Auteur Sujet: Paramétrer les pare-feu (firewall) pour UltraVNC  (Lu 59883 fois)

Hors ligne Sparad0x

  • Administrateur
  • *****
  • Messages: 496
Paramétrer les pare-feu (firewall) pour UltraVNC
« le: 12 octobre 2006, 10:20:20 »
Ce sont des questions récurrentes: comment doit-on faire pour régler le pare-feu? Ca fonctionne en LAN, mais pas en WAN (via Internet): pourquoi?

J'ai donc décidé de m'atteler à ce petit guide des pare-feu pour UltraVNC qui sera complété au fur et à mesure que d'autres utilisateurs voudront bien me faire parvenir de nouvelles captures d'écran pour des pare-feu qu'ils utilisent et qui ne sont pas listés ici.

Dans l'ensemble des exemples ci-dessous, nous partons du principe que ce sont les ports par défaut qui sont utilisés: 5900 pour le client VNC, 5800 pour le client Java, et 5500 pour le client VNC en mode écoute (utilisé avec le module SC).

A noter: les autorisations doivent être mises en place sur le PC sur lequel est installé le module serveur, sauf lors de l'utilisation du module SC, cas dans lequel l'autorisation doit être mise en place sur le PC disposant du module client.

Le pare-feu Windows XP SP2

Présent et actif par défaut sur tous les PC sous Windows XP SP2, le pare-feu Windows est le premier obstacle que peut rencontrer l'utilisateur de UltraVNC.
Pour y accéder, il faut aller dans le "menu Démarrer" --> "Panneau de configuration" --> "Pare-feu Windows".
On obtient alors la fenêtre suivante:


La solution la plus simple consiste à désactiver carrément le pare-feu Windows, mais il s'agit également de la solution la moins prudente.

Remarque: le pare-feu est là pour vous protéger de toute intrusion éventuelle, et même s'il est basique, il n'en reste pas moins qu'il vaut mieux un pare-feu Microsoft que pas de pare-feu du tout. Cette remarque est particulièrement vraie lorsque vous disposez d'une connexion directe à Internet, sans passer par un modem-routeur généralement doté d'un pare-feu matériel.

L'autre solution, moins radicale et plus "sûre", consiste à créer une règle d'autorisation pour les ports OU les applications concernées (inutile d'autoriser à la fois les applications et les ports).

Remarque: lors de la création de ces exceptions, leur application est immédiate; il n'est pas nécessaire de redémarrer l'ordinateur.

Autoriser les Applications VNC

Pour autoriser une application, il faut cliquer sur l'onglet "Exceptions", puis sur "Ajouter un programme".
Il ne reste plus alors qu'à créer une exception sur winvnc.exe sur le PC serveur, et une autre sur vncviewer.exe sur le PC client.

L'avantage de cette solution est que si, pour une raison quelconque, vous décidez de changer de port, l'exceptions sera toujours valable puisqu'elle porte sur une application et non sur un port.

Remarque: sur un pare-feu au sens premier du terme, le contrôle n'est effectué que sur les connexions entrantes. C'est la raison pour laquelle il n'est pas nécessaire de créer d'exception lorsque le PC Serveur ne fait qu'exécuter un module SC (qui, lui, va établir une connexion sortante).

Autoriser les Ports VNC

Pour autoriser un port, il faut cliquer sur l'onglet "Exceptions", puis sur "Ajouter un port".
Il ne reste plus alors qu'à créer une exception sur le port TCP 5900, une autre sur le port TCP 5800, et enfin une dernière sur le port TCP 5500.


Remarque: inutile de réduire le niveau de sécurité de votre ordinateur pour rien: si vous ne prévoyez pas d'utiliser le Client VNC en mode écoute (utilisation avec un module SC), inutile d'ouvrir le port 5500. De même, si vous n'utilisez pas le Client Java intégré, laissez le port 5800 fermé.


