Salut à tous ,
 
J'ai une putain de galère pour paramètrer les ports en entrée et en sortie sur mon routeur NAT de windows 2000server.
En effet lorque je veux filtrer des ports (21;80;53), j'ai des soucis .
en entrée je rejette tous les paquets sauf ceux qui se trouvent dans la règle :
 
 
       @ sour      port sour    @ip dest          port dest      
 
ftp(tcp) n'importe     n'importe   192.168.0.1        21
ftp(tcp)  pareil......................................20
http(tcp  n'importe    80          192.168.0.2        n'importe
DNS (tcp) n'importe    53           ......0.1          n'importe
DNS (udp)  ................... pareil......................
 
inversement pour les filtres de sorties.
 
Je précise le serveur ftp est en 192.168.0.1, le web en en client sur le 192.168.0.2,
 
j'ai mis la régle DNs car j'ai un DNS dynamique (dns2togo) , et je sais pas si celà sert de mettre cette regle.
 
Quoi qu'il arrive, si j'applique cette règle en excluant toutes les autres , celà marche pas:
le DNS ne se lance pas , pas de page web ....
par contre , si j'autorise tous les autres filtres sauf ceux là , alors celà fonctionne, comme ci ces règles ne servaient à rien ?
 
Si je met pas de filtres , c'est l'auberge espagnole , et si je met les filtres c'est la Corée du Nord !!!
Je sais pas quoi faire?
 

Si là tu mettais les filtres en entrée, ne serait-ce pas plutôt :  
(http) n'importe 192.168.0.1:80
 
Parce que avec n'importe:80 192.168.0.1:XX tu filtre les réponses à des requetes vers l'exterieur et non des requetes vers ton serveur. Donc en gros tu filtre du vent, tu autorise des serveurs http à te répondre ?
 
Et pour le DNS, je sais pas trop comment marche dnstogo mais ce serait pas un problème d'inversion comme au dessus ?
 
Edit : plus clair  

Alors ?

Excuses moi merou , j'ai bien testé la règle que tu m'as indiqué dans ton post , en interversant les requêtes et les réponses sur les filtres d'entrée , mais c'est pareil , quand je précise au routeur de laisser passer que cette règle , celà ne fonctionne pas (pas de page web), alors que si je laisse passer tous les paquets sauf celui là , là je peux ouvrir des pages web .
 
Je n'ai testé qu'avec le port 80 , mais c'est la même galère avec le ftp.
 
D'ailleur , j'ai pas trop compris pourquoi je devais mettre le port 80 sur mon reseau privé , alors que c'est un client web qui vient interroger un serveur web (lui en port 80) ; mais tu pourras surement m'expliquer.
En tout cas , saches que ta règle ne passe pas.
J'ai peut être zapper quelque chose au passage.
Car là j'essaie juste  deparamétrer le filtrage sur mon acces distant at pas sur mon reseau privé .
 
Dans mon routage ip j'ai bien 4 interfaces:
-acces distant: connexion wan (adsl)
-interne (passerelle)
-reseau privé (mon lan)
-bouclage interne
 
le filtrage ne concerne que mon acces distant.
 
merci quand même merou !

Oula laisse tomber deja le 192.168.0.1 ca sert à rien !
Coz y'a personne qui se connecte sur ton 192.168.0.1 en http ou otre chose... ton ftp on l'attaque sur ton ip dynamique non ?
Si tu fais un dump de ta config tu devrait plutot avoir ceci :
Je suis dans le cas ou "j'accepte tout sof" , l'approche est differente mais le principe reste le meme
 
add filter name="Wanadoo ADSL" filtertype=INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0     dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=135
 
On voit bien que c'est un filtre d'entree sur une interface ben mamadoo koi et y'a pas de notion de 192.168.0.1 et que le port que je rejette c 135 !
pour ton dns2go , ca sert a rien le 53 , il me semmble que dns2go communique avec les serveurs de dns2go sur un port ki m'echappe ; ben ja oublie koi   .
Commence deja par bien regle tes regles de filtrages d'entree ,
pour les regles de sorties c un peu plus complique je pense , j'en ai pas fait donc à toi de voir.
@+

euh non pour les regles de sorties ca doit etre tout con aussi !
c'est que je viens d'y reflechir et ca m'arrive pas souvent !

ok nono, je vas tester ça!
MAis le soucys c'est que quand j'active un filtre d'entrée , c'est ce putain de dns qui ne se connecte plus (apparement port dynamique ,fuck!), donc je suis  chocolat pour mon ftp !
 
