Bonjour à tous,

J'ai installé dernièrement LnS avec joie au vue de ses capacités et de sa flexibilité ainsi que de sa robustesse. j'ai importé les regles phantom v6 et j'ai réussi à configurer a peu prés tout ce dont j'avais pour l'instant besoin. toutefois une question naive me tracasse et je n'ai pas vu de reponses sur des posts:

Faut-il ajouter les regles phantom à un jeu de regles préalables (style standart ou evolué) ou bien font elle office de jeu regles à part entière?
Un indice aurait tendance à me dire que c'est un jeu de regles à part entiere au vue de l'extension (.rls), mais aussi de leur réputation, mais j'ai un doute...

enfin j'aurais aimé savoir quelle est la regle qui separerait les connexions serveurs de celle clientes... si je dis pas de bétises...car j'ai trouvé autant "syn rcvd" pour cette regle (que je n'ai pas dans mes regles phantom) que "+tcp block incoming connections (que j'ai par contre dans mes regles), et ce sur différents posts.

Merci d'avance!

(config: firewall Lns; antivirus Mcafee; routeur neuf, windows sp2)

Bonjour,

Oui, les jeux de règles .rls, sont censés être complets, seuls les .rie sont des ajouts par dessus un jeu de règles déjà existant.
C'est donc le cas du jeu de règles de Phant0m.

Un autre indice, est le fait qu'un jeu de règles (bien formé) contient à la fin une règle de type "Tout le reste" qui bloque tout ce qui n'a pas été autorisé auparavant (les règles étant examinées dans l'ordre haut => bas).

Je ne sais pas répondre précisément à la 2ème question. C'est vrai que dans le jeu de règles évolué, toute règle qui va autoriser une connexion entrante doit être placée avant la règle "Bloquer les connexions entrantes" et donc effectivement ça fait une sorte de délimitation. Cette règle existe sûrement aussi dans le jeu de règles de Phant0m, mais je ne sais pas précisément laquelle c'est.

Cordialement,

Frédéric

ok merci beaucoup pour les infos surement a+ tard!!

Salut :)

Prend soit le jeu de règles évolué soit le jeu de Phantom...

Suggestion : tu débutes, Keep it simple!

Pour la question règles serveurs et clients voir ceci:

http://www.wilderssecurity.com/showthread.php?t=122398

:)

merci mille fois.
pour les regles p2p faut que je me penche un peu plus sérieusement dessus car les règles clientes en udp me pose quelques soucis, faut que j'approfondisse. je risque donc de refaire surface sous peu.:P :D
i'll be back

en fait me trouvant derriere un routeur NAT et ayant changé de port, je ne saisis pas trop certains des réglages des ports dans les regles clients/udp.
Dans la partie source, j'ai mis les ports que j'ai ouvert dans mon routeur qui correspond au port udp de la mule soit

source :
equals my@
equals / 8468-0
destination :
rien sinon ca bloque kad

le fait de faire deux regles pour la partie cliente, ca je pige pas trop?...
une seulement en "udp", puis une autre en "tcp or udp" avec des changements de ports en destination qui varie largement...
peut etre une explication?
pour l'instant je reste sur la regle que j'ai faite, qui marche, mais qui est surement "faible".

Bon apres mettre penché sur tout ceci un bon moment, j'ai réussi à configurer tout ceci comme il fallait. bien le tuto sur les règles de la mule.
J'ai fait tout comme le tuto, juste changer les ports locaux et c bon.
Merci.a+

Salut :)

{QUOTE->

le fait de faire deux regles pour la partie cliente, ca je pige pas trop?...
une seulement en "udp", puis une autre en "tcp or udp" avec des changements de ports en destination qui varie largement...
peut etre une explication?
pour l'instant je reste sur la regle que j'ai faite, qui marche, mais qui est surement "faible". <-QUOTE}

C'est pourtant expliqué là:
http://www.wilderssecurity.com/showthread.php?t=122398http://www.wilderssecurity.com/showthread.php?t=122398


