Bjr,
Comment fait on pour interdire l'accés a certain ports ?
Rien compris aux règles!
Merci

Pour les règles:
- autoriser l'accès entrant ou/et sortant pour les applications que tu choisis, en restreignant juste aux ports nécessaire (mais ça, c'est même pas toujours indispensable).
- bloquer tous le reste (deny unkown).

Rien compris ,je nage !!!

http://websec.arcady.fr/kerioPF.htm

je vais voir,merci

pas de resultat avec le lien?

Lien mort, je confirme.
T'as téléchargé le mode d'emploi en français?

http://securis.info/securis/ker/

c'est fait merci mais pas si facile que çà!
faut-il accepter les :
svchost.exe
system
persfw.exe
et autres inconnus pour moi ?
Merci pour vos rens!

ou Host processor ?

persfw.exe c'est ton firewall
 
svhost.exe c'est le processus de service de ton PC, tu peux en avoir besoin our le réseau local et ta connection, donc bloque le et si tu as un problème pour te connecter ben autorise le
 
sytem, ben j'ai jamais compris mais je l'ai bloqué, c'est un truc que je n'avais pas sur les autres firewalls

tu leur bloques l'accès au net dans les deux sens. Et tu peux faire une règle valable pour ton réseau local: tout laisser passer.
 
De manière générale, tu peux bloquer tout paquet entrant. Les exceptions seront pour la réception de fichiers par ICQ/MSN (et autres services de messagerie instantanée), les logiciels serveurs que tu utiliserais et dont tu veux qu'on puisse accéder depuis le net, et enfin éventuellement le ping (ICMP echo request/reply).

Hello
Sur conseil d'un ami j'ai essayé Kerio... mais l'experience ne s'est pas bien passée...
Apres le reboot de la machine, et lancement de la connection, j'ai eu bien evidement les demande d'acces au net des differentes applications (kazaa, dmsn, icq) mais mm en leur permettant cet acces (permit + create rules  and not ask again), aucune des application n'arrivaient a se connecter.
Pire: mm IE ne m'affichait aucune page internet
J'ai du desinstaller kerio ET rebooter pour que tt redevienne normal...
Est ce que qq1 a une idee de ce qui a pu produire ca? Ou est ce encore ma machine qui fait des fantaisies?
Merci
Dreamer

Aucun problème de ce genre moi je souhaite simplement bloquer les ports 135 139 445 593 par ou rentre le dernier virus blast

 
- Avais-tu un autre firewall installé auparavant?
- Aurais-tu laissé (par mégarde) sur "stop all traffic"?

Euh PC cillin a un firewall integré... je l'avais "activé " mais je ne l'avais allumé qu'une fois ya lgtps => il etait disabled ds les propriétés de pc cillin.... tu penses que mm comme ca ca pourrait faire un conflit?
 
Et euh nonon c'etait marqué "stop all traffic" ds le menu contextuel de l'icone ds le systray => c'est que j'avais pas appuyé dessus sinon ca aurait été marqué "enable all traffic"
Dreamer

 
créé une nouvelle règle:
 
protocol: TCP and UDP
direction: both directions
local endpoint: list of ports: 135, 139, 445, 593
address type: any address
port type: any type
rule valid: always
action: deny
 
Mais perso, je trouve plus simple de ne créer des règles que pour ce que l'on permet (à quelques exceptions quand même) et ensuite mettre en position "deny unknown".
 
Sinon, pour ce virus, rien ne vaut le patch de vaccination si tu ne l'as pas encore choppé.

 
Pas de certitude de ma part.  
Mais il y a des problèmes en installant Kerio sur un PC où ZoneAlarm a été mal désinstallé. C'est à ça que je pensais en fait.

Hum en fait j'avais dé loadé le firewall de PC cillin la tantot et ton post m'a motivé a faire un 2e essai avec kerio et la ca fonctione
Ca devait etre un conflit alors
Merci
 
Mais d'entree de jeu j'ai ceci:
 
Someone on address c-134-76-238.b.dial.de.ignite.net [62.134.76.238] wants to send ICMP packet to your machine
 
J'ai fais deny sans savoir...j'ai bien fait?
Et dois je generaliser (cocher la case pour plus qu'il ne demande) le blocage ?
 
Et comment savoir si une demande d'accès est legitime si je ne connais pas le nom ou l'ip etc ? Comment savoir si c'est bon ou pas?
Y a t il dest rucs en background qui sont necessaires a la bonne marche du net qu'on ne voit pas d'habitude mais que Kerio voit et pop up en demandant s'il doit laisser passer?
Merci
Dreamer

Dans Kerio, les règles sont appliquées du haut vers le bas.
 
dans ma config, la première règle autorise toute communication sur réseau local uniquement (faut jouer sur le range d'IP), et la dernière règle interdit tout (en loggant ce qui se passe, histoire de voir qui me veut quoi, c'est le seul intérêt de cette rule).
 
Et entre les deux, j'autorise au cas par cas
 
(ce qui suit peut s'appliquer à n'importe quel firewall)
 
Il est à noter que pour limiter les risques d'infection quelconque, une application comme un browser ne doit être autorisée qu'en sortie!  Genre autoriser IE à faire du TCP outgoing et c'est tout. Figurez vous que IE, comme pas mal d'autres applications internet, a un port UDP ouvert en mode écoute (listening). Voilà une belle opportunité pour une saloperie de venir infecter votre machine si votre firewall se montrait trop généreux (du genre, je donne toute autorisation à cette application).

ah j'oublie de préciser, ICMP c'est pas bien grave de l'interdire. Sauf que tu sais plus faire des trucs aussi simples qu'un ping ou tracer une adresse jusqu'à son origine.

 
Oui, je crois que tu as bien fait. En tout cas j'aurais fait pareil. Ce genre d'alerte émane de quelqu'un essayant de rentrer en contact avec ta machine. Généralise en attendant d'avoir mis en place toutes les règles permettant à des applications de se logger (en utilisant le mode apprentissage "ask me first" ). Une fois que tu auras mis en place ces règles là, tu pourras passer en "deny unknown" et là les règles interdisant l'accès à certaines adresses seront d'office prises en compte (puisqu'elles ne font pas parties de règles permettant un accés) et tu pourras alors les enlever si tu veux.
 

 
Si tu as un pop up de Kerio alors que tu n'as lancé aucune application necessitant un accès (ouverture d'un programme se connectant au net), il est plus prudent de bloquer. Mais si tu vois après coup qu'en bloquant, il y a des actions que tu ne peux plus exécuter, tu peux revenir en arrière. Oui, il y a du tatonnement.

MErci merci monsieur
Dreamer

 
Concernant ICMP, j'ai gardé les règle d'origine de Kerio et rajouté une règle permettant l'accès entrant uniquement aux adresses des autres ordinateurs du réseau local, juste histoire qu'ils puissent pinguer vers moi.
 
Bon résultats aux tests avec ça.

pour que les autres puissent te pinger, il faut au minimum autoriser l'echo request entrant, et l'echo reply sortant. Si tu veux pinger les autres aussi, faut autoriser ces deux echo dans les deux sens.

Voici les regles de base à mettre pour configurer Kerio
 
présentation générale des règles
 
Règles 1 et 2 Concernent le blocage NetBIOS. Entrer comme indiqué, même si vous avez désolidarisé NetBIOS du protocole TCP/IP, elles vous permettront de savoir s'il y a une tentative d'intrusion.(Présuppose que vous n'utilisez pas LEGITIMEMENT NetBIOS sur votre système)
 
Règles 3 et 4 permettent aux applications de se connecter à vos serveurs DNS. Il vous faut créer autant de règles que votre FAI utilise de serveur DNS.
 
Règles 5 à 9 concernent les règles ICMP
 
Règle 10 bloque et logge toutes les requêtes externes vers des ports classiques : FTP, HTTP, POP3, SMTP, Telnet, NetBios, etc.
 
Règles 11 à 14 règles supplémentaires facultatives ( Par défaut de AtGuard). Couvert par d'autres règles mais peut être utile en cas d'attaque pour loger précisément l'agresseur.
Peuvent être désactivées et activées en cas de besoin.
 
Règles 15 et 16 Blocage des ports troyens classiques, (bas et haut). Pas indispensables, comme 11 à 14.
 
Règles 17 à 20 Règles spécifiques aux applications. Vous aurez généralement une ou deux règles à éditer par application devant avoir accès à Internet.
 
Règle 21 Bloque et loge toutes les requêtes UDP/TCP indésirables depuis votre PC (troyen, ver, etc...),ATTENTION : cette règle bloque l'option apprentissage ! (requête en sortie inconnue).
 
Règle 22 Règle "tout bloquer". Ne pas l'activer avant d'avoir créé toutes les règles pour vos applications ! Laissez "assistant" (Demander quand une règle n'est pas trouvée), surtout si vous installez souvent de nouvelles applications devant avoir accès au W3.
 
RESPECTEZ L'ORDRE DES REGLES ! (KPF interprète les règles du haut vers le bas)
 
les règles proprement dites
 
Règle 1:
 
Description: Block Inbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 2:
 
Description: Block Outbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 3:
 
Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: (Your ISP DNS) IP number
Port type: Single
Port number: 53
Action PERMIT
 
= = = = = = = = = = = = = = = =
Règle 4:
 
Description: Other DNS
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action DENY
 
** Sur certaines configurations, cette règle peut empêcher tout accès au Web, désactiver si c'est le cas.
= = = = = = = = = = = = = = = =
Règle 5:
 
Description: Out Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo
Remote Endpoint: Any
Action PERMIT
 
= = = = = = = = = = = = = = = =
Règle 6:
 
Description: In Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action PERMIT
 
= = = = = = = = = = = = = = = =
Règle 7:
 
Description: In Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo
Remote Endpoint: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 8:
 
Description: Out Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 9:
 
Description: Block ICMP (Logged)
Protocol: ICMP
Direction: Both
ICMP Type: Echo Reply, Destination Unreachable, Source
Quench, Redirect,
Echo, Time Exceeded, Parameter Prob, Time Stamp, Time
StampReply, Info
Request, Info Reply, Address, Adress Reply, Router
Advertisement, Router
Solicitation (ALL)
Remote Endpoint: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 10:
 
Description: Block Common Ports (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports:
113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 11:
 
Description: Back Orifice Block (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 54320,54321,31337
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 12:
 
Description: Netbus Block (Logged)
Protocol: TCP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 12456,12345,12346,20034
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 13:
 
Description: Bootpc (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 68
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 14:
 
Description: RPCSS (Logged)
Protocol: UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 135
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 15:
 
Description: Block Low Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 1
Last port number: 79
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 16:
 
Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY
** Facultatif, cette règle peut vous empêcher l'utilisation e certains proxies ou
la navigation sur des serveurs FTP tournant sur des ports "exotiques"
= = = = = = = = = = = = = = = =
Règle 17:
 
Description: Internet Explorer-Web browsing
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => iexplore.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 80,8080,3128,443,20,21
Action PERMIT
** Vous pouvez remplacer la liste de port par ANY si nécessaire (utilisation de IE pour des serveurs FPT sur port "exotique" )
= = = = = = = = = = = = = = = =
Règle 18:
 
Description: Outlook Express
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => msimn.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 25,110,119,143
Action PERMIT
** Une règle complémentaire (voir "divers" ) peut être rajoutée juste en dessous.
= = = = = = = = = = = = = = = =
Règle 19:
 
Description: ICQ Web Access Block
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 80
Action DENY
** Si vous ne pouvez vous passer de ce truc seulement
= = = = = = = = = = = = = = = =
Règle 20:
 
Description: ICQ Application
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 5190
Action PERMIT
** Si vous ne pouvez vous passer de ce truc seulement
= = = = = = = = = = = = = = = =
Règle 21:
 
Description: Block Outbound Unauthorized Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY
 
= = = = = = = = = = = = = = = =
Règle 22:
 
Description: Block Inbound Unknown Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY
 
Si vous êtes sur un LAN, il peut être nécessaire d'autoriser le NetBIOS pour les PC de votre réseau local, les ajouter avant les règles 1 et 2 :
 
Règle 2a:
 
Description: Trusted Inbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Any
Action PERMIT
 
= = = = = = = = = = = = = = = =
Règle 3b:
 
Description: Trusted Outbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Port/Range
First Port: 137
Last Port: 139
Action PERMIT
 
divers
 
A.Règles complémentaires :
 
= = = = = = = = = = = = = = =
Description: Loopback
Protocole TCP and UDP
Direction : Both
Local Port : Any
Local App : Any
Remote address Type : Single
Host Address : 127.0.0.1
Port Type : Any
Action : PERMIT
** A ajouter sous la règle 9
 
= = = = = = = = = = = = = = =
Descrition : Outlook Express Out
protocole : TCP and UDP
Direction : Outgoing
Local Port : Any
Local App : msimn.exe
Remote Address : Any
Port Type : Any
 
Action : DENY
 
** Ajouter sous la règle 18
Cette règle permet d'éviter que OE ne se connecte automatiquement au W3 suite à l'insertion de script dans des messages
Html ou ne renvoie des informations sur l'ouverture ou non du courrier grâce à un webbug par exemple.
 
