinary path : -

Address type : Any

Address(es) : -

Port type : -

Port(s) : -

Action : Deny

------------------------------------------------

==================================================

Règle n°8

Description : Reply from DHCP

Protocol : UDP

Direction : Both

Port type : Single

Port(s) : 68

Application : Only selected below

Ordinary path : c:\windows\system32\svchost.exe

Address type : Any

Address(es) : -

Port type : Single

Port(s) : 67

Action : Permit

------------------------------------------------

Si votre adresse sur le réseau local vous est donnée par un serveur DHCP, vous devez entrer cette règle.

Si vous ne savez pas de quoi il s'agit, vous n'en avez probablement pas besoin :-)

==================================================

Règle n°9

Description : Block common ports

Protocol : TCP et UDP

Direction : Incoming

Port type : List of ports

Port(s) : 21,22,23,25,42,53,80,79,98,110,113,143,443,8080

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

Vous pouvez bloquer en entrée les ports qui servent habituellement à héberger des services (un serveur web comme Apache ou un serveur FTP par exemple). Mais si vous proposez effetivement un de ces services, n'oubliez pas de supprimer de cette règle le port correspondant.

==================================================

Règle n°10

Description : Block Back Orifice

Protocol : TCP et UDP

Direction : Incoming

Port type : List of ports

Port(s) : 31337,54320,54321

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

Pour éviter de se prendre ce bon vieux trojan dans la gueule!

==================================================

Règle n°11

Description : Block Netbus

Protocol : TCP

Direction : Incoming

Port type : List of ports

Port(s) : 12345,12346,12456,20034

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

Idem que la règle 10 mais pour Netbus.

==================================================

Règle n°12

Description : Bootp

Protocol : TCP et UDP

Direction : Both

Port type : Single

Port(s) : 68

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

pour les infos sur le Bootp [bootstrap Protocol Client] voir ICI

==================================================

Règle n°13

Description : RPCSS

Protocol : UDP

Direction : Incoming

Port type : Single

Port(s) : 135

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

==================================================

Règle n°14

Description : Block low trojan ports

Protocol : TCP et UDP

Direction : Both

Port type : Port/Range

Port(s) : First port number 1, Last port number 79

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

Cette règle bloque les chevaux de Troie qui utilisent les ports 1 à 79 (attention : le port 21 sur lequel vous faites peut-être fonctionner un serveur FTP est aussi bloqué).

Vous pouvez créer une deuxième règle similaire mais avec les ports 5000 à 65535 ; cependant, vous risquez de bloquer certaines applications. Il vaut mieux utiliser proprement la règle 999.

==================================================

Règle n°1 pour XBConnect

Protocol : UDP

Direction : Both

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Single

Address(es) : 0.0.0.1

Port type : Single

Port(s) : 3074

Action : Permit

==================================================

Règle n°2 pour XBConnect

Description : Reply from DHCP

Protocol : UDP

Direction : Outgoing

Port type : Single

Port(s) : 3074

Application : Any

Ordinary path : -

Address type : Single

Address(es) : 255.255.255.255

Port type : Single

Port(s) : 3074

Action : Permit

==================================================

/****CETTE REGLE DOIS TOUJOURS ETRE LA DERNIERE****/

Règle n°999

/****CETTE REGLE DOIS TOUJOURS ETRE LA DERNIERE****/

Description : Block all others connections

Protocol : Any

Direction : Both

Port type : Any

Port(s) : -

Application : Any

Ordinary path : -

Address type : Any

Address(es) : -

Port type : Any

Port(s) : -

Action : Deny

------------------------------------------------

Cette règle est essentielle pour une bonne sécurité : elle interdit tout ce qui n'est pas expressément autorisé, à condition toutefois d'être toujours placée en bas de la liste (sinon elle bloque absolument tout).

==================================================

2 - Les règles pour vos programmes

Avant d'essayer de connecter votre xbox au net, mettez à la suite les programmes que vous utilisez.

Dabord mettez kerio sur "ASk me first" (dans administration)

Ce que je vous conseil, c'est de désactiver la règle 999 temporairement (ATTENTION ! toujours vérifiez que l'opton "Is Running on Internet Gateway" dans l'onglet Miscellaneous est décoché quand vous désactivez la 999) puis de lancer les programmes que vous utilisez le plus.

