Règles de paramètrage pour
Kerio Personal Firewall 2.1.5

Vous trouverez ici :

Configuration manuelle
Si vous voulez bénéficier de l'affichage interactif, désactiver votre anti-popups. Au passage de la souris sur la description, une fenêtre s'ouvrira pour détailler le réglage. Cette fenêtre se refermera automatiquement.
Ces règles doivent être installées dans l'ordre
exact pour que Kerio les traite l'une aprés l'autre. Si vous n'utilisez pas une règle, vous pouvez la désactiver momentanément ou en permanence dans "Administration" -  onglet "Firewall" - bouton "Avancé" - onglet "Règles de filtrage" - 1ère colonne.
Les règles 1 à 25 et 45, 46 sont obligatoires. Les autres ne sont utiles que si vous utilisez le logiciel défini ou un logiciel similaire.

Ordre
Description Protocole Direction Port local Détail Application Adresse Port distant Détail Action
Journal.
Aff.
1
Bloque entrée Netbios TCP+UDP entrante Gamme 137 à 139 Tous Toutes Tous   Refuser
X
X
2
Bloque sortie Netbios TCP+UDP sortante Tous   Tous Toutes Port gamme 137à139 Refuser
X
X
3*
DNS 1 UDP les deux Tous   Tous DNS1 du FAI Port simple 53 Autoriser    
4*
DNS 2 UDP les deux Tous   Tous DNS2 du FAI Port simple 53 Autoriser    
5*
Autres DNS UDP les deux Tous   Tous Toutes Port simple 53 Autoriser    
6
Sortie PING ICMP sortante Bouton "définir" [8] Echo Request Tous Toutes     Autoriser    
7
Sortie PING (Réponse) ICMP entrante Bouton "définir" [0] Echo Reply
[3] Destination Unreachable
[11] Time Exceeded
Tous Toutes     Autoriser    
8
Bloque entrée Ping ICMP entrante Bouton "définir" [8] Echo Request Tous Toutes     Refuser    
9
Bloque sortie Ping ICMP sortante Bouton "définir" [0] Echo Reply
[3] Destination Unreachable
[11] Time Exceeded
Tous Toutes     Refuser    
10
Autres ICMP ICMP les deux Bouton "définir" [0] Echo Reply
[3] Destination Unreachable
[4] Source Quench
[5] Redirec
[8] Echo Request
[9] Router Advertisement
[10] Router Solicitation
[11] Time Exceeded
[12] Parameter
Problem
[13] Timestamp
[14] Timestamp
Reply
[15] Information
Request
[16] Information
Reply
[17] Address
Mask Request
[18] Address
Mask Reply
Tous Toutes     Refuser    
11
IGMP Autre 2 les deux       Toutes     Refuser
X
 
12*
DHCP UDP les deux simple 68 Tous Toutes simple 67 Autoriser    
13*
Loopback TCP+UDP les deux Tous   Tous 127.0.0.1 Tous   Autoriser    
14*
Bloque Ports communs TCP+UDP entrante liste 21, 22, 23, 25, 42, 53, 79, 80, 98, 110, 113, 143, 443, 8080 Tous Toutes Tous   Refuser    
15*
Bloque Back Orifice TCP+UDP entrante liste 54320, 54321, 31337 Tous Toutes Tous   Refuser
X
X
16*
Bloque Netbus TCP+UDP entrante liste 12456,12345,12346, 20034 Tous Toutes Tous   Refuser
X
X
17*
Bloque BootPC TCP+UDP entrante simple 68 Tous Toutes Tous   Refuser
X
X
18*
Bloque RPCSS TCP+UDP entrante simple 135 Tous Toutes Tous   Refuser
X
 
