On m'a demandé d'ouvrir les ports nécessaires pour faire fonctionner Timeface de l'Iphone.
J'ai dit "oui, pas de problème ! Je m'en occupe dès que j'ai un moment".
Après une rapide recherche sur Internet , je tombe sur cette page:
http://support.apple.com/kb/ht4245
Il faut juste ouvrir :
443 (TCP)
3478–3497 (UDP)
5223 (TCP)
16384–16387 (UDP)
16393–16402 (UDP)
Depuis, je me pose plusieurs questions:
- Quel est le dealer des dev d'Apple.
- La motivation de créer un protocole d'échange aussi complexe.
C'est dans dès moment comme çà qu'on apprécie que son pare-feu soit géré par un script bash et iptables. Et je pleins la personne qui aura à paramétrer çà via une interface graphique :)
Journal Timeface , la terreur des firewall
2
nov.
2010
# Clavier
Posté par claudex . Évalué à 9.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Clavier
Posté par syj . Évalué à 4.
De cette manière, les nuls en orthographe pourrait corriger à postériori leurs postes et ceux qui sont blessés par une orthographe déficiente pourrait enseigner aux autres à mieux écrire.
Je pense qu'on y gagnerai en qualité pour les uns comme pour les autres.
[^] # Re: Clavier
Posté par claudex . Évalué à 8.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Clavier
Posté par Damien Thébault . Évalué à 1.
[^] # Re: Clavier
Posté par kursus_hc . Évalué à 6.
[^] # Re: Clavier
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 4.
Ouais, mais si on perd le plaisir de vous jeter des tomates sur la place publique, DLFP perd grave en intérêt…
[^] # Re: Clavier
Posté par liZe . Évalué à 5.
[^] # Re: Clavier
Posté par Ghis . Évalué à -5.
Je propose qu'on utilise sur linuxfr.org une version simplifier et plus permissive de la langue française. Reste à savoir sous quelle licence on proposera cette langue.
[^] # Re: Clavier
Posté par windu.2b . Évalué à 10.
Apparemment, tu ne nous as pas attendus pour commencer...
# Estimes toi heureux
Posté par tuxsmouf . Évalué à 0.
En général, ça annonce la (non)qualité du produit...
[^] # SIP
Posté par Zenitram (site web personnel) . Évalué à 5.
Yep, SIP c'est de la non qualité aussi donc (il y a 16000 ports UDP à ouvrir, bien plus que pour Timeface).
Euh... Je voulais faire de l'humour, mais non, en fait vu ce que les gens pensent de SIP...
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 6.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: SIP
Posté par Frank-N-Furter . Évalué à 9.
Depending on the time of day, the French go either way.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: SIP
Posté par Sebastien (site web personnel) . Évalué à 3.
[^] # Re: SIP
Posté par Guillaume Knispel . Évalué à 1.
(Je suis particulièrement machiavélique de poser cette question, car je sais bien que sois tu ne proposeras rien, soit un truc applicable pour le perso -- et encore, certains cas perso -- et qui ne fonctionnera jamais dans un nombre important de cas d'utilisations grande échelle pro. Et non, IAX2 ou quelque chose de similaire ne permet pas non plus de couvrir ces cas)
# Et bien
Posté par yellowiscool . Évalué à 9.
Envoyé depuis mon lapin.
[^] # Re: Et bien
Posté par syj . Évalué à 4.
La demande pour Timeface concerne pour un réseau mis à disposition des visiteurs.
Plus, tu fermes de port, plus tu peux mettre en évidence le comportement anormal d'un poste :
- scanne des ports ouverts.
- tentative de connexion sur des ports qui vont mettre en évidence une tentative d'attaque: connexion aux ports de partage Windows, aux ports d'impressions,...
[^] # Re: Et bien
Posté par serianox . Évalué à 0.
Anyway, j'ai déjà eu des cas similaires, mais en mode over-abused. Par exemple des applications "alacon" (du type fessebouc ou iPoire) qui demandent une plage de 22000 ports. De là à écrire un "Idiotic dev that dosen't know how TCP/IP work considered harmful", il n'y a qu'un pas.
