Comodo configuration & petite question

Bonjour à tous,
En regardant les logs de comodo je viens “d’observer” quelque chose qui me pose des interrogations…
Je suis derrière un routeur qui n’accepte pas la réponse “ping” j’ai vérifié(icmp et la machine en locale ne répond pas non plus à la commande ping), par contre dans comodo j’ai pas mal d’adresses ip ou je vois “Blocked ICMP xxx.xxx.xxx.xxx Code(3)” vers mon ip locale pour port de destination code(3).
Est ce normal ? ? Car je comprends pas trop ce type d’alerte…
Si on peut “m’éclaircir” un peu à ce sujet svp :), car je n’avais auparavant jamais remarqué ce “type d’alerte sur mon ancienne solution pare-feu”.

J’ai fait un petit tour à ICMP — Wikipédia … ents_types
Pour les règles qui sont actuellement en place j’ai suivi plus ou moins ce tuto :
Comodo Firewall Pro 3 - Comodo - InfoMars.fr

Et donc dans Firewall > Stealth Ports Wizard j’ai coché Block all incoming connections - stealth my ports to everyone.
Cela a pour “conséquence” de créer les “global rules” suivantes :

800×600 125 KB

[b]Configurer votre pare-feu pour World of Warcraft et le Blizzard Downloader[/b] Un pare-feu logiciel est une application installée sur l'ordinateur ou fournie par le système d'exploitation qui bloque de manière dynamique la communication entre l'ordinateur et Internet. Le Blizzard Downloader nécessite que les ports 3724 (protocoles TCP et UDP) et 6112 (protocole TCP) soient ouverts. Il fonctionne encore mieux si les ports 6881 à 6999 (protocole TCP) sont également ouverts.

J’ai fait les manipulations suivantes :

Firewall → Advanced → Predifined Firewall Policies et select Add

J’ai donné un nom à la nouvelle Predifined Policy for example: Blizzard Downloader
Puis ajouté les règles suivantes :

Règle 1
Action = Allow
Protocol = TCP or UDP
Direction = In
Description = Blizzard incoming TCP and UDP connections
Source Address = Any
Destination Address = Any
Source port = Any *
Destination port = 3724

Règle 2
Action = Allow
Protocol = TCP or UDP
Direction = Out
Description = Blizzard outgoing TCP and UDP connections
Source Address = Any
Destination Address = Any
Source port = 3724
Destination port = Any *

Règle 3
Action = Allow
Protocol = TCP
Direction = In
Description = Blizzard incoming TCP
Source Address = Any
Destination Address = Any
Source port = Any *
Destination port = 6112

Règle 4
Action = Allow
Protocol = TCP
Direction = Out
Description = Blizzard outgoing TCP connections
Source Address = Any
Destination Address = Any
Source port = 6112
Destination port = Any *

Règle 5
Action = Allow
Protocol = TCP
Direction = In
Description = Blizzard incoming TCP port range
Source Address = Any
Destination Address = Any
Source port = Any *
Destination port = 6881-6999

Règle 6
Action = Allow
Protocol = TCP
Direction = Out
Description = Blizzard outgoing TCP port range
Source Address = Any
Destination Address = Any
Source port = 6881-6999
Destination port = Any *

Cela devrait normalement fonctionner ?

Pour l’histoire des étoiles je me demande si c’est pas possible de mettre le même port que celui de destination ou d’entrée nop ?

Merci pour votre aide !

Mon humble avis (en attendant mieux, j’espère car je ne suis pas joueur sur PC)
Le message ICMP type 3, code 3 (destination port unreachable) indique que le port en question n’est pas accessible. Ce message est bloqué et logué puisque les seuls messages que ton comodo a autorisé sont type 3 code 4 et type 11. je pense que l’autoriser ne servirait à rien. Si les ports en question sont ceux utilisés par ton downloader, je pense que le problème se situe au niveau de ton modem-routeur qui les bloque. Il faut les ouvrir dans la section NAT de ton routeur (cas classique du P2P)
En espérant avoir été utile

Bonjour,

ce n’est le bon mode pour vous car comme je vois dans l’image, vous utilisez les logiciels p2p et votre jeux qui agissent comme un server.
a mon avis, il faut choisir “Alert me to incoming connetions” comme ça il vous suffiras d’accepter l’alerte donné par CFP une fois vous lencez votre jeux ou Soft p2p.vous n’aurai pas besoin de crée une règle automatiquement.

Bonjour,
Oki bop pour l’interprétation du message mais sinon nop sur mon routeur NAT est op :)(la redirection des ports en question j’ai fait un test).

Je vais tester votre manipulation Symbian, j’avais choisi ce mode car j’avais lu (cf tuto premier post) :

Autre modification importante : par défaut, CFP laisse ouvert certains ports et ne masque pas certains autres. Il est donc nécessaire de verrouiller tout cela.

Je vais donc changer de mode “Alert me to incoming connections” qui me préviendra via une alerte et créera la règle appropriée lui même c’est bien ça ?

Au cas ou “ma règle” vous semble correcte sinon ?

