J ai trouve ce petit tuto pour ceux que cela interresse ....    
 
Kerio Personnal firewall est un parefeu logiciel gratuit pour un usage personnel, peu gourmand en ressources système et entièrement paramétrable concernant les règles de filtrage,   .
 
Avant de commencer avec la configuration proprement dite :
 :a Télécharger la dernière version de Kerio.
http://www.kerio.fr/kpf_download.html
 :a Télécharger aussi le manuel et le fichier d'aide en français, cela peut aider,  .
http://www.kerio.fr/supp_kpf_manual.html
 
[SIZE=7][color=blue]Administration de Kerio[/SIZE][/color]

Cliquer sur le bouton [color=blue]Advanced[/color].
 

Quelques options à cocher.
Cocher l'option [color=blue]Is Running on Internet Gateway[/color] seulement si vous partagez votre connexion Internet depuis windows.
Si vous utilisez un routeur ne la cocher surtout pas.
 

Pour permettre l'échange de fichier sur le réseau cocher l'option [color=blue]Allow Other Users to Acces My Shared Folders/Printers[/color].
Vous pouvez très bien activer et désactiver cette option seulement lorsque vous en avez besoin, une sécurité de plus,   .
 

C'est ici que tout se passe pour créer les règles de filtrage.
 
[SIZE=14]Les règles de filtrage de base :[/SIZE]
 
[color=blue]Bien Respecter l'odre des règles.
Kerio interprète les règles du haut vers le bas.[/color]
 
 :a Blocage NetBIOS
Règle 1:
Description: Block Inbound NetBIOS TCP UDP (Log)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Locap App: Any
Remote Address Type: Any
Port Type: Any
Action: Deny
 
Règle 2:
Description: Block Ountbound NetBIOS TCP UDP (Log)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action: Deny
 
 :a Autoriser les applications à se connecter à vos serveurs DNS
(autant de règles que de DNS utilisés par votre FAI, en général 2)
 
Règle 3:
Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App: Any
Remote Address Type: Single
Host address: l'adresse DNS indiqué par le FAI
Port type: Single
Port number: 53
Action: Permit
 
 :a Autoriser DHCP
 
Règle 4:
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local Port: Any
Locap App: Only selected below = c:\windows\sytem32\svchost.exe
Remote Addres Type: Single
Host address: 192.168.0.1 (l'adresse ip de votre routeur ou passerelle)
Port type: single
Port number: 53
Action: Permit
 
Règle 5:
Description: Generic Host Process for Win32 Services  
Protocol: TCP
Direction: Both
Local Port: Any
Locap App: Only selected below = c:\windows\sytem32\svchost.exe
Remote Addres Type: Network/Mask
Network/Mask address: 192.168.0.0/255.255.255.0
Port type: Any
Action: Permit
 
 :a Blocage autres DNS
(sur certaines configurations, cette règle peut empêcher tout accès au Web, désactiver la si c'est le cas)
 
Règle 6:
Description: Other DNS (Log)
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action: Deny
 
 :a ICMP
 
Règle 7:
Description: Out Needed To Ping and TraceRoute Others
Protocol: ICMP
Direction: Outgoing
Set Icmp: Echo Request
Remote Address Type: Any
Action: Permit
 
Règle 8:
Description: In Needed to Ping and TraceRoute Others
Protocol: ICMP
Direction: Incoming
Set Icmp: Echo Reply, Destination Unreachable, Time Exceeded
Remote Address Type: Any
Action: Permit
 
Règle 9:
Description: In Block Ping and TraceRoute ICMP (Log)
Protocol: ICMP
Direction: Incoming
Set Icmp: Echo Reply
Remote Address Type: Any
Action: Deny
 
Règle 10:
Description: Out Block Ping and TraceRoute ICMP (Log)
Protocol: ICMP
Direction: Outgoing
Set Icmp: Echo Reply, Destination Unreachable, Time Exceeded
Remote Address Type: Any
Action: Deny
 
