Routeur + firewall ou pas ?

Ici, tout ce qui concerne le matos, les drivers et autres joies ;)

Modérateur : Modérateurs

Répondre
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Routeur + firewall ou pas ?

Message par pwaloku »

Dou, sors de ta tannière, j'ai besoin de toi ! Ben voilà, j'ai acheté un routeur (D-Link DIR-120) pour la 1re fois de ma vie (ça fait quelque chose). Il comporte un firewall qui est paramétrable via son interface. J'ai par ailleurs installé sur mon PC un autre firewall (G-Data), et il semble bien que quand mon firewall logiciel est actif, je déconnecte anormalement souvent d'internet.
Pourait-ce être un confilt entre les deux firewall ?
Est-ce que je peux débrancher le firewall logiciel sans risque ?
Y a-t-il un paramétrage particulier du firewall hardware à installer, sachant que j'ai jamais joué avec ça et que je n'y connais à peu près rien ?

Merci de vos lumières ! :jap:

NB : si quelqu'un d'autre que Dou s'y connaît là-dedans, il est autorisé à participer à la discussion :D .
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
dou
Empereur
Empereur
Messages : 5005
Inscription : ven. mai 09, 2003 2:10 pm

Message par dou »

Pétard, vaste programme !!!

Perso, j'ai des configs identiques à la tienne sur plusieurs réseaux (routeur/firewall + firewall logiciel sur chaque bécane).

1)Conflit :
Pas à proprement parler mais plutôt paramétrages incohérents.
ex : le routeur à qui je vais attibuer pour l'exemple l'adresse 192.168.5.1 est paramétré pour gérer et attribuer les adresses ip de chaque machine du réseau ; le firewall logiciel n'a pas été paramétré pour autoriser l'ordi à communiquer avec l'adresse du routeur ; tu vas te retrouver avec une adresse "local host" ou une adresse réseau par défaut attribuée forfaitairement par Windoze qui ne fonctionnera pas. Il faut dans ce cas paramétrer le firewall logiciel pour autoriser les communications netbios sur une plage 192.168.5.* par exemple. Ca permettra aux ordis de causer au routeur et entre eux ; ils s'appelleront 192.168.5.2 puis 192.168.5.3 etc ...

Il y a des paquets d'autres sources d'ennuis ; ce n'est qu'un exemple.


2)Débrancher le firewall logiciel :
Aucun pb si le firewall matériel est convenablement paramétré.
En tous cas, si tu fais des essais comme ça, va sur des sites "paisibles" pendant les tests.


3)Paramétrages particuliers:
La base du dispositif est de filtrer les intrus potentiels en limitant le nombre d'adresses ip utilisables par le routeur et d'utiliser le filtrage par adresses MAC ; tout composant réseau en a une et elle est unique. Une adresse ip sera réservée à chaque adresse MAC connue.
Si ton utilisation d'internet est aussi basique que la mienne, tu peux aussi carrément verrouiller tous les ports depuis 500 jusqu'à 65535. Certains ports sont utilisés par les logiciels "voyoux" ; en pratique, seule un douzaine sont indispensables pour surfer normalement et bénéficier de https également pour des paiements ou consultation de données perso (banque par exemple).

Voir : http://www.frameip.com/liste-des-ports-tcp-udp/


Théoriquement en tous cas ... Les linuxiens malins savent faire des fake de ces adresses pour leurrer un routeur.


4)Déconnexions fréquentes
Ton firewall fait certainement un journal et tu devrais y trouver la cause des blocages. Va voir dans la liste des mots clés de filtrage (sites, pub, images etc ...)


Il existe un assez vieux logiciel firewall gratuit, efficace et assez simple que j'utilise encore sur toutes mes machines : outpost. P-ê dépassé maintenant mais j'utilise le firewall logiciel seulement pour filtrer les applications sortantes. Je peux te dire que dès que j'installe quoique ce soit sur une machine, un nouveau programme n'a même pas le temps de se connecter chez maman pour me dénoncer ; il est aussi sec bloqué définitivement.

