Discussion :

[AoCannaille]

Bonjour,

Je cherche a bloquer 2 adresses IP en accès d'un PC windows XP a internet en général.

J'aimerais bloquer et débloquer ces IP rapidement dans un script *.bat.

Je pensais le faire directement avec le firewall de windows XP, mais à priori celui-ci ne fonctionne pas vraiment comme ceux de Linux... En effet, j'ai l'impression que pour le pare-feu windows, ce ne sont pas les IPs ou les noms de domaines qui sont bloqués, mais ce sont des applications autorisés ou non à accéder à internet...

Alors voilà, je cherche, si c'est possible, a trouver les lignes de commandes pour m'empêcher d'accéder a certaines IP (disons 127.128.129.130 et 127.128.129.131).
Si ce n'est pas possible directement grâce au pare-feu windows, connaitriez-vous un logiciel de pare feu configurable a la ligne de commande? ( et qui bloque les IP et pas les programmes )

Merci d'avance

[Viduc]

Salut!

C'est dans un environnement réseau? ou perso (domicile) ou...?

Je pense que normalement ça peut se faire avec un proxy, mais si c'est pour du perso c'est un peu lourd à mettre en place...

[AoCannaille]

Effectivement, c'est dans un cadre personnel, enfin presque, c'est pour un ami...

On a 2 servers dont on voudrais bloquer/débloquer l'accès rapidement et facilement pour que quand ce n'est pas lui sur le PC, personne de sa famille n'ai accès à ces 2 serveurs.

tu dis qu'il s'agit de proxy?
Pourtant, sous linux, il m'a bien sembler voir que c'est le parefeu qui gère ca, pour router les paquet.... c'est si lointain que ca le monde Windows?

[Viduc]

Alors oui je comprends mieu...

Il me semble que sous windows, si tu veux faire ça simplement ainsi, il te faudra tout bloquer et n'autoriser que certains port à certaines IP ... un peu comme linux au final lol...

par contre le gérer en batch ça c'est une bonne question... ça fait un moment que je voulais me pencher sur le sujet mais jamais eu le temps ...

tel quel je te dirait bien de faire un regshot et voir voir si il y a des clés modifiées lorsque tu actives ou désactives tes réglages firewall... si oui il suffirait de faire un .reg ...

Par contre il faut réfléchir à comment tu prends la main sur ton serveur (vnc ou autre), comment tu peux activer à distance ton batch etc...

Il y a aussi les modèles de sécurité à fouiller je pense (mmc). Je sais que via un domaine c'est ainsi que ça se gère.

[homeostasie]

La commande dos netsh pourrait répondre à ton besoin. Je ne l'ai jamais utilisé mais j'avais un moment l'intention de m'amuser un peu avec.
Voici un petit lien avec les commandes:
http://www.computerhope.com/netsh.htm

Tiens nous au courant de ton avancé, je serais personnellement curieux de savoir les possibilités offertes et si ca répond à ton soucis.

[Viduc]

Tiens nous au courant de ton avancé, je serais personnellement curieux de savoir les possibilités offertes et si ca répond à ton soucis.

pareil

[homeostasie]

Je n'ai pu m'empêcher de regarder un peu, je pense qu'il y a moyen que ca réponde à son besoin en jouant avec les paramètres PORT MODE et CUSTOM.
Voici ce que j'obtiens lorsque je demande l'aide dans la console pour la commande add:

C:\Homeostasie\Desktop>netsh firewall add portopening ?

add portopening
[ protocol = ] TCP|UDP|ALL
[ port = ] 1-65535
[ name = ] name
[ [ mode = ] ENABLE|DISABLE
[ scope = ] ALL|SUBNET|CUSTOM
[ addresses = ] addresses
[ profile = ] CURRENT|DOMAIN|STANDARD|ALL
[ interface = ] name ]

Adds firewall port configuration.

Parameters:

protocol - Port protocol.
TCP - Transmission Control Protocol (TCP).
UDP - User Datagram Protocol (UDP).
ALL - All protocols.

port - Port number.

name - Port name.

mode - Port mode (optional).
ENABLE - Allow through firewall (default).
DISABLE - Do not allow through firewall.

scope - Port scope (optional).
ALL - Allow all traffic through firewall (default).
SUBNET - Allow only local network (subnet) traffic through firewall.
CUSTOM - Allow only specified traffic through firewall.

addresses - Custom scope addresses (optional).

profile - Configuration profile (optional).
CURRENT - Current profile (default).
DOMAIN - Domain profile.
STANDARD - Standard profile.
ALL - All profiles.

interface - Interface name (optional).

Remarks: 'profile' and 'interface' may not be specified together.
'scope' and 'interface' may not be specified together.
'scope' must be 'CUSTOM' to specify 'addresses'.

Examples:

add portopening TCP 80 MyWebPort
add portopening UDP 500 IKE ENABLE ALL
add portopening ALL 53 DNS ENABLE CUSTOM
157.60.0.1,172.16.0.0/16,10.0.0.0/255.0.0.0,LocalSubnet
add portopening protocol = TCP port = 80 name = MyWebPort
add portopening protocol = UDP port = 500 name = IKE mode = ENABLE scope = ALL
add portopening protocol = ALL port = 53 name = DNS mode = ENABLE
scope = CUSTOM addresses =
157.60.0.1,172.16.0.0/16,10.0.0.0/255.0.0.0,LocalSubnet