PDA

Afficher la version complète : Firewall pour XP... bloquer tout sauf 192.168.0.50 ?



MacDo
07/01/2008, 20h46
Bonjour à tous,

J'ai une question un peu particulière, car elle concerne d'abord Windown XP Pro... mais je sais que certains ont un double boot et auront peut-être eu le même problème que moi... Je vous remercie d'avance pour votre compréhension... (personne n'est parfait ;))

Voici la configuration de mon réseau :
<div align="center">[Ordi XP/OpenSUSE en dual boot] <-- cable RJ45 --> [routeur D-LINK DI-624+] <-- ADSL --> Internet</div>

Jusqu'à présent, pour éviter tout virus/trojan et autres, j'ai totalement désactivé la carte réseau sous XP. Par contre, bien sûr, elle est active sous OpenSUSE pour me permettre l'accès à Internet.

Très récemment, j'ai acheté une imprimante. Elle a une interface Ethernet et est branchée directement sur le routeur D-LINK, à l'adresse IP 192.168.0.50. Je n'ai eu aucun souci à l'installer sous OpenSUSE avec CUPS : merci ma susette :)

Mais le problème est que j'aimerais y avoir accès aussi sous windown, en bloquant toute autre communication avec l'extérieur.

D'où ma question : comment pourrais-je configurer XP (ou installer un programme annexe) pour ne permettre les échanges de données QU'AVEC 192.168.0.50 et rien d'autre (aucune communication possible avec le réseau extérieur) ??

Je vous remercie pour votre aide et vos conseils... :)

MacDo

Tuxie
07/01/2008, 21h04
Bon allez, je déplace le sujet ici, même si tu es sous Winchose :lol:

Tu as effectivement la possibilité d'utiliser un firewall avec blocage total des ports (sauf celui de l'imprimante), ou un proxy, éventuellement.

Mais je pense que tu as une autre solution, plus simple : au niveau de ta carte réseau, tu ne configures aucun DNS et, en passerelle, tu indiques l'adresse IP de ton imprimante. Tu devrais ainsi pouvoir utiliser cette dernière sans risquer une intrusion extérieure.

MacDo
07/01/2008, 21h19
Ah ouaiiiiiiis :) Pas con ça :P J'y avais pas pensé tiens :)
Avec cela, ça me paraît clair que Windown n'aura pas accès au réseau extérieur, ça oui. Mais est-ce qu'il ne pourra pas recevoir des données tout de même, en provenance d'internet ? Vouzêtes sûrs que non ? Par aucun moyen ? Aucune intrusion possible ?

Merci encore !!

Tuxie
07/01/2008, 21h29
Normalement, si aucun DNS n'est défini, la réponse est non...

MacDo
07/01/2008, 21h37
Il me semblait que les DNS étaient utiles pour que l'ordi parvienne à utiliser les adresses avec des caractères alphabétiques... Parce que sans aucun DNS configuré, il me semble qu'on peut tout de même accéder à l'ordi 64.233.183.147, par exemple... C'est pour cela que je ne suis pas sûr que le seul fait de ne rien indiquer comme DNS empèche tout trafic descendant d'internet VERS l'ordi...

C'est moi qui déconne ? J'ai rien compris ?

En tous cas merci beaucoup pour ton intérêt et ton aide, Tuxie :)

Tuxie
07/01/2008, 21h50
Ce que je voulais dire, c'est que ton PC ne sera pas "vu" des serveurs DNS, ce qui te met dans un abri plus que raisonnable.
De plus, avec cette configuration, ta machine ne pourra pas envoyer d'informations sur le net ; et il faut savoir que c'est très souvent après un échange d'informations PC -> Internet que des malveillances surviennent (sauf si tu es en IP fixe chez ton F.A.I).

Allez, ne t'inquiète pas, tu vas le préserver ton Winchose ! :lol:

MacDo
07/01/2008, 22h29
Merci encore pour ta réponse... mais c'est peut-être par méconnaissance du sujet que je ne suis pas persuadé... Je m'explique (et je me rend compte que je n'ai peut-être pas donné une information capitale)... Peut-être pourras-tu me contredire et/ou me conseiller :)

Ce n'est pas le système d'exploitation qui s'occupe d'établir la connexion à internet, mais c'est le routeur...
C'est le routeur qui acquiert une adresse IP (pas fixe) et aussi l'adresse des serveurs DNS lors de l'établissement de la connexion à internet (et il fait cela automatiquement, même en cas de déconnexion). Par conséquent, le routeur a en permanence une adresse IP ET les DNS. L'adresse IP est donc "déclarée" tout le temps et automatiquement aux serveurs DNS, peu importe qui est derrière, que ce soit Windown ou OpenSUSE...

Non ??

Et ce n'est pas le fait de rebooter OpenSUSE pour relancer Winchose qui va changer l'adresse IP et les DNS du routeur, puisque ces informations sont obtenues par le routeur lui même et de manière autonome (ie sans action du système d'exploitation)...

Donc mon PC, qu'il soit sous OpenSUSE ou sous Winchose, il sera quand même "vu" par les serveurs DNS de la même manière, il me semble...

Qu'en penses-tu ??

Merci encore... infiniment ! :)

MacDo

Gero
07/01/2008, 23h05
Tu as raison en disant que peut importe ton systeme d'exploitation actif, ton routeur garde toujours un adressage IP.. Ceci dit, s'il doit y avoir une intrusion quelconque, le pirate doit passer par un certain nombre de failles qui sont essentiellement dûe à une mauvaise configuration..
Tu dis que ta partition XP n'a pas acces à internet. Par concequent, si l'intru arrive a voir l'ip de ton routeur, il va être bien emmerdé.. tout ce qu'il va voir, c'est ton routeur.. Dans les propriétés de ta carte réseau, tu as la possibilité de définir une IP avec qui dialoguer.. Tu peux donc mettre ton imprimante. tu n'aura toujours pas acces à internet, et les intrus potentiels ne veront toujours que ton routeur puisque tu n'as pas précisé dans ta configuration un acces possible au net.

