Parametrage Comodo 2.4.18.184 et windows 2003 server

Bonjour,
Voila je cherche en vain a parametrer comodo sur un serveur windows server 2003
ce server est directement sur internet (pas de routeur) chez un datacenter, il est totalement isolé (pas de reseau)
en gros il est sur internet en direct. Seul contrainte pour moi, et pas la moindre, c’est que j’ai pas le droit a l’erreur cote parametrage comodo car ma seule possibilité est de le parametrer a distance (via bureau a distance) en effet si je bloque l’acces bureau a distance (port 3389) je ne pourrais me rendre sur place pour corriger avant des semaines. Tres contraignant donc !

Voici les regles que j’essayes de mettre en place :

• Bureau a distance windows => uniquement pour moi depuis 2 adresses ip (maison et bureau)
• serveur web IIS => pour tout le monde
• serveur ftp => uniquement pour moi depuis 2 adresses IP (maison et bureau)
• serveur virtuel SMTP de IIS => uniiquement pour envoyer des mails depuis les pages web (formulaire)

J’aimerais donc qu’il accepte rien d’autre que les regles precedemments citees.
(fermer tous les ports inutiles, ne pas reponse au ping, etc…) j’aimerais pouvoir le securiser correctement

z.z.z.z etant l’adresse IP du serveur en question
x.x.x.x etant ma premiere IP autorisée (ma maison)
y.y.y.y etant ma deuxieme IP autorisée (mon bureau)

Actuelllement j’ai :

[tr][td]ID[/td][td]Permission[/td][td]Protocol[/td][td]Source[/td][td]Destination[/td][td]Criteria[/td][/tr]
[tr][td]0[/td][td]Allow[/td][td]ICMP Out[/td][td]Any[/td][td]Any[/td][td]Where ICMP Message is ECHO REQUEST[/td][/tr]
[tr][td]1[/td][td]Allow[/td][td]TCP/UDP Out[/td][td]Any[/td][td]Any[/td][td]Where Source PORT is ANY and Destination PORT is any[/td][/tr]
[tr][td]2[/td][td]Allow[/td][td]ICMP In[/td][td]Any[/td][td]Any[/td][td]where ICMP message is fragmentation needed[/td][/tr]
[tr][td]3[/td][td]Allow[/td][td]ICMP In[/td][td]Any[/td][td]Any[/td][td]where ICMP message is time exceeded[/td][/tr]
[tr][td]4[/td][td]Allow[/td][td]IP Out[/td][td]Any[/td][td]Any[/td][td]where IPPROTO is GRE[/td][/tr]
[tr][td]5[/td][td]Allow[/td][td]IP In[/td][td]Any[/td][td]Any[/td][td]where IPPROTO is TCP[/td][/tr]
[tr][td]6[/td][td]Allow[/td][td]TCP In[/td][td]Any[/td][td]Any[/td][td]where source port is any and destination ports is 3389[/td][/tr]
[tr][td]7[/td][td]Allow[/td][td]TCP In[/td][td]Any[/td][td]z.z.z.z[/td][td]where source port is any and destination ports is 80[/td][/tr]
[tr][td]8[/td][td]Allow[/td][td]TCP In[/td][td]x.x.x.x[/td][td]z.z.z.z[/td][td]where source port is 21 and destination port is 21[/td][/tr]
[tr][td]9[/td][td]Allow[/td][td]TCP Out[/td][td]y.y.y.y[/td][td]z.z.z.z[/td][td]where source port is 21 and destination port is 21[/td][/tr]
[tr][td]10[/td][td]Block & Log[/td][td]IP In/Out[/td][td]Any[/td][td]Any[/td][td]where ipproto is any[/td][/tr]

Voila donc mes questions sont :

1/ puis-je virer les lignes 0, 1, 2, 3 , 4et 5 sans risque de perdre ma connexion a distance ?
et est ce que ces lignes sont primordiales ?

2/ si je laisse uniquement les autres lignes (6,7,8,9, 10) ca tourne (mes besoins)
3/ leur position est correcte ?
4/ pour le serveur virtuel IIS (port 25) est ce que si je met

[tr][td]xy[/td][td]Allow[/td][td]TCP Out[/td][td]z.z.z.z[/td][td]Any[/td][td]where source port is 25 and destination ports is any[/td][/tr]

ca marche (iis envoi les mails ?

en gros je pensais a cette configs de regles :

[tr][td]ID[/td][td]Permission[/td][td]Protocol[/td][td]Source[/td][td]Destination[/td][td]Criteria[/td][/tr]
[tr][td]0[/td][td]Allow[/td][td]TCP In[/td][td]Any[/td][td]Any[/td][td]where source port is any and destination ports is 3389[/td][/tr]
[tr][td]1[/td][td]Allow[/td][td]TCP In[/td][td]Any[/td][td]z.z.z.z[/td][td]where source port is any and destination ports is 80[/td][/tr]
[tr][td]2[/td][td]Allow[/td][td]TCP In[/td][td]x.x.x.x[/td][td]z.z.z.z[/td][td]where source port is 21 and destination port is 21[/td][/tr]
[tr][td]3[/td][td]Allow[/td][td]TCP Out[/td][td]y.y.y.y[/td][td]z.z.z.z[/td][td]where source port is 21 and destination port is 21[/td][/tr]
[tr][td]4[/td][td]Allow[/td][td]TCP Out[/td][td]z.z.z.z[/td][td]Any[/td][td]where source port is 25 and destination ports is any[/td][/tr]
[tr][td]5[/td][td]Block & Log[/td][td]IP In/Out[/td][td]Any[/td][td]Any[/td][td]where ipproto is any[/td][/tr]

cela suffit a mes besoins et bloque tout le reste ? merci de vos reponses ?

petit oubli :
donc ce que je veux c’est :

• Bureau a distance windows EN ENTREE => uniquement pour moi depuis 2 adresses ip (maison et bureau)
• serveur web IIS EN ENTREE => pour tout le monde
• serveur ftp EN ENTREE => uniquement pour moi depuis 2 adresses IP (maison et bureau)
• serveur virtuel SMTP de IIS EN SORTIE UNIQ.=> uniiquement pour envoyer des mails depuis les pages web (formulaire)

et bien sur le serveur doit pouvoir :

• effectuer les mise a jour de l’antivirus NOD32 automatiquement
• effectuer les mise a jour windows automatiquement

merci

Je donne mon avis, sans garantie:
Je garderais les anciennes règles n°2 et 3
Dans les nouvelles, la n°0 permet l’accès depuis n’importe où, mais je suppose qu’il y a un filtrage ensuite (MdP par exemple)
n°1 ok
n°2: Allow TCP In x.x.x.x z.z.z.z where source port is any and destination port is 21
n°3: Allow TCP In y.y.y.y z.z.z.z where source port is any and destination port is 21
n°4: Allow TCP Out z.z.z.z Any where source port is any and destination port is 25 (mais je pense qu’il serait préférable d’utiliser les règles d’applications)
n°5: Ancienne n°2
n°6: Ancienne n°3
Block & Log IP In/Out Any Any where ipproto is any