Le pare-feu intégré à la 9Box

Pour accéder à l'interface d'administration de votre 9Box, il faut ouvrir une fenêtre dans votre navigateur Internet et aller à l'adresse suivante: http://192.168.1.1
Entrez votre identifiant et votre mot de passe (par défaut: "admin" pour les deux - il est fortement recommandé de changer le mot de passe par défaut).
Maintenant, choisissez le mode "Expert".

Un des inconvénients de cette Box, c'est l'obligation de redémarrer après chaque modification.

1. Allez dans "Réseau" --> "NAT/PAT", et sélectionnez "Expert (multipostes)". Validation, et redémarrage de la 9Box.

2. Allez dans "Réseau" --> "Table de Réservation IP", et sélectionnez "Manuel". Puis rentrez votre adresse MAC (dans une fenêtre d'invite de commande, tapez "ipconfig /all", l'adresse MAC correspond à la ligne "Adresse physique" du périphérique réseau que vous utilisez pour accéder à votre 9Box) ainsi que l'adresse IP que vous voulez attribuer à votre ordinateur (par exemple 192.168.1.10). Validation, et redémarrage de la 9Box. Profitez-en pour redémarrer votre ordinateur afin d'obtenir la bonne adresse IP pour la suite (ou faites un "ipconfig /release" suivi d'un "ipconfig /renew")

3. Allez dans "Réseau" --> "NAT/PAT". Dans la ligne "Définition des règles", définissez une règle de redirection pour les ports 5800 et/ou 5900 si la 9Box est située du côté du PC Serveur, ou bien pour le port 5500 si le 9Box est située du côté du PC Client.
Exemple: 

Au final, sur le PC client dans le cas de l'utilisation d'un module SC, vous devez obtenir ceci:


Sur le PC serveur dans le cas de l'utilisation d'un serveur UltraVNC classique ainsi que du Client Java intégré, vous devez obtenir ceci:


Validation, et redémarrage de la 9Box.

4. (optionel) A noter une fonctionnalité intéressante, surtout lors que la 9Box est située du côté du client VNC et qu'on désire se servir du module SC comme serveur, c'est la fonction intégrée de gestion d'un nom DNS. Pour cela, il faut disposer d'un compte chez dyndns.org. Ensuite, il suffit d'aller renseigner les différents champs situés dans  "Réseau" --> "DDNS". Ca évite de devoir chercher à chaque fois son adresse IP lorsque celle-ci est dynamique.

IMPORTANT: dans tous les cas, si vous disposez également d'un pare-feu logiciel (tel que celui fourni avec Windows XP, ZA, Kerio, Jetico, etc.), il vous faut AUSSI le paramétrer pour qu'il laisse passer les flux de données sur les ports concernés, sinon ça ne marchera pas!!!


Le pare-feu intégré à la FreeBox
(Merci à Wenceslas pour les captures)

Chez Free, même si le principe est identique à celui de chez Neuf, la politique est légèrement différente puisque toute l'administration de la FreeBox est effectuée via le site Internet du FAI.

Pour accéder à l'interface d'administration de votre FreeBox, il faut ouvrir une fenêtre dans votre navigateur Internet et aller à l'adresse suivante: http://subscribe.free.fr/login/.

Là, vous avez la possibilité d'accéder aux "Fonctionnalités Routeur de la Freebox"


1. Vous obtiendrez alors ceci:



Si jamais votre Freebox n'est pas en mode routeur, il vous faut activer le mode Routeur en cliquant à l'endroit indiqué.

2. Une fois le mode Routeur actif, vous avez accès à la page de configuration suivante:



Comme vous pouvez le constater, le DHCP a été désactivé. Dans ce cadre là, il faut avoir préalablement attribuer une adresse IP fixe à chaque PC situé derrière la Freebox (dans notre exemple, 192.168.0.1 pour le PC Client, 192.168.0.2 pour le PC Serveur).

