<html><head><META http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>7. Perçage inverse</title><link href="style.css" rel="stylesheet" type="text/css"><meta content="DocBook XSL Stylesheets V1.70.1" name="generator"><link rel="start" href="index.html" title="Petit guide du perçage de pare-feux"><link rel="up" href="index.html" title="Petit guide du perçage de pare-feux"><link rel="prev" href="ar01s06.html" title="6. Routage"><link rel="next" href="ar01s08.html" title="8. Remarques finales"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="navheader"><table summary="Navigation header" width="100%"><tr><th align="center" colspan="3">7. Perçage inverse</th></tr><tr><td align="left" width="20%"><a accesskey="p" href="ar01s06.html">Précédent</a> </td><th align="center" width="60%"> </th><td align="right" width="20%"> <a accesskey="n" href="ar01s08.html">Suivant</a></td></tr></table><hr></div><div class="sect1" lang="fr"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="N10443"></a>7. Perçage inverse</h2></div></div></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a name="N10446"></a>7.1. La logique</h3></div></div></div><p> Des fois, seul un côté du pare-feu peut lancer des sessions telnet vers l’autre côté, cependant, un moyen de communication est possible (en général par le courrier électronique). Percer un pare-feu est toujours possible, en déclenchant, grâce à n’importe quel moyen de transmission de messages disponible, une connexion telnet du « bon » côté du pare-feu vers l’autre côté. </p><p> <span><strong class="command">fwprc</strong></span> inclut du code pour déclencher de telles connexions à partir d’un courriel authentifié par OpenPGP ; il suffit d’ajouter <span><strong class="command">fwprc</strong></span> comme filtre <span><strong class="command">procmail</strong></span> aux messages utilisant ce protocole (instructions contenues dans <span><strong class="command">fwprc</strong></span> lui-même). Remarquez cependant que si vous devez lancer <span><strong class="command">pppd</strong></span> avec les privilèges appropriés, il vous faudra peut-être créer votre propre suid wrapper pour devenir root. Instructions incluses dans <span><strong class="command">fwprc</strong></span>. </p><p> En outre, déclenchement authentifié ne signifie absolument pas connexion sécurisée. Il faut vraiment utiliser <span><strong class="command">ssh</strong></span> (peut être en plus de telnet) pour des connexions sécurisées. Et puis méfiez vous de ce qui se passe entre le déclenchement d’une connexion telnet, et le moment ou <span><strong class="command">ssh</strong></span> prend en main cette connexion. Toute contribution à ce sujet sera la bienvenue. </p></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a name="N1046F"></a>7.2. Obtenir le message de déclenchement</h3></div></div></div><p> Si vous êtes sous un pare-feu, votre messagerie peut tout-à-fait être dans un serveur de messagerie central qui ne fait pas de filtrage procmail ou qui n’autorise pas les sessions telnet. Aucun problème! Vous pouvez lancer <span><strong class="command">fetchmail</strong></span> en mode démon (ou comme tâche cron) pour interroger votre serveur de messagerie et distribuer le courrier à votre système linux qui, lui-même, aura été configuré pour utiliser <span><strong class="command">procmail</strong></span> à la réception. Remarquez que si vous lancez <span><strong class="command">fetchmail</strong></span> comme démon en arrière plan, il bloquera tout autre fetchmail que vous voudriez simplement lancer à d’autres moments, comme lorsque vous ouvrez un <span><strong class="command">fwprc</strong></span>; bien entendu, si c’est possible, lancez également un démon fetchmail en tant qu’utilisateur bidon. Des scrutations trop fréquentes ne seront pas bonnes pour le serveur de messagerie ou pour l’hôte. Si elles sont trop peu fréquentes, vous devrez attendre avant que le message ne soit lu et que la connexion inverse soit établie. J’utilise une fréquence de scrutation de deux minutes. </p></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a name="N10484"></a>7.3. Autres outils automatiques pour le perçage inverse</h3></div></div></div><p> Un autre moyen d’interroger un serveur pour voir les messages, quand on n’a pas de boîte de messagerie, mais qu’on a bien un accès FTP vers l’extérieur, est d’utiliser un <a href="http://dhirajbhuyan.hypermart.net/ftp-tunnel.html" target="_top">tunnel FTP</a>. </p><p> Comme outil pour maintenir une connexion permanente entre un hôte sous pare-feu et un proxy externe, afin d’exporter des services depuis l’hôte vers l’extérieur, il y a le <a href="http://www.employees.org/~hek2000/projects/firewallTunnel/" target="_top"> tunnel pare-feu</a>. </p></div></div><div class="navfooter"><hr><table summary="Navigation footer" width="100%"><tr><td align="left" width="40%"><a accesskey="p" href="ar01s06.html">Précédent</a> </td><td align="center" width="20%"> </td><td align="right" width="40%"> <a accesskey="n" href="ar01s08.html">Suivant</a></td></tr><tr><td valign="top" align="left" width="40%">6. Routage </td><td align="center" width="20%"><a accesskey="h" href="index.html">Sommaire</a></td><td valign="top" align="right" width="40%"> 8. Remarques finales</td></tr></table></div></body></html>