19*
Bloque Trojan Ports bas TCP+UDP les deux Gamme 1 à 79 Tous Toutes Tous   Refuser
X
X
20
Bloque Trojan Ports hauts TCP+UDP les deux Gamme 6700 à 65535 Tous Toutes Tous   Refuser    
21
Bloque Faille PPTP TCP+UDP les deux simple 1723 Tous Toutes Tous   Refuser
X
X
22
Bloque faille MSHTA TCP+UDP les deux Tous   c:\windows\
system\ mshta.exe
Toutes Tous   Refuser
X
X
23
Navigateur internet TCP sortante Tous   chemin complet du navigateur Toutes Tous   Autoriser    
24
Navigateur internet TCP+UDP entrante Tous   chemin complet du navigateur Toutes Tous   Refuser    
25
Internet Explorer ou Netscape UDP les deux Tous   chemin complet du navigateur 127.0.0.1 Tous   Autoriser    
26*
Outlook Express TCP sortante Tous   c:\program files\outlook express\msimn.exe Toutes Liste 25,110,
119,143
Autoriser    
27
Outlook Express TCP les deux Tous   c:\program files\outlook express\msimn.exe 127.0.0.1 Tous   Autoriser    
28*
Blocage Web OE TCP+UDP sortante Tous   c:\program files\outlook express\msimn.exe Toutes Tous   Refuser  
X
29
Radioweb TCP les deux Tous   c:\program files\
radioweb\radioweb.exe
Toutes simple 80 Autoriser    
30
Radioweb loopback UDP les deux Tous   c:\program files\
radioweb\radioweb.exe
127.0.0.1 Tous   Autoriser    
31
GetRight ou FlashGet TCP sortante Tous   chemin complet de l'application Toutes Liste 21, 80, 81,
82, 83, 443,
1080, 3128,
8080, 8088,
11523
Autoriser    
32
GetRight ou FlashGet TCP entrante Tous   chemin complet de l'application Toutes simple 20 Autoriser    
33
Logiciel FTP TCP entrante Tous   chemin complet de l'application Toutes simple 21 Autoriser    
34
Logiciel FTP TCP sortante Tous   chemin complet de l'application Toutes Tous   Autoriser    
35
Logiciel FTP TCP les deux Tous   chemin complet de l'application Toutes Gamme 1024 à 65535 Autoriser    
36
Synchro horloge TCP+UDP les deux Tous   chemin complet de l'application Toutes Liste 123,37 Autoriser    
37
Microsoft NetMeeting TCP entrante Tous   chemin complet de l'application Toutes Gamme 1000 à 2999 Autoriser    
38
Microsoft NetMeeting UDP sortante Tous   chemin complet de l'application Toutes Gamme 49600 à 49700 Autoriser    
39
Microsoft NetMeeting TCP sortante Tous   chemin complet de l'application Toutes Liste 80, 81, 82, 83,
389, 443, 1080, 3128, 8080, 8088, 11523
Autoriser    
40
MesNews TCP sortante Tous   chemin complet de l'application Toutes Liste 25, 119 Autoriser    
41
MesNews TCP sortante Tous   chemin complet de l'application 213.251.177.137 Simple 80 Autoriser    
42*
Antispam TCP sortante Tous   chemin complet de l'application Toutes Liste 25 * , 110 Autoriser    
43
Spybot -  AdAware TCP sortante Tous   chemin complet de l'application Toutes Simple 80 Autoriser    
44
Trillian TCP sortante Tous   chemin complet de l'application Toutes Liste 110, 5190, 6667, 1863 Autoriser    
45*
Bloque sortie applis non autorisées TCP+UDP sortante Tous   Tous Toutes Tous   Refuser  
X*
46*
Bloque entrée applis non autorisées TCP+UDP entrante Tous   Tous Toutes Tous   Refuser    

3 et 4 Pour déterminer les IPs des serveurs DNS
Sous win95/98/Me - Démarrer\Exécuter - winipcfg - bouton "Plus d'infos" ou "Détails"
Sous Win2K/XP - Dans une fenêtre DOS (invite de commande) - ipconfig/all
Pour certains FAIs, il peut être nécessaire d'utiliser des plages d'IPs (réseau/gamme)attribuées aux DNS en lieu et place d'une IP simple.

5 En dépannage uniquement. A n'activer qu'en cas de refus de connexion sur panne des DNS. Permet de garder une possibilité de connexion, même en cas de changement des IPs des DNS du FAI

12 A installer pour une machine passerelle uniquement. Ne pas oublier de cocher aussi la case "Fonctionne sur une machine passerelle" dans l'onglet "Divers".

13 En dépannage uniquement. Règle générale optionnelle. Lui préférer les règles Loopback particulières 25 et 27 pour les logiciels qui en ont besoin (IE, OE, navigateurs et maileurs)

14 à 18 Ces règles peuvent être regroupées en une seule si on ne souhaite pas journaliser et/ou afficher une alerte.

