Discussion :

[torrgovin]

Bonjour à tous,

J'ai un problème étrange sur mon parc informatique.

J'ai besoin d'ouvrir le port 444 pour accéder à une URL, exemple : abcd.efgh.com:444

Depuis mon poste, ça fonctionne, mais depuis tous les autres potes, ça ne fonctionne pas et je n'arrive pas à trouver le pourquoi du comment...

Voici le screen depuis mon poste


Voici le screen du test depuis un autre poste


Et voici la ligne que j'ai rajouté sur mon pare-feu.


Merci d'avance pour votre aide précieuse.

[becket]

Salut,

Si tu ne mets pas l'en-tête de colonnes, j'imagine que l'on doit envisager tous les cas de figure ...

C'est probablemement que ton pc à l'autorisation via un any qq chose

Faut valider avec une capture de packets

[torrgovin]

Salut Becket,

Merci beaucoup pour ta réponse.

Que veux-tu dire par : Je n'ai pas mis l'en-tête de colonnes ? Tu parles du fait que j'ai caché certaines infos ?

En effet, je pensais avoir un any quelque part sur le firewall (fortigate), mais à priori, rien...
J'ai constaté également que ça fonctionnait sur le poste d'un autre collègue mais pas pour les autres.
Donc on est 2 pour lesquels ça fonctionne, mais j'ignore pourquoi.

Une capture de paquet via Wireshark par exemple ?

Saurais-tu me guider ?

Merci beaucoup.

[binarygirl]

On ne connaît pas votre infrastructure réseau... est-ce que tous les PC transitent par le firewall pour accéder à Internet ? Possible que non, peut-être que certaines machines ont un accès direct ou une autre route, et un simple traceroute vers l'adresse IP en question pourrait le confirmer ou l'infirmer.

Le firewall sert surtout à filtrer le trafic entrant. Les règles au niveau du trafic sortant (puisque c'est de ça qu'il est question ici) sont généralement beaucoup plus permissives. Donc je doute un peu que le Fortigate vous empêche de joindre une adresse quelconque sur ce port 444 mais bon on ne sait jamais, c'est peut-être ultra-verrouillé chez vous (si vous travaillez dans la société à 4 lettres à laquelle je pense, ça peut se comprendre).

Concernant l'URL en question, je ne sais pas si c'est un serveur que vous contrôlez, mais il a normalement son propre firewall et donc ses propres règles. S'il expose le port 444, ce n'est pas forcément pour tout le monde.

Et au fait, vous avez peut-être plusieurs interfaces réseau sur votre machine, donc il peut y avoir plusieurs routes disponibles avec des métriques différentes.

[torrgovin]

On ne connaît pas votre infrastructure réseau... est-ce que tous les PC transitent par le firewall pour accéder à Internet ? Possible que non, peut-être que certaines machines ont un accès direct ou une autre route, et un simple traceroute vers l'adresse IP en question pourrait le confirmer ou l'infirmer.

Le firewall sert surtout à filtrer le trafic entrant. Les règles au niveau du trafic sortant (puisque c'est de ça qu'il est question ici) sont généralement beaucoup plus permissives. Donc je doute un peu que le Fortigate vous empêche de joindre une adresse quelconque sur ce port 444 mais bon on ne sait jamais, c'est peut-être ultra-verrouillé chez vous (si vous travaillez dans la société à 4 lettres à laquelle je pense, ça peut se comprendre).

Concernant l'URL en question, je ne sais pas si c'est un serveur que vous contrôlez, mais il a normalement son propre firewall et donc ses propres règles. S'il expose le port 444, ce n'est pas forcément pour tout le monde.

Et au fait, vous avez peut-être plusieurs interfaces réseau sur votre machine, donc il peut y avoir plusieurs routes disponibles avec des métriques différentes.

Salut Binarygirl.

En effet, je viens tout juste d'arriver en urgence dans la société donc je ne connais pas parfaitement l'infra réseau mais elle n'a rien d'hyper sécurisé, c'est juste que par reflex, je prend l'habitude de cacher certaines informations
.

1) Oui tout les postes transites par le firewall (dans les 2 tracert on voit bien le 192.90.249.243). J'ai également croisé les RJ45 entre un poste qui n'arrive pas à accéder à l'url et un autre pour lequel ça fonctionne = Même constat. Et il n'y a pas de VLAN ici, donc ça non plus.
2) L'url en question, n'est pas un serveur qu'on contrôle mais ils ont autorisé seulement notre adresse IP publique à y acceder. Cependant nous avons fait des tests en désactivant le filtrage IP, même constat.
3) Pour les interfaces réseaux, il n'y en a qu'une, en ethernet et c'est la même pour tout le monde. Pas de wifi. On passe tous par le même switch -> pare feu -> routeur opérateur -> internet.

