Discussion :

[ZeKiD]

Bonjour à tous,

Je sais qu'il y a beaucoup de pro sur ces forums, par conséquent je viens vers ceux qui maîtrise les firewalls.
Voilà, j'aimerais avoir à une réponse à une question que l'on s'est posé avec des collègues.

J'explique.

Soit une machine A et une machine B qui discute à travers un firewall.
Sur la machine B, on fait tourner un serveur HTTP sur le port 8080.

Est il possible que :
- depuis la machine A en exécutant la commande "telnet B 8080", cela fonctionne,
- et que l'appel depuis la machine A avec un navigateur (client HTTP) sur le port 8080 toujours, cela ne fonctionne pas ?

Si oui, pouvez vous expliquer pourquoi et sinon et bien aussi ;-)

Autrement dit : "Peut on filtrer avec un firewall en même temps sur le port et sur le programme ? "

Merci d'avance !

ZeKiD

[Neckara]

Bonjour,

Il est en effet possible de bloquer certains protocoles comme SSH par exemple.
Par contre il est assez peu fréquent de bloquer le protocole HTTP(S) sans bloquer les ports associés (80, 443, 8080, 8443).

Avez-vous essayé de récupérer une page via telnet sur le port 8080 ?
cf http://mathieu-lemoine.developpez.co...iels/web/http/

[ZeKiD]

Effectivement il est rare de bloquer le HTTP(s).
Par contre peut on bloquer le telnet sur le port 8080 mais pas le HTTP sur le même port ?
C'est plutôt dans ce sens là que je voulais poser ma question.

[Blo0d4x3]

Bloquer complétement je sais pas, il faut peut être regardé du coté des WAF si on peut faire ça.

Ou tout simplement filtrer sur le user-agent au niveau de ta page web si c'est du php/asp. (mais bon, ça peut se contourner)

[Neckara]

Bonjour,

Effectivement il est rare de bloquer le HTTP(s).
Par contre peut on bloquer le telnet sur le port 8080 mais pas le HTTP sur le même port ?
C'est plutôt dans ce sens là que je voulais poser ma question.

Si par "telnet", tu entends envoyer des trames TCP via la commande telnet, cela n'est, à mon avis, pas possible car pour bloquer "telnet", il faudrait bloquer l’émission de trames TCP.
Or HTTP se base sur TCP donc bloquer telnet bloquerait HTTP.

Après si tu parles du protocole telnet, alors oui c'est en théorie possible.

[ZeKiD]

Merci Neckara pour ta réponse.

Par contre, étant néophyte, je n'ai pas tout saisi...
Peux tu m'expliquer la différence entre le protocole "telnet" et la commande "telnet"?
L'un ne s'appuie pas sur l'autre ? Ou sinon si tu peux me renvoyer vers un lien qui explique la différence se serait sympa.

De mon côté je parle bien de l'utilisation de la commande.
En général, je m'en sers pour vérifier l'accès à des machines par exemple "telnet B 8080". Et si cela fonctionne j'en déduis que la machine sur laquelle je suis connais bien B et peut lui parler sur le port 8080.

Merci encore.

[Invité]

Salut,

Est il possible que :
- depuis la machine A en exécutant la commande "telnet B 8080", cela fonctionne,
- et que l'appel depuis la machine A avec un navigateur (client HTTP) sur le port 8080 toujours, cela ne fonctionne pas ?

Si oui, pouvez vous expliquer pourquoi et sinon et bien aussi ;-)

Autrement dit : "Peut on filtrer avec un firewall en même temps sur le port et sur le programme ? "

oui, tout à fait possible.

Le "telnet B 8080" initialise la connexion TCP (qu'on appelle le 3-Way Handshake) et vérifie effectivement que ta cible écoute sur le port TCP 8080. Le succès de la commande "telnet ip_address tcp_port" est nécessaire mais pas suffisante lorsque le tcp_port n'est pas telnet...

Une session http, c'est un chouïa plus compliqué... Après l'initialisation de la connexion TCP, une des extrémités de la connexion TCP doit probablement émettre un TCP RST. Le mieux serait de prendre une trace Wireshark, il y a des chances qu'on voit l'erreur protocolaire.


Steph