19  Peut poser problème par son manque de sélectivité. Notamment si un service tourne sur la machine (serveurs FTP, SMTP, POP ou NNTP)

26 et 28 Ajouter port 80 dans les ports autorisés de la règle 26 et ne pas activer la règle 28 si vous utilisez Hotmail

42  Port 25 autorisé si ce logiciel peut envoyer des mails. (Bouncer, abuse)

45 - 46 Ces 2 dernières règles sont un peu contraignantes, mais elles sont indispensables. Ce sont elles qui bloquent tout ce qui n'est pas autorisé avant. Sans elles, votre pare-feu risque d'être inefficace. Pour autoriser l'apprentissage et le réglage, la règle 45 doit être mise sur "Autoriser" et "Afficher" le temps de modifier les réglages ou de créer de nouvelles règles pour des logiciels nouvellement installés. Ne pas oublier de la remettre sur "Refuser" dés que possible.

Vous pouvez créer des règles particulières à des logiciels spécifiques sur PC Flank trés facilement.

Astuces avancées
Attention ! la mise en oeuvre de ces astuces est à vos risques et périls. Les modifications qu'elles impliquent dans la Base de Registre ne sont pas recommandées aux novices. Il est indispensable de sauvegarder la Base de Registre avant toute modification.

Exportation des règles:

Par souci de sécurité, les règles définies ci-dessus ainsi que les paramètres d'utilisation sont codés dans la Base de Registre de Windows. Il est néanmoins possible de les voir en clair en modifiant temporairement une clé de la BdR : [HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\Personal Firewall]"EncrDisabled" de 00000000 à 00000001 puis en enregistrant la configuration via la commande  "Administration" - onglet "Divers" - bouton "Enregistrer
Cette manipulation est à faire pendant que Kerio est actif sinon il y a risque de tout perdre. Vous pouvez utiliser directement les fichiers REG suivants:
- désactiver le cryptage
- réactiver le cryptage
Le fichier d'extension .conf ainsi créé se lit avec le Notepad.

Verrouillage anti-trojan/virus:

Kerio peut être protégé afin de parer à une attaque de certains virus ou trojan ayant pour objectif la neutralisation des pare-feux et antivirus connus. Cette fonction (non documentée dans l'aide) n'empéchera pas Kerio d'être tué par le virus ou le trojan, mais cela aura pour effet de bloquer toute connection internet.
Attention ! Cela aura pour effet de bloquer aussi toute connexion si vous décochez la case "Activer le firewall' dans "Administration".
Pour cela, ouvrir la Base de Registre avec Regedit, aller à la clé Allez à la clé [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fwdrv] sous Windows NT ou XP, ou [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\fwdrv] sous Windows 98 ou Me
Ajouter une nouvelle Valeur DWORD "AlwaysSecure" (sans les guillemets) ou modifiez la valeur si elle existe à 1.

Erreurs avec le Kernel:

Dans certaines conditions ou sur certaines configurations, des erreurs peuvent survenir avec le moteur expérimental de détection d'accès au kernel. Il faut alors modifier une autre clé dans la même branche que ci-dessus. Mettre "KernelModuleAuth" Valeur DWORD à 0 (Hex) au lieu de 1.

Erreurs de tampon mémoire

Dans certaines conditions ou sur certaines configurations, des erreurs peuvent survenir avec le buffer (tampon mémoire). Pour augmenter celui-ci, aller dans la même branche que ci-dessus et augmenter la valeur MaxBufferSize (par défaut 4000 (Hex)).

Forum dédié aux pare-feux
Abonnez vous directement en cliquant sur ce lien: news://news.zoo-logique.org/pare-feux Modifiez ensuite les paramètres du compte ainsi créé dans votre lecteur de news en ajoutant l'identifiant (zoo) et le mot de passe (entrer) pour vous connecter.

Imprimer cette page

Merci à Captain JacK pour sa page spéciale Kerio qui m'a beaucoup aidé à découvrir et régler ce firewall génial
et à Julien "Veekee" pour sa traduction française
Vous pouvez me contacter par mail en reconstituant l'adresse "kerio215" chez "free.fr".

Site hébergé gratuitement sur Publicité volontaire et gratuite.

Technicland: le dépannage online