Merci encore

Bonjour :),

Merci encore de l’aide tout fonctionne à merveille mais je souhaiterai avoir un petit éclaircissement sur l’option Stealth Ports Wizard entre :
Alert me to incoming connections - stealth my ports on a per-case basis
Block All incoming connections - stealth my ports to everyone

D’un point de vue visibilité des ports open/closed/stealth c’est exactement la même chose ou dans la première option, un port définie pour une application “X” restera tout le temps closed quand celui-ci n’est pas utilisé où sera t-il stealth (ce qui est mieux) ? Et s’ouvrira juste pour l’utilisation.

exemple : Si je devais faire un nmap (avec les 2 options tour à tour) avec aucune application nécessitant l’ouverture des ports aurais-je “all ports in the host are stealth” ? ou certains closed :-?
Pour la première option je sous entends, vu que la 2ème je connais déjà la réponse.

Merci pour cet éclaircissement !
bonne journée !

Le port sera open pour l"adresse (les adresses) autorisées, stealth pour les autres en attendant que tu ais répondu à la nouvelle question et toujours stealth pour les adresses que tu auras refusé avec mémorisation de la règle.
(on a per-case basis)

Bonjour Bop :),

Merci pour ta réponse !
Donc si j’ai bien compris on va prendre l’exemple assez “simple” d’un logiciel basé sur le P2P quand tu as une demande de connexion IN et tu autorises donc les requêtes entrantes (en gros) car ip par ip ca va être du spam intensif ^^.
Pareil si tu héberges temporairement un serveur WEB (donc port 80), autoriser x ou x ip c’est “impossible” donc c’est plutôt autorisé le traffic rentrant sur ce port.

Donc ma question est la suivante le firewall en permanence le port X ouvert même si l’appli ou autre n’est pas lancé ?
Si oui c’est pas très secure si ? normalement me semblait que les ports inutilisés sur certaines solutions passaient automatique en “invisible”

Merci encore de ton aide/éclaircissement !
Bonne journée

Effectivement.
Dans ce cas, il faut ouvrir le port en entrée pour l’application concernée seulement dans applications rules et utiliser l’option “Alert me to incoming connections - stealth my ports on a per-case basis” dans Stealth Ports Wizard
Normalement, ça devrait fonctionner: Les connections au serveur suivraient la règle donc passeraient. Les autres entraineraient l’alerte, le port étant stealth tant que pas (ou pas encore) autorisé.
Le problème est qu’on ne peut pas créer une règle globale bloquant tout, car, d’après l’aide, les règles globales sont lues avant les autres pour les connexions entrantes.
Si quelqu’un voit une erreur de raisonnement, corriger.(Pas taper…) ;D

Bonjour,
comme j’ai déjà dit, l’option “Alert me to incoming connections” est la meilleur si vous hébergez un serveur web ou si vous utilisez un logiciel p2p.quand vous autorisez votre serveur web d’accepter les connexions entrantes sur le port 80, le port seras ouvert uniquement quand votre serveur web seras ouvert.en plus que ça, même les autres applications ne seront pas autoriser a utiliser le port 80 seulement si vous les autoriser aussi.

Bonjour !

Héhé merci de vos réponses à tous les 2

Oui oui je sais symbian (pour l’option à choisir pas de soucis à ce niveau là je suis très content de comodo (L)) mais j’ai peut être “mal formulé” la question, si on prend l’exemple d’un serveur web donc traffic entrant sur le 80 par une application définie (on est d’accord).
Comme tu as dit les autres applications mais ne peuvent pas se connecter dessus et le port est ouvert seulement le serveur est lancé mais ma question est qu’en est-il de la visibilité du port quand l’application X n’est pas en fonctionnement ?
Closed ou il passe en Steatlh ?
Car un port apparaissant comme Fermé = “danger” dans un sens ?

Voilà merci encore de votre patience, gentillesse, bonne journée à vous.

Il est bien stealth. Tu peux d"ailleurs le vérifier sur un site comme grc avec shieldsup:
https://www.grc.com/x/ne.dll?bh0bkyd2
(ce site est mondialement réputé pour être sain)
Quand tu fais ce genre de test, attention aux réglages de ton routeur. Si tu veux tester des réglages du firewall d’un ordi, il faut créer provisoirement une DMZ vers cet ordi, sinon ce sont les ports du routeur qui sont testés. (Tu le savais surement, mais c’est bon de le rappeler, car ceux qui lisent le forum ne le savent peut être pas tous).
Je pense (mais ne suis pas sur) que pour un test de config (ordi +routeur) en réel les réglages du NAT rendent les ports concernés du routeur transparents.(à vérifier)

il passe en Steatlh

C’est parfait après un test nmap via une autre machine.
Oui je connaissais le site de Shieldsup merci bob
Il y aussi http://nmap-online.com/ pour ceux qui l’ont pas sur leur poste, pour faire un scan “global”(custom) :
-p1-5000 -T4 -sS xxx.xxx.xxx.xxx -P0

Merci pour l’aide & toutes ces confirmations.
Bonne soirée !

Merci aussi à toi. Les bonnes questions et remarques font progresser tout le monde :-TU