MacDo
07/01/2008, 23h32
Bonsoir Gero,

Et merci bien pour ta réponse, tout d'abord :)

Effectivement, mon XP n'a actuellement pas accès à internet parce que j'ai désactivé froidement la carte réseau dans le panneau de conf.

L'"adresse IP avec qui dialoguer" dont tu parles, Gero, c'est la passerelle ?

Donc si j'ai bien compris, il serait totalement impossible que des informations soient échangées entre internet et mon XP, aussi bien ascendantes que descendantes, si j'indique comme passerelle l'adresse IP de l'imprimante, c'est bien cela ?? Vous êtes formels, les experts ? :) Absolument aucun transfert d'informations XP -> Internet NI Internet -> XP ??

Je vous remercie encore une fois !

MacDo
08/01/2008, 12h09
J'oserais faire un up ? :oops: merci d'avance...

Copernicus_ThebigNewbie
08/01/2008, 12h45
Sous Windows XP :

Tu vas sur les propriétés de ta carte réseau ; puis propriété protocole TCP/IP puis click sur Advanced puis click sur onglet Option --> Re click sur properties

Là tu active TCP/IP filtering tu mets tout en permit only (TCP/UDP ports IP protocol ) puis tu ajoute l'ip de ton imprimante dans IP protocol ^^ (192.168.0.50)

cela devrait marcher ...

Tuxie
08/01/2008, 14h16
OK, je n'ai pas été très précise... comme le dit Gero, la présence de ton routeur ne va pas changer grand-chose, si ce n'est qu'éventuellement, un pirate va pouvoir le localiser. Après, il va quand même falloir qu'il arrive à joindre ton PC et là ce n'est pas gagné (avec la manip indiquée ci-dessus).

<div class='quotetop'>Citation (MacDo @ 7/01/2008 à 23:32) <{POST_SNAPBACK}> (index.php?act=findpost&pid=161468)</div>
Donc si j'ai bien compris, il serait totalement impossible que des informations soient échangées entre internet et mon XP, aussi bien ascendantes que descendantes, si j'indique comme passerelle l'adresse IP de l'imprimante, c'est bien cela ?? Vous êtes formels, les experts ? :) Absolument aucun transfert d'informations XP -> Internet NI Internet -> XP ??[/b]
Si tu n'es pas convaincu, tu peux toujours ajouter un firewall en plus de la manip sur la carte réseau et, si tu as toujours un doute, rajouter un proxy par-dessus pour interdire sans concessions l'accès Internet à ton Winchose. Tu peux aussi regarder la config de ton routeur, il a peut être un firewall intégré... Tu auras alors un Fort Knox informatique.

MacDo
08/01/2008, 21h20
Sous Windows XP :

Tu vas sur les propriétés de ta carte réseau ; puis propriété protocole TCP/IP puis click sur Advanced puis click sur onglet Option --> Re click sur properties

Là tu active TCP/IP filtering tu mets tout en permit only (TCP/UDP ports IP protocol ) puis tu ajoute l'ip de ton imprimante dans IP protocol ^^ (192.168.0.50)

cela devrait marcher ...[/b]
Salut Copernicus_ThebigNewbie,

Et merci à toi aussi pour ta réponse... Mais je n'ai pas la possibilité de rentrer une adresse IP dans "IP Protocol"... C'est juste des numéros de port, on dirait... Quand je tente de taper un point, il me dit que le caractère n'est pas autorisé.

Un tuyau ? :unsure:

Merci encore à tous !

MacDo
09/01/2008, 16h26
C'est moi qui suis nul ou bien je fais quelquechose de travers ? :P

Copernicus_ThebigNewbie
09/01/2008, 17h41
Non c'est moi qui suit un vrai NUL ;-)

Cela correspond au IP Port Numbers

Port 1 ICMP

Port 2 IGMP

Port 3 GGP

Port 4 IP in IP encapsulation

Port 5 ST stream

Port 6 TCP

Port 7 Often used for Computer Based Training

Port 8 EGP

Bref ... (je me demande si il n'y en a pas plus ... 16) a mon avis cela ne sert a rien de jouer avec cela .... Cassage de tête pour pas grand chose

MacDo
10/01/2008, 00h45
Mais non t'es pas nul, Copernicus :) allez allez :)

Dommage qu'on ne peut pas lui indiquer une adresse IP parce que je pense que c'est exactement ce qu'il m'aurait fallu... Mais j'ai trouvé une autre solution, que je détaillerai ici bientôt. Malheureusement, il y a un ptit truc que je ne pige pas tout à fait et cela occasionnera une autre question... À suivre donc ;)

Merci encore à tous !

Copernicus_ThebigNewbie
10/01/2008, 10h50
Perso j'ai installé sur XP sygate firewall ... il n'est plus maintenu mais reste trés performant car trés simple ... à mon avis il y a facilement moyen de tout bloqué in & out sauf l'imprimante ...avec ce programme

kyp
10/01/2008, 21h42
A mon avis le plus simple est d'utiliser un pare-feu specifique comme Kerio, ZoneAlarm...
Dernierement j'ai decouvert un modele que j'aime bien : Ashampoo Firewall (http://www.clubic.com/telecharger-fiche24975-ashampoo-firewall.html)

Je l'ai sur mis sur deux PC XP et j'en suis plutot content. L'avantage de ses deux modes basic/avance permet de ne pas s'arracher les cheveux meme si on ne sait pas regler un pare-feu.