1-

Tu as besoin d'une règle pour la partie "client" de ton machin afin :
a) d'obtenir la liste des serveurs
b) de te connecter au serveur eDonkey

[TCP/UDP] /client + liste serveurs
ports locaux (ceux de ton PC) 1024 à 5000 / ports distants 4661-4665
Cette règles est comme n'importe quelle règles d'application tel qu'un navigateur, un courrielleur, un machin de messagerie, etc.
ET
doit se placer APRÈS la règle bloquer les connexions réseau
c'est-à-dire la règle qui bloque les tentatives de connexions
en provenance d'internet en TCP avec le flag SYN.

2- une règle pour la partie SERVEUR de ton machin de P2P:

En TCP
Ports locaux (ceux de ton PC) 4661-4665 EDonkey
port distants : Tous...

Comme sur l'image jointe...

Cette règle doit être placée AVANT la règle bloquer les connexions entrantes.
Si bien que les connexions entrantes avec entre autre le flag Syn de positionnés seront acceptées ou non selon qu'elles font partie des connexions gérées par ton machin de P2P alors que les autres connexions entrantes pas destinées à ton machin p2p seront bloquées tel que les trucs visant les ports 135, 139, 445, etc.

Ceci étant dit tu utilise aussi en plus du bidule eDonkey le réseau décentralisé KAD. Cela suppose que tu crée une ou des règles supplémentaires pour cette chose...

Je n'utilise pas eMule et pas le bidule KAD alors je ne sais pas.

À toi de créer tes propres règles en utilisant les outils qui te sont fournis par Look'n'Stop à cette fin: à savoir l'édition des règles, le journal et la possibilité de traiter ce journal en format brut (raw) pour trouver comment bâtir ces règles.

j'ai expliqué comment dans un post en donnant un exemple avec un machin nommé Gizmo. Inspire-toi de cela.


http://www.wilderssecurity.com/showthread.php?t=122224&highlight=gizmo

Tu devrais y arriver !

:)

hug,
merci pour ce panorama détaillé. J'ai réussi à faire tout ceci je pense dans les "regles" de l'art..., même pour kad et tous l'merdi...
forum rapidement réactif, c'est vraiment sympatico.
Je vais me pencher sur le filtrage d'un peu plus pres quand j'aurais un peu plus de temps.
merci!

Salut :)

Ça marche alors ? :thumb:

Merci du retour d'expérience.

:)

ouais ca marche.
ca bloque pas mal d'adresse dynamique en tcp et udp donc ca a l'air bon.
c'est interressant l'edition de regle comme dans l'exemple avec gizmo mais faut s'y pencher dessus toutefois...
je cherche pas la sécurité absolute.
reste que quand je fais des tests sur différents sites, mes ports ne sont pas stealth mais closed.
mais je suis derriere un routeur nat qui vaut ce qu'il vaut (neuf tel).
alors je sais pas si c'est le routeur qui fait que mes ports sont closed et pas stealth, mais je m'inquiete pas trop. je pars bientot chez free et je verrai bien.
:thumb:

Salut :)

Ton routeur est mal configuré sans doute...
Remarque que si tu fais le test de "stealth" avec le programme p2p en marche ou pas va faire une différence... on peut pas être stealth et être en même temps un serveur...

Pour mieux te protéger je te suggère d'utiliser PeerGuardian2
pour éviter des connexions bidons ou plus "étranges"...

http://phoenixlabs.org/pg2/

Voir les copies d'écran qui suivent...

:)

1-écran principal.
ne désactive pas le http !!!

2- utilise ces setups + les différentes listes de blocages :
anti-spywares et autres...

3- enfin ceci:

4- les listes de blocages des "bogons" IP et autres...

merci,
j'utilise pg2 depuis un bon moment avec les listes de bases mais aussi celles de bluetack security (une dizaine).
Faudrait peut etre que je revoie mon routeur en effet, mais dans l'ensemble si je n'ouvre pas les ports, ca passe pas en inbound donc deja c qu'il fait son boulot.mais par contre je suis visible et c bizarre.

