Comment configurer le nouveau pare-feu de Windows XP SP2 pour éviter les problèmes d’accès à  iSeries?

XP SP2 contient de nombreux changements, mais celui qui présente le plus de problèmes pour iSeries Access est le nouveau WF (Windows Firewall). (Pour plus de détails sur d’autres nouvelles fonctions que Microsoft a ajoutées avec XP SP2, voir l’encadré « Windows XP Service Pack 2 features » sur www.itpro.fr Club abonnés) Le nouveau WF est activé par défaut et il remplace l’ancien ICF (Internet Connection Firewall). ICF souffrait de quelques lacunes. Tout d’abord, il était désactivé par défaut. Ensuite, il n’était pas possible de le gérer centralement ou de le configurer facilement, interactivement ou avec des scripts. Avec une gestion plus facile, des scripts améliorés, des règles plus granulaires et une meilleure journalisation, WF représente une nette amélioration par rapport à ICF. Cela dit, comme tout bon pare-feu personnel, y compris ZoneAlarm ou Tiny Personal Firewall, WF bloque le trafic entrant non sollicité, avec pour conséquence la coupure des communications initiées par l’iSeries. La figure 1 présente une vue d’ensemble de WF.

Comme les autres pare-feu, le rôle principal de WF consiste à bloquer le trafic entrant non sollicité. WF autorise le trafic bidirectionnel, à la condition que les systèmes locaux en soient à l’origine. Par exemple, pour donner accès à un partage de fichier, le système local ouvre le port 135 et communique avec un serveur de fichiers. Comme le système local a ouvert le port 135, le port reste ouvert jusqu’à ce que la session de communication se termine, puis le port se ferme. De la même manière, avec l’émulation 5250, le protocole TN5250 (que l’émulation 5250 utilise) utilise le port 23. Quand l’émulation 5250 se connecte à l’iSeries, elle adresse une requête sortante sur le port TCP 23 et, dans la foulée, WF ouvre le canal de communications sur le port 23 et les programmes d’émulation 5250 fonctionnent comme à l’accoutumée. Quand l’émulation s’arrête, WF ferme le port 23. (Pour la liste de tous les ports TCP qu’iSeries Access utilise, voir l’encadré « Ports TCP/IP utilisés » dans l’article « Les OS/400 Host Servers à la loupe ». Cependant, il faut configurer WF pour qu’il autorise le trafic qui provient de l’extérieur du système local, faute de quoi WF le bloquera. Par exemple, iSeries Access Incoming Remote Command utilise le port TCP 512, que WF bloque par défaut.

Pour le trafic entrant, WF permet d’accéder à vos systèmes de deux manières : par le port TCP/UDB ou par le nom du programme. Par défaut, seul le programme Remote Assistance (c’est-à-dire, sessmgr.exe) est validé. Si vous validez Windows File and Print sharing, WF ouvre les ports TCP 139 et 145 et les ports UDP 137 et 138 pour permettre l’accès par le subnet local. En outre, si vous avez installé Windows Messenger, WF autorise l’accès distant au programme msmsgs. exe. Tous les autres ports sont fermés et toute application qui essaie d’envoyer du trafic entrant par l’intermédiaire de WF échouera avec la configuration par défaut. Heureusement, vous pouvez configurer WF pour qu’il laisse d’autres programmes, comme iSeries Access, accéder au système.