Maintenant, je ne peux pas te faire un topo complet mais si tu as des questions plus précises, envoie !

J'oubliais un détail : l'installation d'un soft qui détecte tout trafic réseau entrant ou sortant est le plus simple des firewall ; il est évident que si tu vois les petites barres rouges apparaître dans la barre d'outils alors que tu n'a cliqué sur rien, c'est qu'il se passe qq chose à l'insue de ton plein gré.
Tu peux chercher "netpersec" ; plus simple tu meurs.
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

OK, merci grand sage, je vais me mettre au boulot pour tenter un reparamétrage de tout le bazar, et voir ce que ça raconte. Y a du travail !
:jap: :jap:
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

Si je suis absent plus d'une semaine, c'est que tout a foiré. Merci d'envoyer les secours. :D
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

Alors, j'ai fait quelques essais, mais ça foire toujours... En fait, c'est pas vraiment une déconnexion, mais à chaque fois que je reste tranquille plus d'une minute, quand je rentre une nouvelle adresse internet, il "recherche l'hôte" et ne le trouve pas. Je réessaye et il le trouve en général du 2e coup. C'est juste pénible de devoir toujours attendre et cliquer 2 fois pour chaque adresse. Et puis après retestage, il semblerait que même avec mon firewall logiciel débranché, ça ne change rien : c'est juste que je finissais par le débrancher quand j'avais demandé les connexions et que quand je revenais d'avoir coupé le firewall, tout fonctionnait ! Fausse piste de ce côté donc...

Sinon, quelques question en vrac :
- mon routeur s'est autoproclamé 192.168.0.1, ça a un intérêt quelconque de changer ça ?
- Quelques options du routeur...
- activer DHCP -> j'ai coché
- activer le "SPI" -> j'ai coché
- activer la "prévention DoS" -> j'ai coché
- autoriser les Ping Wan -> j'ai pas coché
- UPnP (universal plug and play) -> j'ai coché
- filtrage MAC et autoriser les ordis de la liste à accéder au réseau ->
j'ai coché en entré les 2 adresses MAC de mes 2 ordis
- hôte DMZ -> j'ai pas coché
Y a quelque chose qui merde là-dedans ? :???:

:cry:
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
dou
Empereur
Empereur
Messages : 5005
Inscription : ven. mai 09, 2003 2:10 pm

Message par dou »

pwaloku a écrit :- mon routeur s'est autoproclamé 192.168.0.1, ça a un intérêt quelconque de changer ça ?
Non. C'est une adresse qui correspond bien à un réseau privé (débutant par 192.168).
pwaloku a écrit : - activer DHCP -> j'ai coché
C'est une option que je n'ai pas sur mes routeurs ; elle est cochée dans windows.
pwaloku a écrit : - activer le "SPI" -> j'ai coché
Connais pas.
pwaloku a écrit : - activer la "prévention DoS" -> j'ai coché
Ok ; denial of service.
pwaloku a écrit : - autoriser les Ping Wan -> j'ai pas coché
Ok ; ton ordi ne répond pas aux pings venant de l'extérieur.
pwaloku a écrit : - UPnP (universal plug and play) -> j'ai coché
Connais pas.
pwaloku a écrit : - filtrage MAC et autoriser les ordis de la liste à accéder au réseau ->
Ok.
pwaloku a écrit : j'ai coché en entré les 2 adresses MAC de mes 2 ordis
Ok
pwaloku a écrit : - hôte DMZ -> j'ai pas coché
Ok

Va en ligne de commande et tape "ipconfig" ; il y a des options pour plus de détails mais je n'ai pas les commutateurs ad hoc en tête.
-Vérifie que tu as une adresse ip 192.168.0.*
-La passerelle par défaut 192.168.0.1
-Le masque de sous réseau 255.255.255.0
-envoie un ping à ton routeur pour voir.

Tu dois pouvoir retrouver la même chose dans le routeur.