Salut :)

Sans le p2p en marche, qu'est-ce que le routeur balance sur internet?

Ce ne serait pas parce qu'il répond aux "pings" par hasard ???

Vérifie avec les tests de PCFlank pour savoir à quoi le routeur répond:
icmp, igmp, tcp, udp ou ???

http://www.pcflank.com/http://www.pcflank.com/

Une bonne source d'information pour le port fowarding avec les routeurs:

http://www.portforward.com/

Voilà. Plus d'autre idée.

:)

voila une capture d'ecran, en sachant qu'il n'y avait pas de log de p2p en marche.
bizarre. va falloir que j'aille fouiller dans mon routeur;

Re -salut :-/

Ces paquets anormaux sont bloqués par le jeu de règles évoluées
et par le jeu de règle de Phant0m (et par les miennes aussi en passant!)...

1- utilise l'un de ces 2 jeu de règles
2- place les règles de ton machin p2p au bon endroit

et cela se fera si tu te donne la peine de lire ce que j'ai déjà écrit
et expliqué en long, en large et en travers.

Je me "récapète":

«
B) Comprendre la règle "Bloquer les paquets TCP entrants avec le flag SYN"

Cette règle est celle qui correspond à:

"Bloquer les connexions entrantes" dans le jeu de règles évoluées
"+TCP:Block incoming connections" dans le jeu de règles Phant0m

La raison de cette règle a été expliqué plus haut.

Les paquets entrants avec le flag syn de positionné visent principalement
les ports locaux(ceux de votre PC) :
135 : Rpc Dcom (utilisé par le ver Blaster!)
139 : imprimantes réseau et partage des fichiers
445 : SMB message block
etc.

Toutes les règles de blocage de paquets anormaux doivent être placés
avant cette règle sauf les règles de blocage des paquets non-bloqués
par les règles précédentes.

UDP Bloque le reste
TCP Bloque le reste
ICMP Bloque le reste
ET sans oublier la dernière règle OBLIGATOIRE
Bloquer tous le reste.(Verrouillage final du jeu de règles.)


Nous avons donc : (voir le jeu de règles évoluées)

1- Des règles de blocage de divers paquets anormaux
2- La règle de blocage des paquets TCP entrants avec le flag SYN
3- Des règles pour les applications (CLIENT)
4- Des règles pour bloquer le reste (UDP, TCP, ICMP)
5- La règle finale et obligatoire: Bloquer tous le reste.

Dans le cas des programmes de P2P votre ordinateur
est, comme pour les applications courantes, un CLIENT

ET

Il est aussi un SERVEUR ! ...


C) Un programme P2P fait de votre ordinateur un client ET un serveur.

La partie CLIENT de votre programme P2P
qui permet de vous connecter aux serveurs, d'obtenir leur liste etc
doit donc faire partie des règles pour les applications c'est-à-dire
le # 3 (voir ci-haut) ou encore les règles "client" doivent être placées
entre la règle #2: blocage des paquets TCP entrants avec le flag SYN
et
le #4:bloquer le reste (UDP, TCP, ICMP) ...

Cela est exactement la même chose que pour n'importe quelle application.

Les règles de la partie SERVEUR de ce type d'application doivent donc être placées
après le #1: blocage de divers paquets anormaux
ET
avant le #2 blocage des paquets TCP entrants avec le flag SYN.

Nous avons donc maintenant:

1- Des règles de blocage de divers paquets anormaux

Règle(s) pour la partie SERVEUR du programme P2P

2- La règle de blocage des paquets TCP entrants avec le flag SYN
3- Des règles pour les applications (CLIENT)
4- Des règles pour bloquer le reste (UDP, TCP, ICMP)
5- La règle finale et obligatoire: Bloquer tous le reste.

Il est très important de placer correctement la ou les règle(s)
de la partie SERVEUR au bon endroit dans la liste des règles...
»

là:
http://www.wilderssecurity.com/showthread.php?t=122398

Le résultat du test PC Flank signifie:

soit que les règles de blocage ne sont pas là (les as-tu effacées?)
soit que ces règles ne sont pas actives(les as-tu désactivées?)
soit que tes règles pour ton machin p2p ne sont pas placés au bon endroit dans la liste des règles...

Les règles sont interprétées en commançant par la première en-haut...

Dès qu'une règle correspond, elle est appliquée et les autres règles qui suivent ne sont pas appliquées. C'est comme ça pour tous les pare-feu à règles de L'UNIVERS!

a) chaque règle est comme une proposition universelle ou une suite de AND
condition A ET condition B et condition C et... etc.

Si toutes les conditions de la règle correspondent à un paquet
alors la règle s'applique

Sinon la règle suivante est examinée...
et comme ça jusqu'à la règle finale et obligatoire de verrouillage du jeu de règles:
Bloquer tout le reste.

b) la suite des règles lue depuis la première et ainsi de suite est comme une série de XOR : soit l'une , soit l'autre...

Dans le cas de plus de deux règles cela correspond à une proposition
Universelle singulière:

Pour toutes les règles il existe une et une seule règle qui s'applique.

Que puis-je dire de plus ???

Bien cordialement.
:)

il me semble avoir suivi le bon protocole, mais je peux me tromper. voici donc 2 capture d'ecran de mes filtres et de leurs positions, si tu vois qq chose d'anormal fais moi signe.
merci quand même!

fin des filtres

certaines regles n'etaient pas activées par defaut dans les regles de phantom, je ne les ai pas activé, sauf les dhcp. touefois j'ai fais un test pcflanck en les activant toutes et mêmes resultats donc...:)

Salut :)

1-
Les règles DNS et DHCP doivent être configurées correctement...
http://www.wilderssecurity.com/showthread.php?t=18327&highlight=dhcp

2- Voir l'image jointe.

grouper c'est un log de partage privée.
"emule destinataire invalide" c'est la regle que j'ai trouvé dans ton tutos pour bloquer les connections entrantes avec le flag syn, mais la je crois que j'ai fais une erreur puisque elle doit etre redondante avec celle de "+ tcp block incoming connection". cependant cette regle de phantom met "frag offset" sur "all" ainsi que "frag lags" alors que toi tu les met sur "egale 0" et "df"; a moins que je sois a coté de la plaque...

sinon merci pour le reste!!!!

Salut :)

{QUOTE-> grouper c'est un log de partage privée.
"emule destinataire invalide" c'est la regle que j'ai trouvé dans ton tutos pour bloquer les connections entrantes avec le flag syn, mais la je crois que j'ai fais une erreur puisque elle doit etre redondante avec celle de "+ tcp block incoming connection". cependant cette regle de phantom met "frag offset" sur "all" ainsi que "frag lags" alors que toi tu les met sur "egale 0" et "df"; a moins que je sois a coté de la plaque... <-QUOTE}

1-
? un log de partage privé : "qu'es aco ?" .
Que fait cette règles s.v.p.?

2-
"emule destinataire invalide"

je n'ai jamais affirmé des choses aussi stupides ...

Peu importe le nom donné à la règle,
ce qui compte c'est ce qu'elle fait.

La règle qui bloque les paquets TCP entrants avec le flag SYN
s'appèle
dans le jeu évolué: "TCP : Bloquer les connexions entrantes."
dans le jeu Phant0m: "+TCP : Block incoming connections"
dans le jeu "climenole" (inédit) : "{ Q.999a}, [EB], SYN RCVD"

et toutes les trois font exactement la même chose:
bloquer les paquets TCP entrants avec le flag SYN...

Je signale aux lecteurs de ce forum que la documentation de Look'n'Stop
dit ceci : il ne doit y avoir qu'une règle qui fasse ceci et les règles serveurs
doivent se placer avant... Lisez la documentation de look'n'Stop s.v.p.

