Configurer les exceptions WF

boîtes de dialogue de configuration WF interactives ou avec la commande NETSH.

Pour configurer les exceptions WF interactivement, cliquez sur le bouton Start puis choisissez All Programs, Accessories, Communications et Network Connections. Dans la fenêtre Network Connections, cliquez sur le lien Change Windows Firewall settings dans la boîte Network Tasks pour obtenir la boîte de dialogue Windows Firewall, qu’illustre la figure 2.

Cette boîte de dialogue permet d’activer et de désactiver WF et d’établir interactivement des exceptions WF. Pour ajouter des exceptions à WF, cliquez sur l’onglet Exceptions, que montre la figure 3.

WF offre deux types d’exceptions : de ports et de programmes. Vous pouvez créer des exceptions pour les ports qu’utilisent des applications, mais les exceptions de ports ne sont pas aussi sûres que les exceptions de programmes. En effet, en créant des exceptions par port, on ouvre ce port à toute application qui essaie de l’utiliser. Par exemple, Incoming Remote Command utilise le port 512, un port bien connu que l’utilitaire Unix/Linux REXEC utilise également. Donc, l’ouverture explicite du port 512 activerait la fonction Incoming Remote Command, mais ouvrirait aussi la porte à toute autre application qui essaierait d’utiliser le port 512.

En général, il vaut mieux valider l’accès en se fondant sur le nom du programme. Dans le cas d’Incoming Remote Command, cwbrxd.exe est le programme XP local qui communique sur le port 512 avec l’iSeries. Pour créer une nouvelle exception pour le programme iSeries Access Incoming Remote Command, cliquez sur le bouton Add Program sur l’onglet Exceptions pour afficher la boîte de dialogue Add a Program qu’illustre la figure 4.

Dans cette boîte de dialogue, vous pouvez faire défiler la liste des programmes enregistrés (c’est-à-dire, ceux que le registre Windows reconnaît) et sélectionner un programme pour lequel il faudra créer une exception. Si un nom de programme que vous recherchez ne se trouve pas dans la liste, comme c’est le cas avec le programme iSeries Access Incoming Remote Command, vous pouvez soit entrer manuellement le chemin du programme dans la boîte Path, soit cliquer sur le bouton Browse et naviguer jusqu’au programme. Le chemin par défaut pour le programme de service Incoming Remote Command est C:\Windows\cwbrxd. exe.

Ensuite, cliquez sur le bouton OK : Windows ajoute le programme cwbrxd.exe à la liste des exceptions WF. Les requêtes entrantes adressées au service Incoming Remote Command (c’est-à-dire, au programme cwbrxd.exe) peuvent désormais passer par WF. Et les autres programmes qui essaieront d’utiliser le port 512 continueront à être bloqués.

Il existe un autre moyen de configurer les exceptions WF : avec la commande NETSH intégrée dans XP. Configurer WF à partir de la ligne de commande avec NETSH est intéressant lorsqu’il faut automatiser la configuration de systèmes multiples. La configuration interactive de systèmes convient parfaitement pour une poignée de systèmes. Mais, s’il s’agit d’en configurer des dizaines ou des centaines, c’est tout simplement infaisable. Vous pouvez invoquer les configurations par ligne de commande à distance ou les intégrer dans le cadre du script de login système pour automatiser les changements de configuration massifs sur le réseau.

Ainsi, pour utiliser NETSH afin de créer une exception pour le service Incoming Remote Command, vous entreriez la commande suivante :

netsh firewall add allowedprogram c:\windows\cwbrxd.exe "iSeries Access Incoming Remote Command"

La sous-commande firewall ordonne à NETSH de configurer WF. La sous-commande add allowedprogram indique qu’une exception de programme est ajoutée, et le paramètre qui suit précise l’emplacement du programme. Quand au dernier paramètre, c’est une description facultative.