Voila je me suis mis a kerio ce week end.
J'ai commencer a bidouiller les regles, pour les logiciels que j'utilise.
Mise a part sa, j'ai un problem.
Se soire quand je suis rentrer et que j'ai demarrer mon pc, je fais un clique droit sur l'icone de kerio, et quand je choisi une option (administration, firewall status) bah j'ai une fenetre, qui me demande host et password. Alors que avant j'arrivais directement sur la fenetre administration.
Et je ne lui ai jamasi rentrer un mot de pass !
Comment resoudre ?

Bon, pour les règles, je reposte mon lien à toutes fins utiles : http://perso.wanadoo.fr/websecurite/kerioPF.htm
 
Pour la fenêtre qui demande un host et un password c'est juste l'action de ton clic-droit qui a changé ... ça ouvre la fenêtre qui correspont à File > Connect...
Alors que les règles se trouvent dans File > Admin...
 
C'est comme ça d'origine  

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

Toi aussi sa te la fais pour la fentre ?
J'arrive plus a acceder ds le panneau d'administration.

Quand tu double-clic sur l'icone Kerio ça t'ouvre la liste des connexions ouvertes en local, non ?

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

sa me remet la fenetre

bah c'est revenu masi ej sais po comment

C'est comme pour l'histoire de la taille des fenêtres IE à l'ouverture ... on sait pas pourquoi ça déconne et encore moins pourquoi ça fonctionne à nouveau    
 
Content que ça soit rentrer dans l'ordre en tout cas.

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

Oue sinon sa m'aurias po trop convaincu pour un debut    
Mais avec les test on line il me rejouit bien plus que ZA

Je viens (à nouveau   ) d'essayer de configurer mon firewall et spa gagné    
 
J'ai ajouté les règles décrites ici http://perso.wanadoo.fr/websecurite/kerioPF.htm au dessus des règles que j'utilise d'habitude.
 
J'ai supprimé la règle n°3 parce qu'ayant une IP dynamique, je sais pas comment lui indiquer dans Host address    
= = = = = = = = = = = = = = = =
Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: (Your ISP DNS) IP number
Port type: Single
Port number: 53
Action PERMIT
= = = = = = = = = = = = = = = =
 
J'ai aussi supprimer la règle n°4 parce que j'arrive pas à aller sur le net ...
= = = = = = = = = = = = = = = =
Description: Other DNS
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action DENY
 
** Sur certaines configurations, cette règle peut empêcher tout accès au Web, désactiver si c'est le cas.
= = = = = = = = = = = = = = = =
 
Malgré tout ça (désolé pour la tartine ci-dessus), j'arrive pas à avoir accès au web. je sais pas ce qui cloche dans ces paramètres ...
 
Si quelqu'un a une idée, je suis preneur  

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

Pour le moment pas trop le temps d'approfondir, mais je te passe mon ensemble de règles ce soir si tu veux. Je crois être arrivé à un truc assez sympatoche.  
 
EDIT : gag quand même assez fréquent, est-ce que tu as une règle  qui laisse passer (sens "Both Directions" ) les trames UDP entre ton port 68 et le port 67 d'un serveur distant...? (c'est le trafic DHCP )

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

Je veux bien voir à quoi ressemble les règles que tu as défini pour ton FW, merci d'avance    
 
Pour ce qui est des ports 67 et 68, je sais pas   . Là je suis au boulot et je me souviens pas trop . Je regarde ça ce soir aussi    
 
Hier soir, j'ai fais un p'tit test sur Shields Up ! et les ports testés sont tous "stealth", ça déjà c'est cool
Par contre, j'ai "raté" le test parce que mon pc répond au ping, envoie des packets "je sais plus quoi" et fais encore d'autres trucs

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

moi aussi jveux bien les regles =)

Voilà les règles en question.
 
http://perso.club-internet.fr/borg [...] kerio.conf
 
Il faut garder les choses suivantes à l'esprit :
 
Ma machine abrite un serveur DNS et IIS pour mon petit LAN perso, il y a donc au bas mot deux règles à supprimer pour vous :
 
- "Incoming DNS Request"
- "Internet Information Services"
 
Vous trouvez dans le haut de la liste les règles pour le trafic réseau "général", en bas, l'autorisation de sortie pour divers applicatifs qui ne vous intéressent pas forcément (et qui risquent même de vous gueuler dessus en raison des inévitables différences au niveau du hash, si vous possédez une version différente de ces mêmes applis).
 
EDIT : je vous suggère aussi de passer le niveau de sécurité à "Deny Unknown" au lieu du niveau intermédiaire... Et gardez à l'esprit aussi que mon LAN de confiance c'est 192.168.42.x (ce n'est pas forcément pareil chez vous, remarque surtout valable au niveau des règles de broadcast NetBT)

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

Merci pour ces règles et ces explications Ryo-Ohki    
Je testerai ça dans le week-end ... C'est bien cool, merci encore

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

Mise à jour mineure des règles ci-dessus...  
 
- Correction de la règle Incoming DNS Requests (ne marchait pas )
- Ajout d'une règle pour les transferts de zone DNS (sur un DNS derrière le FW)
- Rajout de qq ports pour le logging d'intrusion (53 - DNS, 161 - SNMP, 1434 - MS-SQL-Monitor)

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

Dernière mise à jour des règles pour Kerio Personal Firewall :
 
http://perso.club-internet.fr/borg [...] kerio.conf
 
Ces règles sont désormais davantage taillées pour une station Windows et pas un serveur comme c'était le cas avant (suppression de règles inutiles).
 