(voir l'image jointe)


Dans cette règle de mon jeu "climenole" le paramètre Frag offset = 0 et DF représente exactement la façon dont ces paquets se présentent et de plus les paquets fragmentés sont bloquées par des règles avant celle-ci.

{ C.01}, [EB], Fragmentés
[ICMP] Fragmentés = Différents de n'importe quel Frag. Flag:
tout code, tout type

{ C.02}, [EB], + Fragments
[ICMP] Frag. flag MF [More Fragments]: tout code, tout type

{ D.01}, [EB], Fragmentés
[TCP/UDP] Paquets fragmentés = Différents de n'importe quel Frag. Flag
±{RE 5}

{ D.02}, [EB], + Fragments
[TCP/UDP] Frag. flag MF [More Fragments]
±{RE 4}

(ce qui n'en donne que les noms et les descriptions pas les détails...)

Avant de discuter de la valeur de l'une de mes règles et d'ergoter sur
les différences de paramètres des fragments offsets, essaye de comprendre comment ça marche à la base...

Dac ? ;-)

Ne lâche pas: tu vas y arriver....

:)

re-salut,

Ne t'inqiuiete pas je n'en veux pas à tes regles, mais je ne suis pas un expert des firewalls ni du réseau en général, juste un novice amateur. si meprise il y a, c'est sans volonté certaine, mais juste une certaine innocence.:)

1/Concernant le log Grouper ainsi que la regle que j'ai crée, il s'agit de permettre à ce logiciel de partage privée (seulement des invités s'y connectent) de pouvoir agir en tant que serveur; donc j'ai ouvert les ports locaux dans la partie source en créant une regle a peu pres similaire à celle que l'on peut trouver dans ton tuto pour emule.

2/ concernant la regle que j'ai appelé "detinataire invalide", c'est une regle que j'ai trouvé dans ton tuto pour "les regles pour un programme p2p".
celle-ci se trouve intercalé entre la regle partie serveur et la regle partie client. J'ai cru donc bien faire de l'insérer dans le jeu de regle, sans savoir il est vrai (et je fais mon méa culpa) trop ce à quoi elle correspondait (sinon qu'elle s'appellait " La règle de blocage des paquets TCP entrants avec le flag SYN"). En fait j'ai bien compris donc qu'elle corespond à la regle "+ tcp block incoming conection". je l'ai appelé "destinataire invalide par rapport à la descrition que tu en fais dans ton tuto.

Le fait que la partie "Frag offset = 0 et DF" (dont je ne connais pas vraiment l'enjeu principal sinon juste le fait de savoir que cela a un role dans les poignées de mains dans les demande entre clients et serveurs et l'echange de paquets) n'est pas les mêmes valeurs pour la regle de blocage des connection entrantes entre le jeu de regle de phantom et la tienne m'a induit en erreur en croyant que ce n'etait pas les mêmes regles. je l'ai maintenant retiré en toute connaissance de cause.

Certes il faudrait avant de poser ces questions que je me renseigne un peu plus, mais il me semble que j'en apprend plus en faisant des erreurs que en lisant tous les posts dont je ne comprend pas toujours l'intégralité des contenus. J'aime bien apprendre en live, certe au détriment de ton temps (merci...).

Merci de ce temps précieux que tu m'a consacré. :thumb:

re-salut,

en ce qui concerne le fait que nombres de mes ports se trouvaient être closed et non stealth (donc visibles) dans des test comme ceux de GRC, il s'agissait d'un "pb" avec le routeur nat de la neufbox (la fonction routeur de celle-ci semble un peu legere...). J'ai trouvé la solution en faisant une regle de redirection de tous mes ports vers une adresse ip/lan fantome (on appelle ca un trou noir a ca qu'il parait).
Maintenant mes ports sont stealth (enfin sauf le 1 et je sais pas trop pourquoi...).
merci,a+