Règle 11:
Description: Block ICMP (Log)
Protocol: ICMP
Direction: Outgoing
Set Icmp: All ICMP Codes
Remote Address Type: Any
Action: Deny
 
Règle 12:
Description: IGMP (Log)
Protocol: Other/2
Direction: Both
Remote Addres Type: Any
Action: Deny
 
 :a Loopback
(pas absolument indispensable, mais accélère le système sur la majorité des configurations)
 
Règle 13:
Description: Loopback
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Locap App: Any
Remote Address Type: Single
Host Address: 127.0.0.1
Port Type: Any
Action: Permit
 
 :a Blocage de toutes les requêtes externes vers des ports classiques
(FTP, HTTP, POP3, SMTP, Telnet, NetBios, etc ...)
 
Règle 14:
Description: Block Common Ports (Log)
Protocol: TCP and UDP
Direction: Incoming
Port Type: List of Ports = 113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Locap App: Any
Remote Address Type: Any
Port Type: Any
Action: Deny
 
Règle 15:
Description: Simple Service Discovery Protocol Incoming (Log)
Protocol: UDP
Direction: Incoming
Port Type: Single
Port Number: 1900
Locap App: Only selected below = c:\windows\sytem32\svchost.exe
Remote Address Type: Any
Port Type: Any
Action: Deny
 
 :a Règles spécifiques aux applications
 
Règle 16:
Description: Internet Explorer
Protocol: TCP
Direction: Outgoing
Port Type: Any
Locap App: Only selected below = c:\program files\internet explorer\iexplore.exe
Remote Address Type: Any
Port Type: List of Ports = 80,8080,3128,443,20,21 ou Any si nécessaire
Action: Permit
 
Règle 17:
Description: Block Internet Explorer In (Log)
Protocol: TCP and UDP
Direction: Incoming
Port Type: Any
Locap App: Only selected below = c:\program files\internet explorer\iexplore.exe
Remote Address Type: Any
Port Type: Any
Action: Deny
 
Règle 18:
Description: Outlook Express
Protocol: TCP
Direction: Outgoing
Port Type: Any
Locap App: Only selected below = c:\program files\outlook express\msimn.exe
Remote Address Type: Any
Port Type: List of Ports = 25,110,119,143
Action: Permit
 
Règle 19:
Description: Block Outlook Express Out (Log)
Protocol: TCP and UDP
Direction: Outgoing
Port Type: Any
Locap App: Only selected below = c:\program files\outlook express\msimn.exe
Remote Address Type: Any
Port Type: Any
Action: Deny
 
[color=blue]Ajouter les règles concernant les autres applications à la suite de la règle 19 (Messenger, Emule, Bittorent etc ...)
Configurer le firewall de Kerio en apprentissage (Ask me First) dans un premier temps.
Configurer toutes les autres applications à la première utilisation.
Puis Configurer le firewall de Kerio en "tout bloquer" (Deny Unknown) et créer les règles qui suivent.[/color]
 
 :a Blocage de toutes les requêtes UDP/TCP indésirables depuis votre PC
(troyen, ver, etc ...)
[color=red]ATTENTION : cette règle bloque l'option apprentissage ![/color]
 
Description: Block Outbound Unauthorized Apps TCP UDP (Log)
Protocol: TCP and UDP
Direction: Outgoing
Port Type: Any
Locap App: Any
Remote Address Type: Any
Port Type: Any
Action: Deny
 
 :a Tout bloquer
[color=red](ne pas l'activer avant d'avoir créé toutes les règles pour vos applications)[/color]
 
Description: Block Inbound Unauthorized Apps TCP UDP (Log)
Protocol: TCP and UDP
Direction: Incoming
Port Type: Any
Locap App: Any
Remote Address Type: Any
Port Type: Any
Action: Deny
 
 :a Pour les impatients,   , le fichier de configuration de Kerio incluant toutes les règles de ce tuto,   .
Cliquez ici pour le télécharger
A charger dans l'onglet [color=blue]Miscellaneous[/color], bouton [color=blue]Load[/color].
 
