Ouverture d'un port ...

gaffeur · Le 07/04/2021, à 15:58

Salut les gens !

Je me posais la question suivante :

Est-il possible d'ouvrir un port quelconque (donc, éditer une règle de par-feu pour ufw) pour un service (logiciel) en particulier ? Et, est-il possible de provoquer l'ouverture automatique d'un port, lors du démarrage d'un logiciel et en provoquer le blocage, lors de la fermeture du même logiciel ? ...

Zakhar · Le 07/04/2021, à 16:03

Si ton service a prévu l'UPnP pour fonctionner sur une machine en NAT, tu as une petite chance, parce que c'est ce que fait UPnP vis à vis du routeur NAT pour que des ports soient "forwardés" à la volée.

Sinon, il faut rajouter l'ouverture/fermeture dans les scripts de lancement du service.

Mais en pratique, tu peux simplement ouvrir les ports du service en question dans ton firewall, tant qu'aucun service écoutant ces ports n'est lancé, les paquets entrants iront à la poubelle puisque personne n'en fait rien...

Dernière modification par Zakhar (Le 07/04/2021, à 16:06)

bruno · Le 07/04/2021, à 16:18

Petite précision, en l’absence de toute règle de pare-feu un port n'est « ouvert » que si un service est en écoute dessus.
Par exemple, le serveur web apache se met en écoute sur les ports 80 est 443 lorsqu'il est lancé.

gaffeur · Le 07/04/2021, à 16:35

Merci pour vos réponses ! ...

Zakhar a écrit :

Mais en pratique, tu peux simplement ouvrir les ports du service en question dans ton firewall, tant qu'aucun service écoutant ces ports n'est lancé, les paquets entrants iront à la poubelle puisque personne n'en fait rien...

Mais, alors dans ce cas, je prends un risque (d'intrusion), si ce port reste ouvert, non ?

Zakhar · Le 07/04/2021, à 17:20

gaffeur a écrit :

Mais, alors dans ce cas, je prends un risque (d'intrusion), si ce port reste ouvert, non ?

Deux réponses à cela.

S'il s'agit d'un PC derrière une box (ce que tu ne précises pas), le "risque" ne peut provenir que d'un PC local puisque ton PC est par défaut inaccessible de l'extérieur.

Deuxièmement, même depuis l'intérieur (ou si le PC n'est pas derrière une box) comme l'explique autrement Bruno, tant tu n'as pas de service sur un port, il n'y a pas de risque puisque les paquets n'iront nulle part puisque le port n'est alors pas ouvert.

La seule différence potentielle est selon si tu veux faire un "drop" ou un "reject".
Il me semble que le comportement standard d'un port sans service lancé est de faire un "drop".

C'est ce qu'il est conseillé de faire vis à vis de l'extérieur. Vis à vis des machines dans ton LAN, il est conseillé de faire un "reject" pour les informer de la différence, mais là ça nécessiterait effectivement de savoir dynamiquement si le port est servi ou pas.

Dernière modification par Zakhar (Le 07/04/2021, à 17:26)

gaffeur · Le 07/04/2021, à 19:19

Azakha a écrit :

S'il s'agit d'un PC derrière une box (ce que tu ne précises pas), le "risque" ne peut provenir que d'un PC local puisque ton PC est par défaut inaccessible de l'extérieur.

Oui, c'est le cas ; le PC se trouve derrière la Box ! Effectivement, j'ai lu qq part qu'une Box implémentait un par-feu ; donc tu confirmes ...

Donc, j'ai noté que le risque peut éventuellement exister au niveau du réseau local (maison, entreprise, asso, etc ...) Mais, pour ce qui me concerne c'est surtout ce qui provient de l'extérieur du réseau.

Dernière modification par gaffeur (Le 07/04/2021, à 19:22)

bruno · Le 07/04/2021, à 19:40

Il me semble que le comportement standard d'un port sans service lancé est de faire un "drop".

Plus exactement lorsque un paquet arrive à destination d'un port sur lequel aucun service n'est en écoute, le paquet est simplement ignoré par le noyau.
C'est pourquoi je dis régulièrement que le pare-feu est généralement inutile sur un ordinateur de bureau, voire sur un serveur. Un pare-feu a essentiellement pour rôle de filtrer les flux entre deux réseaux, l'Internet et un réseau local par exemple.

Zakhar · Le 07/04/2021, à 22:08

bruno a écrit :

Il me semble que le comportement standard d'un port sans service lancé est de faire un "drop".
Plus exactement lorsque un paquet arrive à destination d'un port sur lequel aucun service n'est en écoute, le paquet est simplement ignoré par le noyau.

Et donc c'est fonctionnellement un "drop" non ?

Il y a une différence vu de l'extérieur ?

bruno · Le 08/04/2021, à 15:14

Non, ça c'est du jargon de pare-feu et cela ne correspond pas au « DROP » d'iptables.
En l’absence de pare-feu si j'envoie un paquet TCP sur le port 30 sur lequel aucun service n'est en écoute le noyau ignore le paquet et renvoie un RST . Avec nmap le port va apparaître comme fermé (closed) :

PORT   STATE  SERVICE
30/tcp closed unknown

Si une règle iptables qui ignore le paquet (DROP) rien n'est renvoyé. Avec nmap le port va apparaître comme filtré (filtered) :

PORT   STATE    SERVICE
30/tcp filtered unknown

Avec ce résultat on est a peu près sûr que le port 30 est bloqué par un pare-feu, ce qui en soit peut être une information intéressante.
Si on veut que la réaction soit la même que sans pare-feu, et sans service en écoute sur le port 30, on va utiliser une règle iptable avec REJECT --reject-with tcp-reset : le paquet est rejeté et on renvoie un RST.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 07/04/2021, à 15:58

Ouverture d'un port ...

#2 Le 07/04/2021, à 16:03

Re : Ouverture d'un port ...

#3 Le 07/04/2021, à 16:18

Re : Ouverture d'un port ...

#4 Le 07/04/2021, à 16:35

Re : Ouverture d'un port ...

#5 Le 07/04/2021, à 17:20

Re : Ouverture d'un port ...

#6 Le 07/04/2021, à 19:19

Re : Ouverture d'un port ...

#7 Le 07/04/2021, à 19:40

Re : Ouverture d'un port ...

#8 Le 07/04/2021, à 22:08

Re : Ouverture d'un port ...

#9 Le 08/04/2021, à 15:14

Re : Ouverture d'un port ...

Pied de page des forums