Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Réglage pare-feu avec LoopBack 127.0.0.1

7 réponses
Avatar
Laurent Jumet
Hello !

Si vous avez un fichier Hosts redirigeant les SpamURL vers 127.0.0.1,
comment réglez-vous votre pare-feu pour cette adresse?

Autorisation pour tous d'aller sur 127.0.0.1 ?
ou
Interdiction pour tous d'aller sur 127.0.0.1 ?


Les deux fonctionnent; pour l'instant j'ai la première règle.
Une différence existe sans doute en termes de rapidité: soit qu'il soit
plus rapide qu'une application s'entende dire "niet"; soit qu'au contraire
elle insiste et perd du temps si on lui dit "niet", tandis qu'elle se
satisfait au contraire tout de suite du leurre.

Je pas savoir si clair je avoir été. :-)

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

7 réponses

Avatar
Claude LaFrenière [climenole]
Le 16 juillet 2004

Bonjour Laurent Jumet

dans le msg<news:



Si vous avez un fichier Hosts redirigeant les SpamURL vers 127.0.0.1,
comment réglez-vous votre pare-feu pour cette adresse?

Autorisation pour tous d'aller sur 127.0.0.1 ?
ou
Interdiction pour tous d'aller sur 127.0.0.1 ?


*Ni l'un ni l'autre.*

127.0.0.1 correspond à votre PC ...

Dans le fichier HOSTS il doit y avoir obligatoirement une ligne
127.0.0.1 localhost

Cette ligne fait l'association entre cette adresse IP et le nom localhost.

Pour ce qui est des autres entrées dans HOSTS voici comment cela se passe:

Quand vous utilisez votre navigateur pour accéder à un site quelconque,
vous entrez la barre d'adresse quelque chose comme :
www.un-site-quelconque.ext

Ce nom est l'URL et doit être associée à l'adresse IP qui lui correspond.
Remarque : il est tout à fait possible (mais pas pratique) d'entrer
l'adresse IP au lieu de l'URL dans la barre d'adresse du navigateur...

A ce moment-là le navigateur vérifie la liste HOSTS ,
si l'Adresse IP du site et son URL s'y trouve
alors le navigateur vous permet l'accès au site,

si l'adresse 127.0.0.1 et l'URL du site s'y trouve
alors votre navigateur est redirigé vers votre PC
ET
l'accès à ce site est impossible

Si l'adress IP du site n'est pas listée dans le fichier HOSTS
alors votre système lance une requête DNS (Domain Name Server)
vers le serveur DNS de votre FAI (en UDP port 53) et traduit
l'URL demandée en adress IP et permet l'accès au site.

Les règles du Pare-Feu s'appliquent uniquement dans ce dernier cas
parce qu'il y a communication entre le PC et Internet,
dans le cas présent, entre votre PC et le serveur DNS de votre FAI...
I.E autoriser tout programme port distant 53 , protocole UDP ...

Il est possible par contre de bloquer tout accès à des adresse IP
de sites à problèmes au moyen de règles du Pare-feu mais c'est peu
pratique à moins que votre PF ait un module spécifique pour ce genre de
filtrage.(C'est le cas , je crois , d'Outpost FW).

Dernière remarque : le fichier HOSTS ne protège votre PC qu'en empêchant
la connection vers des sites à problèmes ou vers des sites tels que des
compteurs ou des trackers : ces derniers utilisent des fonctions de
redirections du site auquel vous accédez.

Pour ce qui est du Spam ou pollupostage c'est une toute autre question.
Le filtrage ne se fait pas ainsi et utilise dans les meilleurs cas des
listes noires publiques : si le corriel reçu est en provenence d'un tel
site , celui-ci est marqué comme **SPAM** (possible)...

Amicalement.

--
[Tenez le forum au courant/suivi sur le même fil de discussion s.v.p.]

Claude LaFrenière 2004-07-16 11:08:11 HAE GMT -05:00
Courriel http://cerbermail.com/?FslokTsjQ7
PGP ID http://pgpkeys.mit.edu:11371 0xC3C0E2C2

Avatar
Claude LaFrenière [climenole]
Le 16 juillet 2004

Re Bonjour

Remarques supplémentaires : la règle de bouclage du pare-feu.

La plupart des applications ont besoin de boucler pour fonctionner
correctement.
La règle (qui n'a rien à voir avec le fichier HOSTS) est la suivante :

Bouclage des Applications
Protocoles : UDP/TCP
Ports locaux : tous
Adresse : 127.0.0.1
Ports distants : tous
Programmes : tous

Remarques :

1)
Il est possible mais pas pratique (ni performant) d'établir un règle de
bouclage pour chaque application (testé sur une longue période avec Kerio
2.1.5).