N'hésitez surtout pas à m'indiquer de nouvelles règles de filtrage qui vous semblent importantes et/ou m'indiquer si vous relevez quelques petites erreurs avec les miennes.
L'erreur est humaine comme on dit,  .

T'es un chef...  
 
Post It demandé  les modo...

 
on fais ce que l on peut ..    

OUah bravo, justement je cherchais un firewall

J'en profite lachement pour rappeler que mon jeu de règles pour Kerio 2.1.5 se trouve ici :
http://perso.club-internet.fr/borg [...] kerio.conf  
(je vais encore les optimiser un poil, à l'utilisation c'est trop le bordel dans les logs).
 
Keos, personnellement je ne laisse pas Kerio gérer le réseau Microsoft, il ne fait pas cela très bien. Le partage fonctionne certes sans problème mais pas l'explorateur d'ordinateurs. J'ai ré-écrit les règles NetBIOS en conséquence.

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

Nouveau jeu de règles pour KPF 2.1.5.
 
http://perso.club-internet.fr/borg [...] rules.conf  
 
Testez le (sauvegardez bien celui que vous aviez avant!) et dites moi si qq chose cloche.  
 
Comme d'hab, si vous avez un réseau local il faudra reparamétrer la plage d'IP de confiance ainsi que les règles "NetBT Name Service (broadcast)" et "NetBT Datagram Service (broadcast)" avec les IPs correspondants à votre LAN. Attention aussi à la règle "Terminal Server" ("bureau à distance" sous XP), supprimez là ou modifiez là si vous n'utilisez pas cette fonction ou que vous n'avez pas de mot de passe sur vos comptes utilisateurs pour que n'importe qui ne prenne pas la main sur votre machine.
 
Enfin, rajoutez un mot de passe dans votre module d'administration.

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

avec la version 2.1., j'ai loadé ton fichier ryo mais apres,..... tout est bloqué, impossible de naviguer.
pour les nuls, peux tu si tu veux bien dicter la procedure precise.?
Merci d'avance!

Bon puisque tout le monde y va de son lien, je m'y met      
 
http://forum.rue-montgallet.com/fo [...] 0&subcat=0
 
En page 2 du topic j'ai posté quelques liens qui m'ont aidé pour paramétrer Kerio.
 
carole1 > le plus simple à mon avis c'est  de définir des règles pour les services de Window$ et pour les applications qui ont besoin de "sortir ou entrer" et d'interdire tout le reste.
Avec peu de règles, on peut avoir une machine relativement bien sécurisée. Perso, j'ai utilisé les règles décrites dans le post de "drasche"  http://forum.hardware.fr/hardwaref [...] m#t1380168  et je les ai complété par celles pour les logiciels que j'utilise.

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

J'ai une question:
Toute ces configurations se font automatiquement si on télécharge le lien en bas?

je pense pas demande a ryo mais cela doit pas etre (toutes) les mêmes

Au fait, le lein du manuel en francais ne marche plus

En français à downloader avec toutes les explications, vraiment tres bien .
http://shoguun.free.fr/kerio/tutokerio.html

 
Ah, attention, moi j'ai bloqué Internet Explorer dans ce jeu.  
 
Il n'y a que Mozilla ou Firefox qui puissent sortir (installés sous c:\program files\mozilla et c:\program files\mozilla firefox)

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

salut
 
j'ai kerio depuis plus d'un an je l'ai configure convenablement (regles de Jack) je suis bien protege (resultat pc flank, etc...) on ne me voit pas , mais j'ai un petit soucis au niveau de mon reseau local j'arrive bien à voir mes differents ordis à partir de chacun, partage de connexion qui fonctionne, mais je n'arrive pas à les pinger c'est pas que ça me soit indispensable mais ça m'enerve!!!!
 
si quelq'un a une idee!!!
merci pour vos reponses

Rajoute une règle pour autoriser l'ICMP (tous les codes) sur ton réseau de confiance.

