none
Comment tester la sécurité des ports ouverts sur un routeur ?

    Question

  • Bonjour,

    j'ai changé le Firmware d'un Linksys WRT54G avec un DD-WRT standard afin de pouvoir filtrer par source.

    J'ai mis en place un scripts iptable dont voici un extrait sur l'ouverture des ports :

    iptables -A FORWARD -p tcp -d 192.168.0.253 --dport 25 -j ACCEPT (SMTP)
    iptables -A FORWARD -p udp -d 192.168.0.253 --dport 25 -j ACCEPT (SMTP)
    iptables -A FORWARD -p tcp -d 192.168.0.250 --dport 1723 -j ACCEPT (VPN)
    iptables -A FORWARD -p tcp -d 192.168.0.252 --dport 443 -j ACCEPT (HTTPS)
    iptables -A FORWARD -p tcp -d 192.168.0.252 --dport 110 -j ACCEPT (POP)

    Ma question est la suivante :

    Existe t'il un moyen simple afin de tester que mes ports sont bien ouverts et que mes règles fonctionnent avant de mettre en production mon routeur ?
    J'ai testé plein de logiciel comme Look@Lan mais il me dit que le port 1723 n'est pas ouvert tout comme le 443.

    Bref je sèche et j'aimerais pouvoir vérifier que tout fonctionne avant de le mettre sur mon réseau..
    D'avance merci pour votre aide.
    • Edited by Freddy ELMALEHMVP, Moderator Wednesday, April 01, 2009 10:57 AM Majuscule au titre
    • Moved by SachinW Thursday, February 04, 2010 12:48 AM Forum Consolidation (Origine :Windows Server 2003 – Sécurité)
    Wednesday, April 01, 2009 8:58 AM

Answers

All replies

  • Bonjour,

    tu aimerais tester cet accès depuis le LAN (telnet ip port (si en TCP)) ou Internet (http://www.canyouseeme.org/)?
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    Wednesday, April 01, 2009 10:27 AM
    Moderator
  • A partir de mon lan en fait.
    Du style j'aimerais vérifier que mes paquets à destination de 192.168.0.250 passe bien par le port 1723 et ne sont pas bloqués.
    Wednesday, April 01, 2009 10:47 AM
  • Tant que c'est du TCP, un "telnet ip_distante port" te donnera l'info (telnet 192.168.0.250 1723)

    Si un écran noir s'affiche alors c'est que l'accès à à priori réussi (à moins qu'un proxy se charge de renvoyer le flux, mais peu probable dans ton cas).

    Tu peux aussi également sniffer ta connexion depuis ton poste 192.168.0.250 pour voir si tu vois le trafic arriver lors du telnet; ou bien encore vérifier les logs de ton pare-feu.
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    Wednesday, April 01, 2009 11:00 AM
    Moderator
  • Ok merci!

    En gros, je branche mon routeur sur mon pc portable en local, j'ouvre un cmd et je tape des telnet ?
    Ou je fait les telnet a partir du routeur via putty ?
    Wednesday, April 01, 2009 11:20 AM
  • Tu fais les telnet depuis un poste client se trouvant sur le réseau distant.

    En gros, tu as un réseau A avec ton poste client et un réseau B avec ton port 1723 en ecoute.
    Entre les deux, tu as un routeur/firewall.

    Il faut ouvrir une cmd puis telnet depuis le poste de ton réseau A afin d'interroger le port 1723 de ton réseau B (via la commande indiquée plus haut).

    Est-ce que c'est plus clair ?


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    Wednesday, April 01, 2009 11:27 AM
    Moderator
  • Oui je crois avoir compris.
    En gros pour tester ma ligne suivante d'ouverture de ports :

    iptables -A FORWARD -p tcp -d 192.168.0.253 --dport 25 -j ACCEPT (SMTP)

    Je prends mes deux postes avec le routeur branché au milieu puis je tape mes telnet comme tu l'as expliqué plus haut.

    Merci beaucoup pour ton aide en tout cas.
    Je testerai dès que je peux.





    Wednesday, April 01, 2009 12:01 PM
  • Oui, tu as bien compris, et cela ne fonctionnera que pour les ports TCP (et non UDP)
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    Wednesday, April 01, 2009 12:11 PM
    Moderator
  • Bonsoir,

    Autre possibilité, le PortQry.EXE qui permet de tester aussi bien TCP que UDP. C'est inclus dans les Support Tools

    Cordialement,

    BenoîtS - Simple By Design
    BenoitS
    Thursday, April 02, 2009 6:16 PM