Je ne comprends pas ce qui t'arrive et cette histoire de cliquer 2 fois pour que ça connecte ; jamais eu tel comportement.

Je suggère que tu continues tes essais avec le firewall logiciel débranché.
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

Ben moi ça me bourre drôlement en tout cas.
J'ai un peu farfouillé dans les paramètres de la livebox, et je me suis rendu compte qu'elle fait firewall aussi -> j'ai été voir les réglages avancés, mais rien qui me soit apparu louche de ce côté-là.
Je ne suis pas à proprement parler coupé du net, mais c'est tout de même un rien agaçant de tout demander en double à son ordinateur... :D :roll: :x

Merci pour ton aide, je suis en train d'écumer les forums en parallèle, ça aura au moins servi à me dégrossir dans le paramétrage des routeurs, je devrais bientôt pouvoir commencer à donner des cours. :pt1cable:

A bientôt pour de nouvelles aventures. :wink:
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

OK, fin de la récréation... j'ai trouvé le paramètre qui faisait tout foirer. L'était un peu planqué dans un coin, tout discret, je n'y avais pas fait attention : il s'agissait d'un truc appelé "relai DNS". La désactivation de l'option a immédiatement corrigé le tir. Saloperie d'option à la con va.
Enfin, merci tout de même pour le temps passé à essayer de me dépêtrer de cette situation. :jap: :jap:
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
dou
Empereur
Empereur
Messages : 5005
Inscription : ven. mai 09, 2003 2:10 pm

Message par dou »

Assez curieux comme pb ...
Normalement, ton fournisseur te donne les adresses de ces serveurs de noms de domaines qui cherchent l'adresse réelle ***.***.***.*** à partir du nom en lettres.
C'est un paramètre très simple (usuellement) et clair à configurer dans un routeur ; il suffit de mettre les adresses DNS dans la case et ça roule.

En tous cas, je n'aurais jamais été chercher l'erreur là dedans.
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

Moi non plus, mais à force de tester toutes les options une par une, j'ai enfin trouvé celle qui bloquait le truc. Par ailleurs, je déplore cette nouvelle manie des vendeurs de matos/logiciels de te vendre leur produit avec même pas de livret d'instructions : avec mon routeur, il y avait un résumé de mise en route famélique et le reste sur un CD, t'as plus qu'à imprimer ! J'ai eu la même blague avec un soft de retouche photo que j'ai acheté (si si) -> le manuel est aussi sur le CD, et la belle boîte que tu achètes est essentiellement remplie d'air... :cry:
Enfin, avec la méthode du Père Ducon (tu testes toutes les options une par une), on finit par arriver à ses fins. :D

Merci tout de même pour l'aide. :jap:
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
Austiniste
Sâge !
Sâge !
Messages : 2461
Inscription : dim. mars 23, 2003 11:03 pm
Localisation : Back in Pas-de-Calais :-D

Message par Austiniste »

mais de rien :dehors2: :lol:

Si tu as encore besoin d'aide,tu peux ne pas compter sur moi ;-) :lol:
Qui peut le plus,peut le moins....l'inverse est plus dur !!! :-) (de moi)...lol
Avatar de l’utilisateur
pwaloku
Empereur
Empereur
Messages : 5261
Inscription : ven. août 02, 2002 7:12 pm
Localisation : Out of Belgium

Message par pwaloku »

Je m'en souviendrai. :D
"L'absence totale d'humour dans la bible est une des choses les plus étranges de la littérature." (A. N. Whitehead).
Avatar de l’utilisateur
Austiniste
Sâge !
Sâge !
Messages : 2461
Inscription : dim. mars 23, 2003 11:03 pm
Localisation : Back in Pas-de-Calais :-D

Message par Austiniste »

Mais je n'en doute pas mon bon empereur,je n'en doute pas ! :lol: :lol:
Qui peut le plus,peut le moins....l'inverse est plus dur !!! :-) (de moi)...lol
Répondre