Kerio émettra une alerte et vous demandera si vous autorisez ou pas l'application à accéder au net....à vous de voir si cette application à réellement quelque chose à faire sur le net ou pas. Votre mailreader ou votre antivirus devront se connecter, il faudra les autoriser. Au contraire, si kerio émet une alerte pour Paint ou la calculatrice windows, refuser!

N’oublier pas de coché la petite case en bas à droite, ça vous évitera de cliquer un million de fois sur "permit" ou "deny".

Si vous ne savez pas ce que c'est : dans le doute, refusez (par ex,vous pouvez refuser : Exécutable LSA et DLL, SYSTEM,...). Si après avoir refuser votre programme continu normalement alors vous avez bien fait, sinon vous avez juste à modifier la règle que vous venez de créer et de la passer en "permit"

Vous trouverez des configs pour plusieurs programmes grand public sur le site que j'ai cité au début.

PENSEZ A BIEN METTRE LA REGLE 999 A LA FIN (elle doit être après vos programmes)

Si vous n'utilisez pas votre xbox, il est préférable (pas forcément conseiller) de désactiver la règle 999, ça vous permettra de peaufiner vos réglage.

3 - La connexion de la xbox sur le net

Bon... la partie la plus simple MAIS la plus importante!

Dans l'onglet "Microsoft Networking", décochez tout.

ACTIVEZ LA REGLE 999. Sans cette règle, votre firewall ressemblera à un gruyère! (faute à l'option suivante)

Pour finir, dans Miscellaneous cochez "Is Running on Internet Gateway"

Voila tous dois fonctionner!

Mais n'oublier jamais :

- d'activer la règle 999 et "Is Running on Internet Gateway" lorsque vous utilisez la xbox sur le net

- Que si vous désactivez la règle 999, il faut décoché "Is Running on Internet Gateway"

Pour savoir si le firewall fait bien son boulot,

rendez-vous à cette à cette adresse : ShieldsUP => Proceed=>ShieldsUP!! Services=>All Services Ports

Si tout se passe bien(tout vert), vous devriez avoir quelque chose comme ça

999-active.jpg

Si vous avez pas activé la règle 999 voila ce que vous aurez

999-desactive.jpg

Voila, je suis ouvert à toutes suggestions, remarques, lynchages, ... En espérant que ça en aideras plusieurs

Modifié par Nico207
Lien vers message
Partager sur d'autres sites
  ça sert à quoi ce machin?

:huh: Mouai...Euh...tu veux parler de Kerio??? de ShieldsUP???? de tout le sujet???

Kerio : c'est un firewall

ShieldsUP :c'est un site qui permet de test l'efficacité de son firewall. Il effectue des tests sur les ports les plus "sensibles" pour voir si ton pc a une faille de sécurité qui permettrait à un petit plaisantin de venir foutre le bordel.

Tout le sujet : bah...beaucoup de personnes utilise un firewall, mais 2 fois sur 3 il ne leur sert à rien vu qu'il est mal configurer (il est vrai que c'est pas la chose la plus facile à faire). Alors j'essaye de donner un coup de pouce.

...si tu pouvais être un peu plus précis sur ta question....

Lien vers message
Partager sur d'autres sites
  • 1 year later...

Salut! :)

Je ressors ce vieux tutos car je le trouve très utile :ok: vu que j'utilise cette version de kerio.

Je voudrais savoir si l'adresse 127.0.0.1 est bien l'adresse de notre PC. Je pensais que son adresse était plutôt du genre 192.168.x.x enfin dans mon cas c'est le cas, ou bien l'adresse de la carte réseau est différente de celle du PC. Bref si vous pouviez m'éclaircir sur ce point.

Sinon est ce qu'il y a d'autres protocoles à autoriser ou pas depuis 2004 on sait jamais :P:rolleyes: surtout pour le rréseau local, partage de fichiers etc...

Pour l'exe svhost ya t'il d'autre chose à savoir.

Et sinon dans les onglets de kerio autres que celui des règles, moi j'ai rentré les ip de la box et d'un autre ordi, est-ce suffisant?

Merci pour vos réponses chinese .

@+

Modifié par minocia
Lien vers message
Partager sur d'autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant