'lut
 
comme je suis en train de modifier mon installation/configuration lan pour l'accès internet, j'aimerai avoir votre avis sur les logs suivant du firewall de winroute (trouvé ce matin au réveil ):
 

le m genre de trucs bizarres, 29 minutes apres:

 
ce que je ne comprends pas, ce sont ces acces en udp sur le port 137, suite à un accès sur le port 25 autorisé
 
détails sur ma config ainsi que sa migration:
avant :  
- pc serveur (ftp, http, et mail) avec modem adsl pci olitec + winroute (firewall, routage nat, partage de connexion, port forwarding)
- pc principal relié par un switch au pc serveur
 
maintenant:
- un modem bewan ethernet st
- un routeur netgear wgt624
- le pc serveur (tjs ftp, http et mail, modem internet désactivé), winroute basculé sur l'interface réseau relié à la partie switch du routeur
- pc principal relié à la partie switch du routeur
 
le routeur possède un double firewall intégré (nat + spi) qui est complètement transparent (on ne peut faire que très peu de réglage, et on n'a aucun log sur ce qui passe ou est bloqué en entré)
c'est donc pour vérifier que j'ai laissé tourné winroute en rajoutant 2-3 règles histoire de pouvoir accéder librement au poste serveur
 
comme j'ai un serveur de mail (argosoft mail server) le port 25 est bien entendu mappé (aussi bien au niveau du routeur netgear que de winroute) et ouvert au niveau du firewall (winroute uniquement car sur le routeur netgear les regles de firewall sont transparentes *faichié*)
c'est la règle acl numéro 2 (permit)
 
les ports 137 et 139 sont autorisés uniquement pour mon sous-réseau (172.16.79.0) pour permettre l'accès au partage (toujours uniquement sur winroute car on peut rien paramétrer sur le netgear *grrrr*) sinon les acces avec port <1025 sont rejetés
c'est la règle acl numéro 10 (drop)
 
je ne comprends vraiment pas pkoi le netgear a autorisé des requetes extérieures en udp sur le port 137 suite à ces acces sur le port 25
qu'il laisse passer le port 25, c normal, je l'ai mappé
mais le 137!!! je n'ai rien de tel de paramétrer sur le netgear
 
heureusement que winroute était la...
 
nb: dans les logs de mon serveur de mail, ces 2 acces smtp se sont soldés par des échecs (un premier avorté avant quoi que ce soit, un 2nd rejeté car l'utilisateur n'a pas de compte sur mon serveur de mail)
 
merci d'avance de vos idées et/ou explications quant a ce phénomène (je suis à 2 doigts de regrette l'achat de ce routeur...)
 
ps: désolé pour la longueur du post, mais je ne voulais oublier aucun détail...

up

Bah écoute... chui ptet aveugle (ou alors je comprends rien), mais ya quand même écrit :
- pour le port 25 : "permit packet" ==> accepte
- pour le port 137 :"drop packet" ==> rejette
 
Donc je vois pas trop où est ton prob...

ouais mais d'ou vienne ces acces en 137 sur chaque connection sur le 25 ?? je suis interressé car j'ai eu le meme proleme ya deux ans.

Bah en fait je crois que par défaut, une machine windows essaye de déterminer le nom netbios de chaque machine à laquelle elle se connecte, et pour connaitre ce nom, elle envoie une requête sur le port 137...

 
mmhh, j'ai du mal m'exprimer... j'ai deux firewalls sur mon réseau pour le moment
le 1er sur le routeur netgear qui est le point d'arrivée de ma connect adsl
le 2è (censé être temporaire jusqu'à preuve du bon fonctionnement du netgear (là c foiré )) sur mon pc serveur, en tant que fw logiciel avec winroute
 
le log que j'ai mis dans mon post, c celui du fw de winroute
le paquet a été rejeté, ça je te l'accorde, et heureusement
mais, en théorie, avec le fw inclus dans le netgear je ne devrais pas avoir besoin de winroute. et pourtant il semblerait que le netgear soit mis en défaut là
mon but est d'éliminer tout firewall logiciel et de ne conserver que le fw inclus dans mon routeur netgear
voilà pkoi je "tique" sur le log de ce paquet udp sur le port 137 (qu'il ait été rejeté ou non) : mon netgear n'aurait pas du le laisser passer!!!
et pourtant si, c bien ca qui me fait chier
 
lors de ce log, une seule machine était connecté sur mon lan (le pc serveur). de plus, au niveau de l'ip rejeté, ca correspond exactement à l'ip de la machine accédant à mon port 25 à ce moment-là (les paquets udp sur le port 137 sont d'ailleurs "encadrés" par des paquets tcp sur le port 25)
je précise, que par ailleurs, lors de la réception effective d'un vrai mail, je n'ai aucun paquet rejeté sur le port 137 porovenant de la machine m'ayant envoyé le mail
ca sent la tentative de hacking. soit, ça c pas grave
ski est plus chiant, c kelle n'aurait pas du passer.
 
moi qui avait acheté ce routeur pour avoir un bon fw matériel bien stable (quoique winroute sur mon win2000 est exceptionnellement stable depuis 2 ans)...
 
voiloux

Tu lui as explicitement dit de rejeter les paquets adressés au port 137 à ton routeur, ou par défaut il bloque tout sauf ce que tu lui autorises à laisser passer?

sur le netgear, tout est bloqué en entré par défaut
seul le port forwarding permet d'établir une connexion à partir de l'extérieur
 
en fait j'ai pas l'impression d'avoir un vrai fw... juste un simple routeur nat

up

up

Bah si tu es sur que tout est bloqué en entrée et que t'as po explicitement activé le port forwarding sur le port 137, je vois pas ...

 
d'accord, merci de ta recherche
j'en suis exactement à la meme conclusion
 
je crois que je vais téléphoner au support netgear demain, histoire de voir ce qu'ils peuvent m'en dire

Ca me parait être la meilleure solution...
Tiens moi au courant, que je ne meurs pas ignorant

bon
 
après appel de 10 minutes auprès du support téléphonique netgear (5 minutes d'attente, ça va pas trop long), voici les réponses à mes questions :
 
- comment expliquez-vous que mon firewall logiciel (en aval du firewall matériel du netgear) est pû recevoir (et rejeté) des paquets sur le port 137 ?
- rien ne rentre à moins que cela n'est pas été explicitement demandé, donc la demande, au départ a été initialisée de votre ordinateur
 
- je n'ai pas initialisée la demande, comment expliquez-vous cela ?
- un spyware certainement
 
- non, je n'ai pas de spyware, j'en suis sûr et certain, de plus ces 2 accès sur le port 25, sont les seuls à inclure aussi des accès sur le port 137 et les seuls (du moins récemment) à se solder par un comportement inhabituel (cf. log de mon serveur de mail), pouvez-vous m'en dire un peu plus ?
- non monsieur, c'est difficile à dire, nous nous occupons principalement de la configuration et de l'installation de nos produits
 
- ok. si la demande a en effet été initialisée de chez moi, y aurait-il un moyen, en bloquant certains ports ou autres au niveau du netgear, d'être assuré de ne pas voir de requête sur le port 137 passées ?
- non, pas à ma connaissance, monsieur
 
- d'accord, existe-t-il un outil quelconque permettant de tracer de manière moins transparente ce qui passe ou est rejeté par le firewall du netgear ?
- non, ça n'existe pas.
 
- ok. est-ce que vous seriez intéressé de recevoir par mail le compte-rendu de mes observations afin, éventuellement, d'améliorer le support ou bien vos futurs produits ?
- dans l'immédiat, non monsieur.
 
bref, voilà
je n'ai pas de réponse... cela dit, ça ne m'étonne guère. je ne le comprends pas moi-même.
 
ma solution ? trouvez un routeur matériel avec un VRAI firewall configurable, car là, niveau protection, le netgear n'est ni plus ni moins qu'un simple routeur nat
c'est bien, mais plus suffisant à l'heure actuelle
 
ils ont ça chez netgear ?
 
peut-être voir avec argosoft (mon mx), peut-être que cela vient du soft si la demande a été initialisée de mon pc...
 
a+