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

j'ai un probleme, j'ai accepte trois pour me connecter a msn.
aucun problem pour le chat, webcam, et audio, que se soit sur le serveur ou client.
Parcontre, sur le serveur je peux jouer, masi pas sur les clients.
Pour info, le firewall, se trouve sur le serveur

up

Bonjour,
Je me suis décidé à mettre Kerio, mais je ne comprends pas tout (rien pour être clair).
Qu'est-ce que je pourrrai bloquer?Sachant que la dernière fois que je l'ai installé, je pouvais plus me connecter à msn et d'autres applications.
C'est quo les règles de base qui bloquent qqs trucs sans interférer avec les appplications?

Et si tu lisais ce topic en entier, hein ?    
Tout en haut Keos propose un exemple de règles pour paramétrer Kerio.
Un peu plus bas, Ryo-Ohki propose son jeu de règles.
Et pour finir, encore un peu plus bas, je propose 2 liens qui expliquent comment faire bien et simple.
 
Avec tout ce qu'il y a sur cette page, à peu près n'importe qui pourrait paramétrer Kerio. J'y connais rien en info et pourtant j'ai réussi à faire quelque chose de pas mal, en te donnant un peu de mal ...
 
Personnellement, je pense que le plus simple c'est d'autoriser les services et applications dont tu te sers (sur les ports nécessaires uniquement) et d'interdire tout le reste.

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

BAh celui de keos, je sais pas ce que ca blqoue et celui de ryo bloque internet explorer

 

 
Sérieux, c'est si difficile que ça de le débloquer?

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

NAn ,mais je conais pas du tout donc..

Sinon, il y a une nouvelle version en francias et bcp plus jlie sur telecharger.com, tu pourras la mentionner Keos

Si toi tu utilises Internet Explorer, il suffit juste de changer la règle concernant IE en l'autoriser à sortir (en TCP bien sur)    
 
Evidemment, ton paramétrage de Kerio sera plus efficace si tu comprends les règles que tu lui donne. Adapter le jeu de règles de quelqu'un ça a des côtés pratiques mais tu ne seras jamais aussi bien servi que par toi même je pense.
 
Maintenant, j'avoue que ce n'est pas facile de savoir s'il faut bloquer tel ou tel service Window$, s'il faut bloquer les paquets NetBIOS et tout le reste. L'exemple de Keos montre une méthode pour bloquer ce qui doit l'être absolument (les ports communément attaqués).
 
Un autre exemple (je pense tout aussi sécurisé mais avec moins de règles) est celui-ci :
 
"Le raisonnement derrière ces quelques règles est simple: j'interdis tout, et j'autorise au cas par cas. C'est la règle de base la plus sûre à suivre: n'autorisez rien qui ne vous serve pas. Les worms, trojans et compagnie seraient trop heureux de voir que vous avez laissé une porte ouverte, les immenses dégâts provoqués par msblaster et ses compères en sont la meilleure preuve.  
 
Règle 1: boucle locale  
Autoriser tout trafic avec l'adresse 127.0.0.1 (tous protocoles, tous les ports)  
http://www.nightwing.easynet.be/pi [...] opback.png  
 
Règle 2: DNS entrant  
Autoriser les communications entrantes en UDP sur ton port local 53 (port standard pour le DNS). Il est à noter que je précise ici les adresses IP des serveurs DNS de mon provider, il faudra donc spécifier les vôtres à la place.  
http://www.nightwing.easynet.be/pi [...] -local.png  
 
Règle 3: DNS sortant  
Autoriser les communications sortantes en UDP vers toute machine distante sur son port 53 (éventuellement, spécifier à nouveau les IP des serveurs DNS du provider).  
http://www.nightwing.easynet.be/pi [...] remote.png  
 
Règle 4: ping et traceroute  
l'ICMP est un protocole particulier, pas vraiment nécessaire pour une utilisation normale, mais indispensable dès qu'on aime faire des pings ou des traceroutes, soit les types 0, 3 et 11, dans les 2 sens.  
http://www.nightwing.easynet.be/pi [...] 4-icmp.png  
 
Règle 5: application internet cliente  
Je prends l'exemple très simple du navigateur, mais cela vaut aussi pour un client mail/newsgroups, un instant messenger ou un client IRC, toute application que vous voulez autoriser à aller sur le net. Notez que c'est la première fois que je spécifie une application dans le champ adéquat, ce qui est très important puisque cet exemple de règle ne concerne pas un service système mais bien une application cliente (laquelle généralement fait des connexions en TCP vers des machines distantes). Donc la règle dira: autoriser IE à communiquer vers toute adresse distante en TCP. Pas de port à préciser puisqu'un serveur web n'écoute pas forcément sur le port 80, et IE peut se connecter sur d'autres ports (serveur proxy: 1080, 8080, etc. / serveur FTP: 21 ou autre / etc.). Dans mon cas, pas de limitation du genre.  
 
http://www.nightwing.easynet.be/pi [...] rowser.png  
 
Règle 6: DHCP  
Soit le protocole qui vous permet d'avoir une adresse IP de votre provider. Ici c'est très précis: communication entrante en UDP depuis une adresse 0.0.0.0:68 vers votre port 67. Si vous avez une configuration avec IP fixe, cette règle ne vous concerne pas.  
 
http://www.nightwing.easynet.be/pi [...] client.png  
 
Règle 7: enregistrer une trace des communications non autorisées  
Cette règle-ci est facultative, elle fait ce que fait l'option "Deny Unknown" du firewall: bloquer les communications non-prévues dans vos règles. Pour ma part, il s'agit d'avoir un log complet de ce qui a été bloqué, via cette règle. J'affiche ici la règle à propos des communications entrantes, mais j'en ai une pour les communications sortantes, la différence étant que je me fous des communications sortantes bloquées (mais vous verriez que Windows aime votre connexion internet  ).  
 
http://www.nightwing.easynet.be/pi [...] ockall.png  
 
Au niveau des options de log, c'est à vous de voir, je suis un brin parano et j'aime parfois savoir ce qui passe, mais surtout ce qui ne passe pas."
 
Moi j'ai viré la règle 4, j'ai ajouté les règles pour les applications autorisées à sortir (navigateur web, messenger) sur les ports nécessaires uniquement et j'ai mis Kerio sur "Deny Unknown".
Après quand tu installes une application qui a besoin du net, tu ajoutes une ou plusieurs règle(s) et c'est bon.

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

Mais le problème c'est que j'ai la dernière verson et ca donne ca.

CA sert à quoi si tout est autorisé?
Bon, je suis vraiment idiot allez-vous me dire, mais comment établir une règle
Et autre question, quand on lcique sur "Créer une règle pour cette communcication et ne plus me demander", ca fait automatiquement une règle d'accès?

Ah ... cette version de Kerio est bien jolie mais je trouve qu'il est beaucoup moins facile de gérer les règles. Si tu utilises cette version, je ne peux pas t'aider car je ne sais pas comment elle fontionne    
 

Normalement oui.

---------------
Software is like sex, it's better when it's free (L. Torvalds)
Great CoolTeam Member
----------------
[url=http://forum.rue-montgallet.com/ruemontgallet/Aucoindelaruelle/sujet-21129.htm]La marmotte est un animal facetieux ... hein [g]Ch

En plus, c'est mes yeux où on peut pas spécifier de restriction par adresse IP?  

---------------
Hollow Cabbit of Caerbannog | Chacalapinours Légendaire | Grand Ermite en Chef  
In nomine Felis, et Insania, et Malikis Sancti Amen | Mon Blog Photo

Ca doit etre ca?

DOnc, j'ai refusé pas mal d'applicaitons, j'en ai aotorisés d'autres, mais je crois pas que je suis protégé et comme j'y connait rien...

Quand je clique sur conenction reseau (cf: image au-dessus) je peux cliquer sur "filtrage" et j'ai ca, je suppose que c'est les règles et comme j vois, j'en ai fait une mais les autres, que j'ai normalement du installer, elles ne sont pas là!
DOnc, j'ai fait une fausse manip?
Il faut que j'entre les règles que Keos à mit  sur son topic?
Désolé, le novice qui est en moi se dévoile...