= = = = = = = = = = = = = = =
Description : Internet Explorer In
Protocole : TCP and UDP
Direction Ingoing
LocalPort : Any
Local App : iexplore.exe
Remote Address : Any
Port Type : Any
Action : DENY
 
** Ajouter sous la règle 17
Cette règle permet de contrer certaines tentatives d'exécution d'attaque depuis le web
sur votre PC
= = = = = = = = = = = = = = =
 
 
Règles pour le DHCP, si utilisé :
 
A ajouter au-dessus de la règle 15
 
= = = = = = = = = = = = :
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: DHCP Server IP
Rule Valid: Always
Action: Permit
Logging: None
 
= = = = = = = = = = = = :
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None
 
 
Ports qu'Edonkey utilise:
 
Edonkey peut fonctionner avec n'importe quel port. Par défaut il utilise :
TCP port 4661 pour la connexion au serveur.
TCP port 4662 pour la connexion avec les autres utilisateurs.
UDP port 4665 pour communiquer avec les serveurs autres que celui auquel vous êtes connecté.
 
 
Ensuite il faut autoriser les applications ki doivent avoir accès à internet.

 
C'est inclus dans les paramètres d'origine de kerio à l'installation à part l'echo request rentrant qu'il faut rajouter(avec restriction aux adresses "de confiance" ), comme je l'ai dit.

MERCI pour toutes ces infos !

+ 1   et ça revient exactement au même que de créer toutes ces règles de Deny (genre MSBlast, High and Low Trojan, BackOrifice etc...) ? Si oui c'est clair que cette méthode est beaucoup plus simple. Perso je laisse toujours en Deny Unknown sauf quand j'installe une nouvelle application qui aura besoin de se connecter, juste le temps qu'il crée la (les) règles pour moi  

salut super je vais peut installer celui la comme fw puisque j'ai telecharger looknstop pour essayer mais j'ai du mal a le configurer.
personne n'aurais un site d'ailleur equivalent a celui cité juste au dessus mais pour looknstop 2.04
merci

oui, puisque tu bloques TOUT à part ce que tu as déjà autorisé.

C'est la méthode des fainéants.   C'est celle que je préfère.  

je viens d'installer Kerio et il est vraiment excellent. Ca me change de Black Ice Defender et de l'usine a gaz qu'est Zone Alarm...

 
C'est tout simple,
il ne manquait l'autorisation d'accès aux DNS de ton FAI (ISP).
C'est la règle 4 généralement :
4) ISP Domain Name Server Any App UDP
 
si t'as importé depuis :
http://websec.arcady.fr/kerioPF.htm

slt à tous, bon moi g un autre problème: uniquement qd kerio est lancé, mes pages web mettent un temps fou à s'afficher.
 
Je l'ai configuré sur la base "deny unknow" avec uniquement des regles de permissions derriere, donc en gros j'ai :  
- mes 2 serveurs dns declarés suivant le modele de moscade.
- IE en TCP/UDP sur le port 80.
- Kerio en UDP sur le port 80.
en attendant d'elargir.
 
voila je voulais savoir ce que vous en pensiez, merci d'avance
 

Comme copié dessus:  

 
merci du rappel, mais ca ne donne rien de mieux au niveau rapidité,
 
par contre en ajoutant une adresse de serveur dns (qui s'affichait regulierement lors de bulletins d'alerte de kerio, et qui ne figurait pas dans mes parametres de connexion ), toutes les pages s'affichent maintenant correctement, ca avance dans le bon sens mais c toujours long....
 
par contre j'ai 2 apllications qui essayent de se connecter à chaque ouverture de connexions:
 
tcpip kernel driver qui tente de se connceter à ICMP all routers.mcast.net
 
et rrnapp.exe qui tente plusieurs adresses a chaque fois sur le port 137.
 
   
 

interdis les, ils ne sont d'aucune utilité.

 
Tant mieux. Il vaut mieux prendre le temps.
Pour tcpip kernel driver et rrnapp.exe, drasche a raison, interdit leur tout accés.

MERCI pour tout les posts !!!

 
ok de toute facon a chaque alerte de leur parts, je les jarretaient, mais je croyais que c'étaient eux la cause de la lenteur du sysytme.
 
Aprés de nouveau tatonnements, j'ai remarqué que mon explorateur essayait de se connecter en localhost , via le protocole UDP, sur des ports à chaque fois differents (sue ma machine donc)se situant dans une fourchette allant de 1700 à 1900  
 
En créant une règle validant cette connexion, surprise, plus de lenteur, ca marche à plein regime  
 
Ce que je ne comprends pas, c pourquoi toutes ces tentatives de connexions en localhost a chaque changement de page?
 
et pourquoi passent elles par le firewall? est ce normal ? (si oui il va falloir je je fasse une règle pour easyphp)