Mais je vais quand même tester ton filtre d'entrée !
 
je te tiens au courant si j'ai du new en bon  
 merci de ta réponse

Bon j'ai bossé pour toi alors voilà   :
Déjà pour dns2go sache qu'il communique avec les serveurs de dns2go sur le port TCP 1227.
Pour les DNS il fo absolument autoriser les ports TCP et UDP 53 sinon pas de résolution    
Pour en revenir à ton cas comme tu veux essentiellement tout bloqué sof les trucs que tu auras défini c super simple le mieux c de te concentrer sur les filtres d'entrées sachant que dans les filtres de sorties tu laisse tout passer et c forcement les filtres d'entrees qui prendront le pas .
Bien sur tu pourra à loisir configurer les filtres de sorties plus tard si t'aime bien te prendre la tete   genre surtout si tu choisit de "bloquer tout sof" ; là il fodra reconfigurer les meme options que le filtre d'entree , bref je vois pas trop l'interet mais y'a surement des cas precis zarbe à la con   .
Bon je coze je coze mais t'en sait pas plus    
Super simple et faineant de ma part , hop un copié collé , j'ai deliberement couper le debut de la ligne mais c la meme chose que dans le post precedent :
 
"rejeté tous les paquets sof:"
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=21
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=20
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=0 dstport=25
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=UDP srcport=53 dstport=0
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=443 dstport=0
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=1227 dstport=0
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=119 dstport=0
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=53 dstport=0
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=80 dstport=0
INPUT srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=0.0.0.0 dstmask=0.0.0.0 proto=TCP srcport=110 dstport=0
 
Bon voilà c simple avec ca :
Interrogation des DNS ok  
Surf Ok
Surf ssl aussi    
Newsgroups ok
Pop mail ok
dns2go ok
ftp command et data entrant ok
(d'ailleurs tu me file ton adresse dns2go ?!    )
Ah merde j'ai oublie le smtp sortant !    
Smtp entrant ok !
Jeux on-line ben c Mort là !
 
Voilà t'a plus qu'a te faire ta propre config    
 
Et moi fo que je defasse ma config maintenant pour jouer , ben g la flemme de chercher les ports du jeu    
@+

Tiens j'ai oublie le 1863 du messenger  
je me disais aussi que y'avait un truc bizarre !  

Alors là nono t'es un "DIEU" , si si j'insiste sans flagonnerie aucune .
 
Franchement t'as raison ,ça sert à rien que je me fasse chier avec le routage des @Ip de mon reseau local .Il suffit juste que je me fixe comme tu me la parfaitement décrit les port à laisser ouvert pour que celà merde pas !
 
Par contre , permet moi une remarque,  y aura pas  de souci si le port 139 reste fermé ; pas de galère si l'interface d'entrée n'est pas à l'ecoute du netbios?
 
Sinon je vais tester tes regles , en te remerciant encore pour t être pencher sur mon pb et y avoir apporter des réponses,  
 
tank you beret basque!
   

Yo!
Ben pas de probleme hein ta question sur les filtres était interresante coz j'avais jamais envisagé de bloquer tous les ports et d'autoriser certains , mois je suis dans le cas contraire ; donc recherche tout benef pour moi aussi !    
Sinon pour le port 139 qui ne sert qu'aux réseaux windows , cela ne posera pas de probleme :
 
D'1 part il est normalement fermé par défo sur une connection au net avec la clique 2000 Me , il me semble que NT4 et 98 laissaient ce port ouvert , à Revérifier...
 
D'Otre part avec ta méthode de "dropage" des ports , en fait ton port 139 ainsi que d'otre sont en mode stealth (arf keki me veut celui-là , bah je repond pas   )
 
En revanche ca va gene si tu est de ceux qui veulent bien que tes potes se connectent à ta machine en reseaux windows par le biais du net genre \\tonip\undetessharesreseau .
 
Voilà , à toi de voir