Voici le résultat d'une traceroute depuis un poste qui arrive à joindre l'adresse en question, et un autre qui y arrive pas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
tracert cavimac.elisecloud.com

Détermination de l’itinéraire vers cavimac.elisecloud.com [80.247.14.114]
avec un maximum de 30 sauts*:

  1     *        *        *     Délai d’attente de la demande dépassé.
  2    <1 ms    <1 ms    <1 ms  192.90.249.243
  3    <1 ms    <1 ms    <1 ms  97.229.225.89.rev.sfr.net [89.225.229.97]
  4     1 ms    <1 ms    <1 ms  158.240.79.86.rev.sfr.net [86.79.240.158]
  5     3 ms     3 ms     3 ms  108.97.30.212.rev.sfr.net [212.30.97.108]
  6     3 ms     2 ms     2 ms  205.37.197.77.rev.sfr.net [77.197.37.205]
  7     3 ms     3 ms     3 ms  71.146.6.194.rev.sfr.net [194.6.146.71]
  8     3 ms     3 ms     3 ms  71.146.6.194.rev.sfr.net [194.6.146.71]
  9     6 ms     3 ms    11 ms  sfr-pni.ae8.tcr1.th2.par.core.as8218.eu [213.152.30.1]
 10     4 ms     4 ms     4 ms  et-1-0-0.tcr2.th2.par.core.as8218.eu [83.167.55.47]
 11     4 ms     3 ms     3 ms  ae24.ter4.eqx2.par.core.as8218.eu [83.167.56.193]
 12     3 ms     3 ms     3 ms  ae6.ter3.eqx2.par.core.as8218.eu [83.167.55.42]
 13    11 ms    19 ms    17 ms  ae9.aer1.th3.par.core.as8218.eu [83.167.55.248]
 14     5 ms     5 ms     5 ms  46.255.179.7
 15     *        *        *     Délai d’attente de la demande dépassé.
 16     3 ms     3 ms     3 ms  ows-80-247-14-114.cloudgouv-eu-west-1.compute.outscale.com [80.247.14.114]
 17     *        *        *     Délai d’attente de la demande dépassé.
 18     3 ms     3 ms     3 ms  ows-80-247-14-114.cloudgouv-eu-west-1.compute.outscale.com [80.247.14.114]
Itinéraire déterminé.

et celui qui ne fonctionne pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
  1     *        *        *     Délai d’attente de la demande dépassé.
  2    <1 ms    <1 ms    <1 ms  192.90.249.243
  3     1 ms    <1 ms    <1 ms  97.229.225.89.rev.sfr.net [89.225.229.97]
  4     1 ms    <1 ms    <1 ms  158.240.79.86.rev.sfr.net [86.79.240.158]
  5     4 ms     3 ms     3 ms  108.97.30.212.rev.sfr.net [212.30.97.108]
  6     4 ms     3 ms     3 ms  205.37.197.77.rev.sfr.net [77.197.37.205]
  7     4 ms     4 ms     5 ms  71.146.6.194.rev.sfr.net [194.6.146.71]
  8     3 ms     3 ms     3 ms  71.146.6.194.rev.sfr.net [194.6.146.71]
  9     3 ms     2 ms     2 ms  sfr-pni.ae8.tcr1.th2.par.core.as8218.eu [213.152.30.1]
10     5 ms     4 ms     4 ms  et-1-0-0.tcr2.th2.par.core.as8218.eu [83.167.55.47]
11     3 ms     3 ms     3 ms  ae24.ter4.eqx2.par.core.as8218.eu [83.167.56.193]
12     3 ms     5 ms     3 ms  ae6.ter3.eqx2.par.core.as8218.eu [83.167.55.42]
13    13 ms    15 ms    15 ms  ae9.aer1.th3.par.core.as8218.eu [83.167.55.248]
14     5 ms     5 ms     5 ms  46.255.179.7
15     *        *        *     Délai d’attente de la demande dépassé.
16     3 ms     3 ms     3 ms  ows-80-247-14-114.cloudgouv-eu-west-1.compute.outscale.com [80.247.14.114]
17     *        *        *     Délai d’attente de la demande dépassé.
18     3 ms     3 ms     3 ms  ows-80-247-14-114.cloudgouv-eu-west-1.compute.outscale.com [80.247.14.114]

Les 2 tracert sont identique, c'est le port 444 qui bloque, l'adresse et l'ip, sans le port 444 sont joignables.

Merci

[torrgovin]

Problème résolu.

Il fallait passer la nouvelle règle que je venais de créer sur le pare-feu qui laisse passer le port 444 au dessus de la règle par défaut qui rejette tout.

J'ai suivi les instructions de ce forum officiel fortinet pour régler le problème : https://community.fortinet.com/t5/Su...ked/m-p/261181

Merci à tous ceux qui m'ont répondus !!!

[binarygirl]

Évidemment, dans un firewall les règles sont évaluées dans l'ordre. L'ordre des directives est donc critique.
Mais ça n'explique pas pourquoi ça fonctionnait sur une machine et pas les autres. Vous devriez continuer à réfléchir sur le problème à mon avis.

A défaut de voir l'ensemble de la configuration on ne peut pas garantir que vous n'avez pas ouvert la boîte aux quatre vents.
Bon au moins la directive deny all est à la fin, donc tout ce qui n'est pas permis devrait être rejeté... normalement.

[torrgovin]

Évidemment, dans un firewall les règles sont évaluées dans l'ordre. L'ordre des directives est donc critique.
Mais ça n'explique pas pourquoi ça fonctionnait sur une machine et pas les autres. Vous devriez continuer à réfléchir sur le problème à mon avis.

A défaut de voir l'ensemble de la configuration on ne peut pas garantir que vous n'avez pas ouvert la boîte aux quatre vents.
Bon au moins la directive deny all est à la fin, donc tout ce qui n'est pas permis devrait être rejeté... normalement.

Re,

Ca fonctionnait sur ma machine car elle était dans un groupe, qui lui même était autorisé à communiquer sur le port 444, dans une règle qui était avant la Deny All.

J'ai justement fait attention à ne pas ouvrir tout et n'importe quoi.
J'avais simplement oublié que l'ordre des règles était primordial sur un firewall

Merci !!