2)
La position relative de la règle est parfois l'objet de contreverses ...
La plupart du temps celle-ci se place après les règles
d'autorisations/interdictions "Système"
et
les règles relatives aux applications

Amicalement.

--
[Tenez le forum au courant/suivi sur le même fil de discussion s.v.p.]

Claude LaFrenière 2004-07-16 11:32:07 HAE GMT -05:00
Courriel http://cerbermail.com/?FslokTsjQ7
PGP ID http://pgpkeys.mit.edu:11371 0xC3C0E2C2
Avatar
Laurent Jumet
Hello !

"Claude LaFrenière [climenole]" <"Claude_LaFreni?re"@gulliver.org> wrote:

Cc> 127.0.0.1 correspond à votre PC ...

Exact.

Cc> Si l'adress IP du site n'est pas listée dans le fichier HOSTS
Cc> alors votre système lance une requête DNS (Domain Name Server)
Cc> vers le serveur DNS de votre FAI (en UDP port 53) et traduit
Cc> l'URL demandée en adress IP et permet l'accès au site.

Cc> Les règles du Pare-Feu s'appliquent uniquement dans ce dernier cas
Cc> parce qu'il y a communication entre le PC et Internet,
Cc> dans le cas présent, entre votre PC et le serveur DNS de votre FAI...
Cc> I.E autoriser tout programme port distant 53 , protocole UDP ...

Non. Kerio monitorise aussi tout ce qui est local.
Le 127.0.0.1 doit faire l'objet lui aussi d'une permission ou
interdiction; il sera traité comme tout autre URL, nonobstant le fait qu'il
soit dans le cache de Hosts.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Avatar
Claude LaFrenière [climenole]
Le 16 juillet 2004

Bonjour Laurent Jumet

dans le msg<news:



Non. Kerio monitorise aussi tout ce qui est local.


Plus précisément Kerio vérifie et conserve le checksum des applications
lancées soit comme applications locales soit comme applications internet.

Le 127.0.0.1 doit faire l'objet lui aussi d'une permission ou
interdiction; il sera traité comme tout autre URL, nonobstant le fait qu'il
soit dans le cache de Hosts.


Kerio autorise ou non des applications à accéder à internet selon les
critères que vous lui donnez ...
A quoi pourrait bien servir une règle qui autoriserait l'accès ou non à
127.0.0.1 à part la règle de bouclage des applications ?
Voulez-vous bloquer l'accès à votre Pc via le PF ?
Que cherchez-vous à faire au juste ? Éclairez ma lanterne s.v.p.

Amicalement.

--
[Tenez le forum au courant/suivi sur le même fil de discussion s.v.p.]

Claude LaFrenière 2004-07-16 13:23:31 HAE GMT -05:00
Courriel http://cerbermail.com/?FslokTsjQ7
PGP ID http://pgpkeys.mit.edu:11371 0xC3C0E2C2

Avatar
Laurent Jumet
Hello !

"Claude LaFrenière [climenole]" <"Claude_LaFreni?re"@gulliver.org> wrote:

Cc> Kerio autorise ou non des applications à accéder à internet selon les
Cc> critères que vous lui donnez ...
Cc> A quoi pourrait bien servir une règle qui autoriserait l'accès ou non à
Cc> 127.0.0.1 à part la règle de bouclage des applications ?
Cc> Voulez-vous bloquer l'accès à votre Pc via le PF ?
Cc> Que cherchez-vous à faire au juste ? Éclairez ma lanterne s.v.p.

Quand il est en "Deny unknown", Kerio interdit tout ce qui n'est pas
expressément autorisé.
Donc, j'ai le choix de soit autoriser 127.0.0.1 explicitement, soit de
le laisser être refusé à tous coups.
La question est que les programmes reroutés sur le Fake auront (ou
peuvent avoir) une conduite différente selon qu'ils ont eu l'impression
d'accéder à leur URL, ou bien que celui-ci leur a été refusé; dans ce
dernier cas, certains peuvent réessayer, ralentissant ainsi le système.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Avatar
JacK [MVP]
sur les news:
Laurent Jumet signalait:
Hello !

"Claude LaFrenière [climenole]" <"Claude_LaFreni?re"@gulliver.org>
wrote:

Cc> Kerio autorise ou non des applications à accéder à internet selon
les Cc> critères que vous lui donnez ...
Cc> A quoi pourrait bien servir une règle qui autoriserait l'accès ou
non à Cc> 127.0.0.1 à part la règle de bouclage des applications ?
Cc> Voulez-vous bloquer l'accès à votre Pc via le PF ?
Cc> Que cherchez-vous à faire au juste ? Éclairez ma lanterne s.v.p.