- J'ai rajouté encore un peu de logging (peut-être un peu trop, à voir selon votre goût) pour les connexions entrantes, et rajout aussi du logging sur les packets ICMP entrants qui ne proviennent pas du réseau local.
- Blocage explicite et logging de toute application non autorisée qui essaierait de sortir sur internet (ATTENTION, ce jeu de règle bloque Internet Explorer).
- Un seul port ouvert sur l'extérieur : le port 3389 (Remote Desktop). SUPPRIMER ou modifier la règle au besoin (pour n'autoriser les connexions qu'en provenance du réseau local par exemple). La règle loggue toute tentative de connexion sur ce port de toutes manières.
- Règles réécrites pour le trafic NetBIOS local, si on laisse Kerio le gérer tout seul, ça peut créér des problèmes.
- J'ai supprimé le mot de passe protégeant l'administration du firewall.... Ca peut poser des problèmes aussi si on utilise ces règles brut de fonderie    
 
Je crois que c'est à peu près tout.
 
Test PASSED sur le test de grc.com, bien sûr.  

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

kerio c 'est une passoire même la version 4.8  
 
http://www.admin-rezo.com/modules/ [...] /test.html
 
Look n Stop Powaaaaaaaa

Jai  "erreur 31" quand j essay de charger ta regle  

 
J'oublie de préciser qu'il s'agit de règles pour KPF 2.1.5... Pas de garantie que cela fonctionne avec les v4+ (personellement je recommende la v2.1.5)  
 
Kamui : intéressant comme page, mais la plupart des tests n'en sont en fait qu'un seul et même, sous diverses formes (injection de processus). Une fois qu'un test échoue, la plupart des autres suivent. Et puis, n'oublions pas que Kerio est avant tout un packet filter... Il travaille surtout dans les couches basses du modèle OSI, tandis que ces tests montent à la couche 7, l'applicative, tout en haut.    
 
Un truc qu'on oublie assez vite également est qu'un firewall n'est pas meilleur que le jeu de règles qu'il fait tourner (en plus, on se choppe une magnifique erreur 404 en essayant de charger les utilitaires, donc dommage pour tester moi même).
 
Enfin, un truc qui fait que qq uns des tests échouerait chez moi quoi qu'il advienne : mon navigateur par défaut (IE), très pratique pour consulter des pages web sur le disque, n'est pas autorisé à sortir.  

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

Pour ceux que cela interresse il y a un forum spécialisé pare feux sur le serveur news.zoo-logique.org et il y a quelque pointure de la configuration de Kerio qui y trainent réguliérement.
 
news ://news.zoo-logique.org/news
 
Si vous ne voyez pas toute la liste des forums sur le serveur c'est parce qu'il faut un login : zoo et un mot de passe entrer

J'ai une version 2.1.5

 
Bon, j'ai ré-exporté le fichier et je l'ai remis en ligne...  Cette fois j'ai forcé le mode BINARY dans mon client FTP, on sait jamais, le fichier a peut-être été altéré au passage.  

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

c'est passé nikel
 

Merci encore pour ces jolies règles Ryo  

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

 
est-ce que quelqu'un a toujours un lien pour le télechargement de KPF 2.1.5 (il était bien freeware nan ?), parce que je n'arrive plus à le retrouver et la version 4 me prends trop la tête, un peu trop zélée à mon goût
 
Merci d'avance

 
c'est pas ton ip ke tu dois mettre mais l'ip du serveur DNS de ton ISP pour que tu puisse faire des requetes DNS (port 53 UDP)

Excellent ce thread, j'ai suivi vos recomandations mais je continue de bloquer sur les règles ICMP. Je dispose de deux machines avec Kerio 2.1.5 : un serveur XP qui distribue la connexion web et un client XP qui joue sur le net.
 
Tout fonctionne chez moi sauf le ping pour les programmes comme Gamespy ou All Seeing Eye.
 
Pour ces derniers, le ping est OK seulement quand je désactive la règle finale de Kerio sur le serveur, celle qui bloque tous les mouvements non acceptés.
 
C'est quand même bizarre, d'autant plus que Kerio sur le serveur ne demande aucune règle de plus quand je fais çà, je désactive la dernière règle et ça marche, point.    
 
Vous auriez une idée car là je sèche  

Débutant sur kerio , concernant la règle 3
Host address: (Your ISP DNS) IP number
j'ai recherché l'Ip Dns en tapant ipconfig/all
Dans la liste , il y  a
adresse physique :
Adresse Ip
Masque de sous réseau
passerelle par défaut
serveurs DNS
Faut il rentrer les valeurs  du serveur DNS
 
j'ai 2 FAI, faut il que je crée une règle identique ?

tu entres l'ip du premier serveur dns

Voila, suite à une migration d'OS j'ai refait mon jeu de règles pour Kerio.
 
Pour l'élaborer je me suis notamment basé cet exemple http://forum.hardware.fr/hardwaref [...] m#t1380168 (voir le post de "Drasche" ).
 
En fait, on définit des autorisations pour les services de Window$ et pour les applications qui ont besoin de "sortir ou entrer" et on interdit tout le reste.
On peut aussi compléter son exemple par quelques une de ces règles http://perso.wanadoo.fr/websecurite/kerioPF.htm
 
J'en profite pour rappeler aussi le post de Keos92    ( http://forum.rue-montgallet.com/fo [...] 0&subcat=0 ) et le guide de l'utilisateur http://securis.info/securis/ker/
 
J'ai fait une batterie complète de tests sur Shields UP! ( http://grc.com/x/ne.dll?bh0bkyd2 ) et selon eux y'a pas un trou dans ma sécurité    
 
Pour ceux qui le souhaiterait, n'hésitez pas à me MP pour une copie de mon jeu de règles  

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch