2011/1/25 Rémi Bouhl <[email protected]>:
> Bonjour,
>
> Le 25/01/11, Stephane Bortzmeyer<[email protected]> a écrit :
> [..]
>> Parfois, on est content de ce barrage (qui empêche les méchants
>> barbares de se connecter à notre innocente imprimante, qui n'est
>> probablement pas configurée de manière très sûre, avec son mot de passe
>> d'usine jamais changé), parfois on le regrette (quand le transfert de
>> fichiers en pair-à-pair échoue ou bien quand un coup de téléphone SIP
>> s'établit mais que la voix ne passe pas). Ce filtrage de fait peut en
>> effet frapper aussi bien les applications légitimes que les autres.
> [..]
>
> Est-ce qu'on ne peut pas faire un bon compromis en ayant la
> configuration suivante, par défaut, en IPv6:
> - les ports en dessous de 1024 sont filtrés,
> - les ports au dessus de 1024 ne le sont pas?
>
> Les premiers sont des ports système, standardisés, sur lesquels
> écoutent des services que les Michu ne veulent pas laisser traîner sur
> Internet par défaut.
>
> Les seconds sont des ports utilisateur qu'une application de SIP ou de
> transfert de fichier en P2P peut utiliser "à la volée" sans avoir
> besoin des droits administrateurs sur la machine. Donc, sans
> normalement devoir demander une administration du CPE.
>
> Là tout de suite, je ne vois pas en quoi un ordinateur est menacé s'il
> est joignable sur les ports > 1024.
>
Ce point me fait réagir presque par reflexe.
Un ordinateur est menacé si il est joignable, le numéro de port
n'indique plus vraiment la 'taille' de la menace, surtout quand le but
n'est pas de 'rooter' la machine mais de l'ajouter dans un botnet.
et en faire un relai de spam, une source de ddos, un proxy anonymisant.
Pas besoin de port en écoute inférieur à 1024, pas besoin de droits
administrateurs.
Pour le reste, je ne sais pas quelle solution est préférable pour
Mme Michu, mais de plus en plus d'applications supporte l'UPnP
pour les regles de routage nat (eMule, BitTorrent, Windows
Live Messenger, entre autres). Si une application peut
déclarer une regle de nat entrante, le routeur peut
surement aussi autoriser une regle qui ouvre un port vers
l'ip de la machine qui demande ...
--
Thomas SAMSON
Technological progress has merely provided us with more
efficient means for going backwards.
-- Aldous Huxley
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
