bheller.com

Dou, sors de ta tannière, j'ai besoin de toi ! Ben voilà, j'ai acheté un routeur (D-Link DIR-120) pour la 1re fois de ma vie (ça fait quelque chose). Il comporte un firewall qui est paramétrable via son interface. J'ai par ailleurs installé sur mon PC un autre firewall (G-Data), et il semble bien que quand mon firewall logiciel est actif, je déconnecte anormalement souvent d'internet.
Pourait-ce être un confilt entre les deux firewall ?
Est-ce que je peux débrancher le firewall logiciel sans risque ?
Y a-t-il un paramétrage particulier du firewall hardware à installer, sachant que j'ai jamais joué avec ça et que je n'y connais à peu près rien ?

Merci de vos lumières !

NB : si quelqu'un d'autre que Dou s'y connaît là-dedans, il est autorisé à participer à la discussion .

Pétard, vaste programme !!!

Perso, j'ai des configs identiques à la tienne sur plusieurs réseaux (routeur/firewall + firewall logiciel sur chaque bécane).

1)Conflit :
Pas à proprement parler mais plutôt paramétrages incohérents.
ex : le routeur à qui je vais attibuer pour l'exemple l'adresse 192.168.5.1 est paramétré pour gérer et attribuer les adresses ip de chaque machine du réseau ; le firewall logiciel n'a pas été paramétré pour autoriser l'ordi à communiquer avec l'adresse du routeur ; tu vas te retrouver avec une adresse "local host" ou une adresse réseau par défaut attribuée forfaitairement par Windoze qui ne fonctionnera pas. Il faut dans ce cas paramétrer le firewall logiciel pour autoriser les communications netbios sur une plage 192.168.5.* par exemple. Ca permettra aux ordis de causer au routeur et entre eux ; ils s'appelleront 192.168.5.2 puis 192.168.5.3 etc ...

Il y a des paquets d'autres sources d'ennuis ; ce n'est qu'un exemple.


2)Débrancher le firewall logiciel :
Aucun pb si le firewall matériel est convenablement paramétré.
En tous cas, si tu fais des essais comme ça, va sur des sites "paisibles" pendant les tests.


3)Paramétrages particuliers:
La base du dispositif est de filtrer les intrus potentiels en limitant le nombre d'adresses ip utilisables par le routeur et d'utiliser le filtrage par adresses MAC ; tout composant réseau en a une et elle est unique. Une adresse ip sera réservée à chaque adresse MAC connue.
Si ton utilisation d'internet est aussi basique que la mienne, tu peux aussi carrément verrouiller tous les ports depuis 500 jusqu'à 65535. Certains ports sont utilisés par les logiciels "voyoux" ; en pratique, seule un douzaine sont indispensables pour surfer normalement et bénéficier de https également pour des paiements ou consultation de données perso (banque par exemple).

Voir : http://www.frameip.com/liste-des-ports-tcp-udp/


Théoriquement en tous cas ... Les linuxiens malins savent faire des fake de ces adresses pour leurrer un routeur.


4)Déconnexions fréquentes
Ton firewall fait certainement un journal et tu devrais y trouver la cause des blocages. Va voir dans la liste des mots clés de filtrage (sites, pub, images etc ...)


Il existe un assez vieux logiciel firewall gratuit, efficace et assez simple que j'utilise encore sur toutes mes machines : outpost. P-ê dépassé maintenant mais j'utilise le firewall logiciel seulement pour filtrer les applications sortantes. Je peux te dire que dès que j'installe quoique ce soit sur une machine, un nouveau programme n'a même pas le temps de se connecter chez maman pour me dénoncer ; il est aussi sec bloqué définitivement.

Maintenant, je ne peux pas te faire un topo complet mais si tu as des questions plus précises, envoie !

J'oubliais un détail : l'installation d'un soft qui détecte tout trafic réseau entrant ou sortant est le plus simple des firewall ; il est évident que si tu vois les petites barres rouges apparaître dans la barre d'outils alors que tu n'a cliqué sur rien, c'est qu'il se passe qq chose à l'insue de ton plein gré.
Tu peux chercher "netpersec" ; plus simple tu meurs.

OK, merci grand sage, je vais me mettre au boulot pour tenter un reparamétrage de tout le bazar, et voir ce que ça raconte. Y a du travail !

Si je suis absent plus d'une semaine, c'est que tout a foiré. Merci d'envoyer les secours.

Alors, j'ai fait quelques essais, mais ça foire toujours... En fait, c'est pas vraiment une déconnexion, mais à chaque fois que je reste tranquille plus d'une minute, quand je rentre une nouvelle adresse internet, il "recherche l'hôte" et ne le trouve pas. Je réessaye et il le trouve en général du 2e coup. C'est juste pénible de devoir toujours attendre et cliquer 2 fois pour chaque adresse. Et puis après retestage, il semblerait que même avec mon firewall logiciel débranché, ça ne change rien : c'est juste que je finissais par le débrancher quand j'avais demandé les connexions et que quand je revenais d'avoir coupé le firewall, tout fonctionnait ! Fausse piste de ce côté donc...

