Salut,

Utilisateur récent de Look'n'Stop, je bute sur la création de règles qui n'est vraiment pas évidente pour un novice :'( (j'avais ZA avant).

J'ai fait une copie d'écran alors si quelqu'un pouvait m'expliquer à quoi corresponde les différentes parties numérotées, ça serait super sympa !!!

http://www.hiboox.com/images/4805/znhw2ry.jpg


Partie 1

- "Direction"

Là je comprends ;)

- "Ethernet : type"

Ici, y'a plusieurs choix : "IP", "ARP", "Tous"

Que faut-il choisir ?

Partie 2

- "Protocole"

C'est bon là ;)

- "Frag Offset" - "Frag Flags"

À quoi ça correspond ?
Faut-il les documenter ?

Partie 4

Aucune idée à quoi ça correspond :-[
Quand doit-on s'en servir ?


Partie 3 - Partie 5

- "Ethernet - adresse"

On a le choix entre : "Toutes", "Egales" et "Différent"
Kézako ???? ???


D'une manière générale, je ne comprends pas la différence entre la Partie 3 et la Partie 5... ???
Par exemple, pourquoi et quand doit-on utiliser la Partie 3 et pas la Partie 5 ?


Merci pour vos explications ! ;)
@pluche

lut,


tu peux aller sur http://karibou10.free.fr/tuto/lookstop.htm
ce tutorial est assez complet

Salut,

Déjà visité. Il reprend en fait la FAQ de Look'n'Stop mais sans les éléments qui m'intéressent :(

Salut,

Un debut d'explication sur la difference entre les parties 3 et 5 dans ce sujet (http://www.wilderssecurity.com/showthread.php?t=88175&highlight=direction). Pour ce qui est des drapeaux/bits de controle TCP, la documentation officielle peut t'interesser : RFC 793 (http://abcdrfc.free.fr/rfc-vf/rfc793.html). De maniere succinte, ils permettent de controler l'etat/deroulement d'une connexion TCP en marquant les paquets TCP. Malheureusement certains malins detournent ces drapeaux pour diverses raisons, d'ou la necessité de les filtrer dans certains cas. Dans cette RFC, il y a aussi une explication sur la fragmentation des paquets (cf Frag Offset & Frag Flags). Enfin, pour "Ethernet : adresse" tu peux jeter un coup d'oeil ici (http://fr.wikipedia.org/wiki/Adresse_MAC). Ce champ s'utilise surtout en reseau local.

PS : si je me trompe quelque part, n'hesitez pas a me corriger ;).

Voilou pour l'instant :)

Salut Bloodscourge,

Eh bien, je ne sais comment te remercier !!!!

T'es la première personne qui répond réellement à ma question, je commençais à désespérer...
Je lis tout ça, je te tiens au jus et s'il y a des trucs qui m'échappent, bah je manquerai pas de faire appel à toi !

Merci encore ! ;)
@pluche

De rien ;)

désolé si c'est un peu trop technique...

Salut Bloodscourge,

Ouchh !!! c'est chaud le marrons là !!! (je sais je suis une chèvre :-[ ).

Bon, corrige-moi si je me trompe (y'a de grandes chances !), voici ce que j'ai plus ou moins capté :-\ :

En prenant comme référence la capture de mon premier message :

http://www.hiboox.com/images/4805/fsml9ma.jpg (http://www.hiboox.com)

- si Paquets entrants

a) La Partie 3 représente le port local

b) La Partie 5 est le port distant


- si Paquets Sortants

a) La Partie 3 représente le port distant

b) La Partie 5 est le port local


- si Paquets Entrants et Sortants

a) On ne s'occupe que de la Partie 3 (la partie 5 étant inutile dans ce cas-là).


Ai-je bien compris ?
@pluche

Bonjour. Concernant ceci :

- si Paquets Entrants et Sortants
On ne s'occupe que de la Partie 3 (la partie 5 étant inutile dans ce cas-là).

ce n'est pas aussi simple que ça. Je te conseille d'étudier le jeu de règles évoluées et notamment les règles :

TCP : Bloque tous les autres paquets
UDP : stopper le NetBios

Comme il y a peu de règles concernant les paquets entrants et sortants, tu
devrais t'en sortir avec ces exemples.