# Tu as une dent contre les GUI?
Posté par Zenitram (site web personnel) . Évalué à 4.
C'est quoi le problème avec les GUI?
Je comprend pas où tu vois un soucis avec, c'est 5 lignes de GUI à remplir (un GUI de base propose les plages de ports), bien plus rapide qu'avec un script à faire.
J'ai l'impression que c'est une attaque gratuite contre les GUI...
[^] # Re: Tu as une dent contre les GUI?
Posté par Albert_ . Évalué à 4.
[^] # Re: Tu as une dent contre les GUI?
Posté par Zenitram (site web personnel) . Évalué à 2.
Il y en a qui ne jurent que par la ligne de commande et refusent de regarder ailleurs, il y en a d'autres qui ne se prennent pas la tête et on un vrai logiciel de gestion plus simple à utiliser. Que vous fassiez ça en ligne de commande, c'est mignon, c'est votre choix, mais ne faites pas les aveugles : pour ça, il y a de très bon logiciels qui font les choses plus simplement pour l'admin, et automatisé. A choses simples, réponse GUI simple, pour cet exemple, pas besoin de powershell, qu'on utilise pour d'autres besoins moins classiques qui n'ont pas de GUI. La, on parle d'un truc de base de chez base.
[^] # Re: Tu as une dent contre les GUI?
Posté par Albert_ . Évalué à 3.
Alors peut etre qu'il existe des GUI tres bien pour gerer le firewall de plusieurs centaines de machines mais bon comme la ou je bosse c'est de l'unix je n'ai jamais vu un administrateur s'embetter avec ce genre de truc lorsque un script shell ou perl de 2 lignes fait le boulot. Pour en avoir discuter avec certains, ils n'aiment pas du tout les GUI car ils trouvent cela lent a utiliser.
[^] # Re: Tu as une dent contre les GUI?
Posté par pasBill pasGates . Évalué à 2.
Tu me l'envoies ce script de 2 lignes qui distribue les regles sur tous les elements reseau du systeme ? Ca a l'air d'etre un script sacrement baleze (ou 2 lignes vachement longues)
[^] # Re: Tu as une dent contre les GUI?
Posté par Psychofox (Mastodon) . Évalué à 2.
[^] # Re: Tu as une dent contre les GUI?
Posté par totof2000 . Évalué à 6.
[^] # Re: Tu as une dent contre les GUI?
Posté par Albert_ . Évalué à 2.
[^] # Re: Tu as une dent contre les GUI?
Posté par kowalsky . Évalué à 9.
[^] # Re: Tu as une dent contre les GUI?
Posté par Sebastien (site web personnel) . Évalué à 2.
> je pense pouvoir dire que c'est la pire interface graphique que j'ai jamais eu a utiliser.
Ahah!
Non. Crois moi.
[^] # Re: Tu as une dent contre les GUI?
Posté par Albert_ . Évalué à 3.
[^] # Re: Tu as une dent contre les GUI?
Posté par syj . Évalué à 1.
Mais, c'est tellement plus beau en script.
Enfin, puisqu'on est dans le débat. Dans toutes les interfaces graphiques que tu as pu utiliser. Peux tu simplement résoudre un problème de ce type sans cliquer comme un fou:
J'ai eth1 et et eth2 qui ont la même règle de filtrage vers les deux interface sortante eth3 et eth4. Cette règle s'appelle Safesurf.
En script, çà se traduit par une fonction safesurf que j'applique à chaque interface eth1 et eth2.
Quand j'ouvre un port, je modifie uniquement ma fonction safesurf et je recharge les règles.
[^] # Re: Tu as une dent contre les GUI?
Posté par Guillaume Knispel . Évalué à 3.
Un script bash lancé par un cron à pendant un temps tenté de lier cette solution très pro au monde Unix (à cause des hippies du département R&D qui persistent à vouloir utiliser des systèmes de bidouilleurs du dimanche), mais un jour de pleine lune un BSOD du serveur windows accédé à déclenché par un malheureux concours de circonstance un rm -rf /. Tout le service R&D a été viré, étant devenu impossible de communiquer avec eux par la seule voie qui restait jusqu'à là de disponible, toutes tentatives de communication orale ayant été abandonnées depuis maintes années. Une bonne grosse source de coûts et d'emmerdes en moins !