Quand il est en "Deny unknown", Kerio interdit tout ce qui n'est
pas expressément autorisé.
Donc, j'ai le choix de soit autoriser 127.0.0.1 explicitement,
soit de le laisser être refusé à tous coups.
La question est que les programmes reroutés sur le Fake auront (ou
peuvent avoir) une conduite différente selon qu'ils ont eu
l'impression d'accéder à leur URL, ou bien que celui-ci leur a été
refusé; dans ce dernier cas, certains peuvent réessayer, ralentissant
ainsi le système.


Comme, déjà signalé, il y a une règle codée en dur qui autorise le loopback
: que tu mettes la règle refuser n'empechera nullement le loopback.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

Avatar
Claude LaFrenière [climenole]
Le 16 juillet 2004

Bonjour Laurent Jumet

dans le msg<news:



Quand il est en "Deny unknown", Kerio interdit tout ce qui n'est pas
expressément autorisé.
La ou les règles de verrouilage placées à la fin de la liste des règles oui

mais rien à voir avec 127.0.0.1 .

Donc, j'ai le choix de soit autoriser 127.0.0.1 explicitement, soit de
le laisser être refusé à tous coups.
Mais vous n'avez pas à faire cela !!!

8-(

La question est que les programmes reroutés sur le Fake auront (ou
peuvent avoir) une conduite différente selon qu'ils ont eu l'impression
d'accéder à leur URL, ou bien que celui-ci leur a été refusé; dans ce
dernier cas, certains peuvent réessayer, ralentissant ainsi le système.


OK. Supposont qu'un programme qui accès habituellement à internet , mettons
à une adresse IP 123.456.78.9 est redirigée par une règle du FW vers
127.0.0.1.
Alors ? L'application plante ou au mieux ne marche pas ou alors n'a pas
besoin de boucler... (ce qui revient à dire que la règle est au moins
inutile)

Si vous voulez interdire à un programme d'accéder au net il vous faut
d'abord oublier cette histoire de 127.0.0.1 !

Par exemple :
Règle pour interdire à Rundll32.exe d'avoir accès au Web,
vous choisissez "Deny" ET toute adresses , pas 127.0.0.1 !
Si vous indiquez 127.0.0.1 l'application ne bouclera pas mais aura accès
quand même au net !!!

De plus il me semble que vous confondez tout ceci avec la ou les règles de
verrouillage du PF.

Pour résumer :

1) K interprète chaque règle séquentiellement en commençant par celle
en début de liste et suivant cette séquence.

2) Dès que K trouve une règle qui correspond , i.e. qui est vraie
alors K applique la règle et termine sa vérification.

3) Chaque règle est un ensemble de critères qui forment
une conjonction continue i.e. qui est interprétée
comme une proposition universelle :
Si TOUS les critères sont vrais
alors la règle est appliquée
Sinon vérification de la prochaine règle...

4) Les critères sont les suivants :
- le checksum
- règle active (cochée)
- Protocole(s)
- Direction(s) (in ou out ou in+out)
- adresse(s) IP (toutes ou unique ou liste ou gamme ou masque)
- port(s) loca(l/aux)
- port(s) distant(s)(ou de destination(s) ...qui peut être 127.0.0.1 )
- chemin complet du programme

5) La séquences des règles est interprétée comme une
disjonction exclusive continue (un XOR continu)
Ce qui revient à dire :
Pour toutes règles x , si x est vrai alors
Il existe une et une seule règle x , où x est vrai.

C'est ce qui explique l'importance de la (ou des) règle(s) finale(s)
de verrouillage pour filtrer tout ce qui n'a pas été expressément réglé
avec les règles précédentes.

Avec une règle de verrouillage i.e. la *dernière de la liste*(la règle "999"):

Règle activée(cochée):
Protocoles = tous
Directions = in + out
Adresses = toutes
ports locaux et distants = tous
programmes = tous

Avec 2 règles de verrouillage :Plus pratique pour le "mode apprentissage";
la règle "999b" pouvant être temporairement désactivée...

Même que la règle "999" indiquée ci-haut sauf qu'il y en a une
("999a") pour le «in» et une autre (la "999b") pour le «out».

Remarque : on peut indiquer comme protocoles UDP/TCP plutôt que "tous"
mais je préfère ce verrouillage plus strict.

En conséquence si vous établissez une règle interdisant à un programme X
d'accéder à l'adresse 127.0.0.1 vous lui interdisez de boucler et rien
d'autre.De plus si cette règle est placée après la règle générale de
bouclage des applications c'est celle-ci qui sera appliquée et l'autre
jamais.Une règle interdisant à une application de boucler est
en conséquence inutile.

QVOD ERAT DEMONSTRATVM

Amicalement.

--
[Tenez le forum au courant/suivi sur le même fil de discussion s.v.p.]

Claude LaFrenière 2004-07-16 15:19:23 HAE GMT -05:00
Courriel http://cerbermail.com/?FslokTsjQ7
PGP ID http://pgpkeys.mit.edu:11371 0xC3C0E2C2