Retrouvez cet article dans : Linux Pratique Hors série 8
Transit conventionnel et transit personnalisé
Imaginez un téléphone. En fait, imaginez que l'on ait relié 65535 téléphones à votre ordinateur. C'est très pratique, car cela permet d'avoir 65535 conversations avec 65535 personnes différentes en même temps... Un port, sur une adresse IP, c'est un peu la même chose : disons pour simplifier les choses que c'est un canal de communication ; il y en a 65535 sur une adresse IP.Quel port fait quoi ?
Supposons que je souhaite communiquer avec un serveur web. Normalement, tout est transparent pour l'utilisateur : je lance un navigateur web, puis, je vais sur mon moteur de recherche préféré. En fait, en coulisses, il se passe beaucoup de choses. Une fois mon navigateur lancé, mon système va chercher à qui correspond l'adresse IP du domaine mon-moteur-de-recherche.com ; une fois l'adresse IP trouvée (disons 123.156.78.9), mon navigateur va tenter d'établir une communication avec le serveur web. Pour cela, le navigateur utilise le port 80 de l'IP destinataire. Pourquoi le port 80 ? C'est une convention, un standard, on utilise le port 80 pour les communications HTTP, le port 443 pour les communications HTTPS, le port 25 pour le mail (SMTP), etc. Une fois la communication établie, les informations seront transmises. Le serveur web enverra le contenu de la page web au navigateur, qui l'interprétera pour faire apparaître la page mon-moteur-de-recherche.com.Puis-je personnaliser mes ports ?
Il est parfaitement possible de lancer un serveur web sur un port autre que le port 80. Par exemple sur mon ordinateur personnel, si je crée un serveur web, je peux choisir n'importe quel port entre 1 et 65535. Le problème sera simplement d'indiquer au client web quel port il doit utiliser. On peut l'indiquer dans l'URL : au lieu de visiter monsite.org, il faudra taper http://monsite.org:8080 si j'utilise le port 8080.Du bon usage du firewall et autres dispositifs bloquants
C'est un peu comme des portes : la plupart du temps, il est utile de les laisser ouverts, si on souhaite permettre l'établissement d'un trafic. Mais, parfois il peut être utile de les bloquer...Est-ce que je laisse tout passer ?
Le firewall a cette fonction. Il permet, en définissant des règles, de réguler les communications établies ou reçues par un système informatique. Il existe différents types de firewalls : certains régulent le trafic des paquets IP directement, d'autres le régulent en observant le contenu de la communication. Par exemple, Squid (www.squid-cache.org) est un proxy. Il permet entre autres de réguler les communications HTTP en fixant des règles : par exemple, telle adresse IP a le droit de contacter tel site, mais uniquement entre telle et telle heure ; ou encore, toute connexion à tel site est refusée, car son contenu est illicite. La plupart des firewalls qu'on utilise aujourd'hui sont " de bas niveau ". Cela signifie qu'ils effectuent des contrôles directement sur la pile IP. Grâce à des règles, on peut contrôler le trafic entrant et sortant d'un système et s'assurer qu'il n'y a pas de trafic illicite (ex : que personne n'est en train de se connecter à votre système à votre insu). Presque toutes les distributions Linux sont aujourd'hui dotées de firewalls pré-configurés pour les utilisateurs non-initiés.Alors je bloque quoi ?
La configuration d'un firewall dépend du niveau de contrainte que l'on est capable de s'imposer. L'idéal de sécurité serait d'interdire toute communication entrante et sortante, mais un tel système ne serait pas très utile pour quelqu'un souhaitant utiliser internet... Partant de ces besoins, on est donc obligé d'ouvrir certaines voies de communication : le web, le mail, le FTP... Cela revient à dire, si on verbalise les règles : j'autorise toute communication TCP partant de mon adresse vers n'importe quelle adresse, sur les ports 80, 25, 110, etc. Par contre, j'interdis tout autre trafic. Donc une personne qui tenterait d'initier une communication vers mon système sera bloquée par mon firewall.Retrouvez cet article dans : Linux Pratique Hors série 8
Une simple de remarque de puriste : Parler de ports IP est choquant. IP ne connaît RIEN aux ports.
On parle de ports des couches de transport TCP ou UDP. (d’ailleurs il n’y a pas 65535 ports par adresse IP mais en considérant UDP et TCP, le double…)