3. Il ne reste plus alors qu'à définir les redirections de ports, exactement sur le même principe que celui appliqué pour la 9Box.
Lorsque toutes les règles nécessaires ont été mises en place, validez les modifications, et vous obtiendrez alors la page de confirmation suivante:


Il ne vous reste plus qu'à redémarrer votre Freebox pour que les nouvelles règles soient prises en compte.

IMPORTANT: dans tous les cas, si vous disposez également d'un pare-feu logiciel (tel que celui fourni avec Windows XP, ZA, Kerio, Jetico, etc.), il vous faut AUSSI le paramétrer pour qu'il laisse passer les flux de données sur les ports concernés, sinon ça ne marchera pas!!!


Le pare-feu intégré à la ClubInternetBox
(Merci à MayaVal pour les captures)

Chez Club-Internet, le principe est identique à celui de chez Neuf, mais la mise en place est plus pratique (pas besoin de redémarrer à chaque modification).

Pour accéder à l'interface d'administration de votre CIBox, il faut ouvrir une fenêtre dans votre navigateur Internet et aller à l'adresse suivante: http://192.168.1.1
Entrez votre identifiant et votre mot de passe (par défaut: "root" en nom d'utilisateur et "clubadmin" en mot de passe - il est fortement recommandé de changer le mot de passe par défaut).

Un des inconvénients de cette Box, c'est que l'interface de la CIBox n'est disponible qu'en anglais (mais ce défaut est quelque peu compensé par une excellente documentation sur le site du FAI).

1. N'ayant pas trouver de fonction dans la CIBox permettant de Réserver une adresse IP, la meilleure solution pour être sûre de toujours attaquer la même machine me semble être d'attribuer une adresse IP locale manuellement.
Pour cela, faites un clic-droit sur votre connexion réseau concernée (Allez dans "Menu Démarrer" --> "Panneau de Configuration" --> "Connexions réseau"), choisissez l'option "Propriétés". Dans la fenêtre qui s'ouvre, onglet "Général", sélectionnez "Protocole Internet (TCP/IP)", puis cliquez sur le bouton "Propriétés". Sélectionnez "Utiliser l'adresse IP suivante", et remplissez-la comme ceci:


Validez, puis, par précaution, faites un "ipconfig /release" suivi d'un "ipconfig /renew" à l'aide de la fenêtre d'invite de commande afin d'être sûr que l'adresse IP soit bien renouvellée.

2. Allez dans "Advanced Setup" --> "NAT". Cliquez sur le bouton "Add". Dans la fenêtre qui apparaît, sélectionnez "Custom Server", puis définissez une règle de redirection pour les ports 5800 et/ou 5900 si la CIBox est située du côté du PC Serveur, ou bien pour le port 5500 si le CIBox est située du côté du PC Client pour une utilisation avec un module SC. Pensez à indiquer l'adresse IP du PC sur lequel a été installé UltraVNC (dans l'exemple ci-dessous, 192.168.1.10 et il s'agit du PC sur lequel a été le Serveur UltraVNC)
Exemple: 

Une fois que vous aurez validé, vous vous retrouverez avec les règles que vous avez défini:



IMPORTANT: dans tous les cas, si vous disposez également d'un pare-feu logiciel (tel que celui fourni avec Windows XP, ZA, Kerio, Jetico, etc.), il vous faut AUSSI le paramétrer pour qu'il laisse passer les flux de données sur les ports concernés, sinon ça ne marchera pas!!!
« Modifié: 18 octobre 2006, 11:03:19 par Sparad0x »

Hors ligne Sparad0x

  • Administrateur
  • *****
  • Messages: 496
Re : Paramétrer les pare-feu (firewall) pour UltraVNC
« Réponse #1 le: 14 octobre 2006, 11:54:05 »
Pour ceux qui auraient des questions, des commentaires, ou des idées à partager sur le sujet, rendez-vous ici.