Hello,
 
chez moi, j'ai deux ordi qui sont derriere un routeur firewall (Bewan) + Freebox.
J'ai aussi Kerio Personal Firewall installé sur chacun des deux postes.
 
J'y ai défini un certain nombre de règles que je ne vais pas vous énumérer ici
Le principe étant d'autoriser le WEB, MAIL, NEWS, DNS, ... et de refuser tout le reste.
 
Ces règles sont dans Kerio et dans mon routeur firewall.
 
J'ai constaté quand je cherchais à télécharger sur www.download.com depuis leur serveur ftp, que le navigateur initie une connexion TCP sortante, mais sur un port distant aléatoire et non "standard".
 
Personnellement, celà ne me pose pas trop de problemes, mais les personnes à qui j'ai installé ce routeur et kério, ne savent pas quoi faire et sont bloquées.
 
Comment se fait il que pour télécharger sur le ftp de download.com, le port soit aléatoire ? Je pensais que les ports étaient 20 et 21 ??
 
Au boulot, nous n'avons pas ce probleme, car chaque poste du LAN passe par un proxy sur le port 8080 avant de se connecter au net.
 
Avez vous une idée pour que les newbies puissent télécharger sans probleme, tout en gardant une politique de sécurité assez sérieuse ?
 
Merci d'avance.

2 fw matériels + un logiciel c est totalement inutile, vire celui de la freebox+kerio et configure celui du bewan.

 
j'ai 2 firewalls :

• routeur
• Kério

Kério me permet de limiter l'accès à internet a certaines applications (éviter potentiellement des virus ou spywares, etc...) et  à certains protocoles/ports.
 
Le firewall du routeur est un vrai firewall de niveau 3 (enfin il me semble).

Tu comprendras tout en lisant ça :
 
http://www.isaserver.org/articles/ [...] urity.html

 
Merci à toi.
Si je comprends bien, il n'y a pas de réelle solution...

Si, forcer le FTP Passif dans ton réseau en bloquant les ports.
 
Tes users internal devront cocher FTP Passif

 
Je comprends...
Mais cette option "FTP Passif" existe pour des logiciels clients FTP comme CuteFTP, mais pas pour des navigateurs tels IE ou Firefox.
 
Or, ma question initiale concerne les clients FTP tels IE ou Firefox.
 
Si je me trompe, PATAPé !!

Si pour IE dans les options avancés

 
OUPS !
Désolé, merci !!
 
Je pense que pour Firefox ca doit aussi exister.

j'ai activé le mode passif sur IE, j'ai toujours le meme probleme !!!

 
j'ai lu attentivement la doc
En ce qui me concerne c'est plutot le FTP actif qui est conseillé chez moi, ou bien j'ai rien compris
En effet, le mode actif effectue le transfert de données depuis le port 20 du serveur, vers un port aléatoire > 1023 du client. Une telle règle est facilement configurable dans un firewall logiciel, et si je ne m'abuse, les firewalls à SPI (Stateful Packet Inspection) gardent en memoire le port de la connexion "control" et quand une requête "data" telle que citée plus haut arrive, il reconnait automatiquement que ce transfert provient de la connexion control précedente. D'où pas besoin de règle précise...
Tandis que le mode passif fonctionne sur un transfert data avec des ports client et serveur > 1023 tous les deux. D'où mes problemes de configuration de Kerio.
Je teste le mode actif (j'ai toujours été en passif dans mes navigateur pour l'instant) et je vous tiens au cournat !
 
Merci

Ben le problème avec le mode actif, c'est que le firewall reçoit une connection entrante. Qui est donc bloquée

 
exact, mais elle ne l'est pas dans mon cas, puisque j'autorise tout trafic entrant provenant d'un port TCP 20 distant, quel que soit le port local au niveau du routeur.
 
Kerio a juste autorisé CuteFTP et Firefox + IE.
 
N'aurais je pas du faire ça ??  
 
edit : rectification, la règle accepter tout traffic entrant provenant du port 20 n'est meme pas utile au niveau du routeur. Je l'ai enlevée et je recois quand meme en mode actif les fichiers sur le port 20.

exact, mais elle ne l'est pas dans mon cas, puisque j'autorise tout trafic entrant provenant d'un port TCP 20 distant, quel que soit le port local au niveau du routeur.
 
Kerio a juste autorisé CuteFTP et Firefox + IE.
 
N'aurais je pas du faire ça ??  
 
edit : rectification, la règle accepter tout traffic entrant provenant du port 20 n'est meme pas utile au niveau du routeur. Je l'ai enlevée et je recois quand meme en mode actif les fichiers sur le port 20. Merci le SPI ;-)