Sinon, quelques question en vrac :
- mon routeur s'est autoproclamé 192.168.0.1, ça a un intérêt quelconque de changer ça ?
- Quelques options du routeur...
- activer DHCP -> j'ai coché
- activer le "SPI" -> j'ai coché
- activer la "prévention DoS" -> j'ai coché
- autoriser les Ping Wan -> j'ai pas coché
- UPnP (universal plug and play) -> j'ai coché
- filtrage MAC et autoriser les ordis de la liste à accéder au réseau ->
j'ai coché en entré les 2 adresses MAC de mes 2 ordis
- hôte DMZ -> j'ai pas coché
Y a quelque chose qui merde là-dedans ?

pwaloku a écrit :- mon routeur s'est autoproclamé 192.168.0.1, ça a un intérêt quelconque de changer ça ?

Non. C'est une adresse qui correspond bien à un réseau privé (débutant par 192.168).

pwaloku a écrit : - activer DHCP -> j'ai coché

C'est une option que je n'ai pas sur mes routeurs ; elle est cochée dans windows.

pwaloku a écrit : - activer le "SPI" -> j'ai coché

Connais pas.

pwaloku a écrit : - activer la "prévention DoS" -> j'ai coché

Ok ; denial of service.

pwaloku a écrit : - autoriser les Ping Wan -> j'ai pas coché

Ok ; ton ordi ne répond pas aux pings venant de l'extérieur.

pwaloku a écrit : - UPnP (universal plug and play) -> j'ai coché

Connais pas.

pwaloku a écrit : - filtrage MAC et autoriser les ordis de la liste à accéder au réseau ->

Ok.

pwaloku a écrit : j'ai coché en entré les 2 adresses MAC de mes 2 ordis

Ok

pwaloku a écrit : - hôte DMZ -> j'ai pas coché

Ok

Va en ligne de commande et tape "ipconfig" ; il y a des options pour plus de détails mais je n'ai pas les commutateurs ad hoc en tête.
-Vérifie que tu as une adresse ip 192.168.0.*
-La passerelle par défaut 192.168.0.1
-Le masque de sous réseau 255.255.255.0
-envoie un ping à ton routeur pour voir.

Tu dois pouvoir retrouver la même chose dans le routeur.

Je ne comprends pas ce qui t'arrive et cette histoire de cliquer 2 fois pour que ça connecte ; jamais eu tel comportement.

Je suggère que tu continues tes essais avec le firewall logiciel débranché.

Ben moi ça me bourre drôlement en tout cas.
J'ai un peu farfouillé dans les paramètres de la livebox, et je me suis rendu compte qu'elle fait firewall aussi -> j'ai été voir les réglages avancés, mais rien qui me soit apparu louche de ce côté-là.
Je ne suis pas à proprement parler coupé du net, mais c'est tout de même un rien agaçant de tout demander en double à son ordinateur...

Merci pour ton aide, je suis en train d'écumer les forums en parallèle, ça aura au moins servi à me dégrossir dans le paramétrage des routeurs, je devrais bientôt pouvoir commencer à donner des cours.

A bientôt pour de nouvelles aventures.

OK, fin de la récréation... j'ai trouvé le paramètre qui faisait tout foirer. L'était un peu planqué dans un coin, tout discret, je n'y avais pas fait attention : il s'agissait d'un truc appelé "relai DNS". La désactivation de l'option a immédiatement corrigé le tir. Saloperie d'option à la con va.
Enfin, merci tout de même pour le temps passé à essayer de me dépêtrer de cette situation.

Assez curieux comme pb ...
Normalement, ton fournisseur te donne les adresses de ces serveurs de noms de domaines qui cherchent l'adresse réelle ***.***.***.*** à partir du nom en lettres.
C'est un paramètre très simple (usuellement) et clair à configurer dans un routeur ; il suffit de mettre les adresses DNS dans la case et ça roule.

En tous cas, je n'aurais jamais été chercher l'erreur là dedans.

Moi non plus, mais à force de tester toutes les options une par une, j'ai enfin trouvé celle qui bloquait le truc. Par ailleurs, je déplore cette nouvelle manie des vendeurs de matos/logiciels de te vendre leur produit avec même pas de livret d'instructions : avec mon routeur, il y avait un résumé de mise en route famélique et le reste sur un CD, t'as plus qu'à imprimer ! J'ai eu la même blague avec un soft de retouche photo que j'ai acheté (si si) -> le manuel est aussi sur le CD, et la belle boîte que tu achètes est essentiellement remplie d'air...
Enfin, avec la méthode du Père Ducon (tu testes toutes les options une par une), on finit par arriver à ses fins.

Merci tout de même pour l'aide.

mais de rien

Si tu as encore besoin d'aide,tu peux ne pas compter sur moi

Je m'en souviendrai.

Mais je n'en doute pas mon bon empereur,je n'en doute pas !