[^] # Re: Tu as une dent contre les GUI?
Posté par Grunt . Évalué à 5.
Pourquoi "plus simplement"? C'est très subjectif ça.
Et la CLI c'est automatisable également.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Tu as une dent contre les GUI?
Posté par 2PetitsVerres . Évalué à 4.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Tu as une dent contre les GUI?
Posté par Zenitram (site web personnel) . Évalué à 2.
Certaines personnes veulent absolument voir dans les GUI un truc tout simpliste qui ne répond pas au besoin, mais quand ils donnent un exemple "tu as vu, je suis un warrior, j'ai mis plein de temps à apprendre les scripts, j'ai automatisé tout à la main pour que je puisse juste lancer un script et hop", quand en face ben les gens "normaux" cliquent, rentrent quelques chiffres (les ports), et valident la demande de propagation sur l'ensemble du parc (avec possibilité de choisir si on veut enlever des serveurs de la propagation, pareil en quelques clics), et c'est tout.
Il y a plein d'exemples la puissance des scripts pour des choses moins classique, cet exemple est tout simplement très mauvais pour faire la démo.
[^] # Re: Tu as une dent contre les GUI?
Posté par barmic . Évalué à 4.
C'est quoi ce faux dilleme à deux sous ?
Il n'y a personne qui "ne jurent que par la gui et qui refusent de regarder ailleurs" ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Tu as une dent contre les GUI?
Posté par Benoit . Évalué à 4.
Je dois, malheureusement, administrer un Windows Server 2008 R2. C’est tellement cliquodrome que je pour certaines fonctions, je me fais des fichiers de configuration au format texte qui sont ensuite appliqués grâce à des scripts PowerShell / WMI.
Un fichier de configuration à l’avantage d’offrir des informations synthétiques pouvant être accédées et modifiées rapidement, contrairement aux IHM qui deviennent rapidement complexes. Tu peux également en conserver les versions successives pour avoir l’historique de la configuration, les transmettre à des collègues, …
# Port Triggering
Posté par fcartegnie . Évalué à 4.
[^] # Re: Port Triggering
Posté par syj . Évalué à 2.
Le port triggering, je ne suis pas fan de ce genre de système. Il y a toujours des petits malins qui trouvent comment les détourner à leur profit. Même, si ce n'est pas le même cas, vu qu'on parle de connexion sortante , l'article de phrack( http://phrack.org/issues.html?issue=65&id=5#article ) montre comment cela peut être exploité à l'insu de l'administrateur.
Je pense surtout qu'il n'y a pas de vrai bonne raison d'utiliser autant de port UDP sortant. Si c'est pour utiliser le port UDP comme un élément identifiant la session. On verra apparaitre des injection de paquet UDP comme pour le DNS qui viseront des failles
sécurités des lecteurs.
# Pas Timeface!
Posté par Guillaume Lebigot (site web personnel) . Évalué à 3.
# XMPP/Jingle
Posté par Aurélien Bompard (site web personnel) . Évalué à 4.
[^] # Re: XMPP/Jingle
Posté par Frank-N-Furter . Évalué à 3.
Depending on the time of day, the French go either way.
[^] # Re: XMPP/Jingle
Posté par tiot (site web personnel) . Évalué à 3.
[^] # Re: XMPP/Jingle
Posté par superna (site web personnel) . Évalué à 2.
Vachement fait maison comme pile protocolaire...
# erreur ....
Posté par totof2000 . Évalué à 10.
On dit "je remplis" la personne.
[^] # Re: erreur ....
Posté par mackwic . Évalué à 7.
Herm...
# ceci est une preuve de l'inutilité des firewall centralisés
Posté par Jacquot Raphael . Évalué à 1.
les regles de firewalling doivent donc etre installées sur chacune des machines.
Certes, ca donne plus de travail, mais c'est ainsi. au final, cela permet à chaque machine d'être bien mieux protégées
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.