Bonjour,

Je suis nouveau sur le forum et aussi sur LnS (avant j'étais sur Zone ALARM ou l'ordre des regles n'est pas si important )

après des recherches sur ce forum j'ai découvert ça
{QUOTE-> Pour tous les pare-feu à règles de l'Univers:

1-

L'ordre des règles dans la liste est pertinente. Lorsqu'un paquet est examiné le pare-feu le compare
avec chacune des règles en commençant par la première jusqu'à ce qu'une règle corresponde au paquet
examiné.S'Il n'y a aucune correspondance le paquet doit être interdit par la dernière règle
obligatoire de tous les pare-feu à règles de l'univers!

Bref:
l'ordre des règles examinés est significatif
et
la dernière règle doit bloquer tout paquet sans correspondance dans une règle antérieure


2-

Un jeu de règles minimal serait ceci:

Règle # 1 Autoriser A
Règle # 2 Interdire tout ce qui n'est pas A

Chaque règle est l'équivalent d'une proposition universelle en logique mathématique:
Il s'agit d'une suite de "ET";
si toutes les valeurs reliées par le "AND" sont vraies alors la proposition est vraie.
S'il n'y a ne serait-ce qu'une seule valeur de fausse alors la proposition est fausse...

Les règles sont reliés à la suite les unes des autres par une suite de "XOR", de "OU Exclusif".
Dans le cas du jeu minimal ce serait:
Règles #1 <OU Exclusivement> Règle #2

Dans le cas où il y a une suite de plus de deux règles cela signifie que pour toutes les règles,
une et une seule est appliquée à l'exclusion de toutes les autres: la première qui correspond
au paquet examiné.

Bref:
Dans le cas d'une règle: si tous les critères de la règle (sans exceptions)
correspondent au paquet examiné (si la règle est "vraie") alors cette règle est appliquée...
ET
pour le jeu dans son ensemble: les règles suivantes ne sont pas examinées.

3-

La façon d'appliquer cette loqique peut varie d'un jeu de règles à un autre:
jeu de règles évoluées de LNS, jeu de règles de Phant0m , jeu de Règles Climenole, etc.

D'une façon générale on a cet ordre (grosso modo):

1- Une série de règles générales pour bloquer des paquets anormaux ou illégaux
(en TCP ou UDP ou ICMP...)

2- Une ou des règles permettant l'autorisation de programmes en tant que "Serveur":
(l'IDENT, un serveur web ou Ftp, la partie serveur d'un programme P2P. etc)

3- Une règle "Centrale" ou "Pivot":
cette règle bloque les tentatives de connexions en provenance d'internet
en TCP avec le flag SYN...
Les règles de connexions à un serveur (local) doivent être placées AVANT cette règle
Les règles relatives au programmes "Clients" doivent se placer APRÈS cette règle.

Dans le cas du Jeu de règles Évoluées de LNS:
TCP : Bloquer les connexions entrantes.

Dans le cas du jeu de règles Phant0m:
+TCP : Block incoming connections

Dans le cas du jeu de règles Climenole:
{ Q.9999}; [EB]; [TCP] <<<--- SYN Entrant ----

4- Une ou des règles pour les applications:

En TCP
Soit: une règle générique pour tous les programmes en TCP
Soit des règles particulières pour certains programmes en TCP

En TCP/UDP: pour certains programmes utilisant les 2 protocoles...

En UDP: Règles pour le DNS, le DHCP, le NTP ou des applications utilisant
uniquement l'UDP tel que beaucoup de programmes de VoIP...

5- Des règles de blocage des paquets restants en TCP ou UDP ou ICMP ou autres...

6- LA Règle finale et OBLIGATOIRE pour clore le jeu de règles:
Bloquer tous les paquets restants...

Le positionnement et le groupement des certaines de ces règles peut varier d'un jeu à l'autre.
[à la demande générale ] chaque jeu de règles suit une logique différente mais sont tous valables...
Par exemple les règles du jeu évolué sont regroupés par protocoles, le jeu de Phant0m commence avec
les règles UDP tandis que le mien obéit à une logique dont les détails sont expliqués sur ce site:
http://climenole.wordpress.com/


Mais dans TOUS LES CAS:
il faut placer les règles autorisant ceci ou cela AVANT toute règle interdisant l'un des critères
de la règle d'autorisation.

Par exemple, si je veux autoriser Skype, port local 21047, en UDP
alors je doit placer cette règle AVANT celle bloquant tous les autres paquets UDP...

On peut aussi prendre le problème par l'autre bout:
Il faut placer une règle autorisant ceci ou cela immédiatement après la règle
qui N'interdit AUCUN des critères de cette règle d'autorisation.

Par exemple:

dans le jeu de règles évoluées il y a la règle "Autoriser les services internet standards".
Cette règle permet à tous les programmes en TCP de se connecter à internet.

Si jeu veux ajouter une règle pour "eDonkey + KAD" qui utilise TCP ET UDP (port local et distant
4672), alors je peux placer cette règles imédiatement après la règle "Autoriser les services
internet standards" pusique cette n'interdit pas les critères de la règle suivante "eDonkey + KAD"...

et bien entendu je doit aussi la placer AVANT tout règles blocant le TCP ou l'UDP... Dac ?

Autre exemple:

dans le jeu de règles évoluées, si je veux autoriser la partie "Serveur" d'un programme P2P.
Par exemple Gnutella 1 et Gnutella 2 (avec ShareAza par ex.) je dois placer la règles immédiatement
après les règles bloquant les paquets TCP illégaux ou anormaux
MAIS AVANT la règle "Centrale" TCP : Bloquer les connexions entrantes.

Est-ce un peu plus clair maintenant? <-QUOTE}

voila et je voulais savoir si j'avais bien fais mes devoirs
j'ai joint mes règles si une âme charitable pouvais corriger au cas ou et m'expliquer si besoin.

Cependant j'ai un problème Limewire m'indique que je suis derrière un pare feu ??! (sinon azureus et emule fonctionnent sans problèmes
je comprend pas ce qui bloque.

voila
merci d'avance
cordialement
rab68

Bonjour, et bienvenu sur ce forum,

Si c'est juste pour vérifier l'ordre des règles, ce serait plus rapide (pour la verif) de faire 1 ou 2 copies d'écran de la fenêtre du filtrage internet.

En ce qui concerne Limwire, n'avez-vous pas des blocages dans le journal ?
Une règle est disponible pour ce logiciel ici:
http://looknstop.soft4ever.com/Rules/Fr/

Cordialement,

Frédéric

Merci
voila je joint la capture

ps: Source(PC>>Net)/Destination(Net>>PC) signifie que le pc fait office de serveur ??

L'ordre des règles n'est pas correct.

Vous avez mis toutes les règles qui autorisent devant, et toutes les règles qui bloquent à la fin.

Comme indiqué dans le post que vous mentionnez, l'ordre doit être, pour TCP principalement:
1-Bloquer les paquets illégaux (règles du genre Land Attack, Win Nuke, Flags TCP illégaux).
2-autorisation des logiciels servers autorisés (P2P en général, mais aussi par exemple server Web, FTP...)
3-La règle "Bloquer les connexions entrantes" (règle pivot importante)
4-Autorisation des logiciels clients (en général il s'agit juste de la règle "TCP : Autorise les services Internet Standards."
5-Blocage de tous les autres paquets (la règle "TCP : Bloque tous les autres paquets.").

Bref il y a une alternance de règles qui autorisent et qui bloquent, ce qui n'est pas le cas de votre jeu de règles.

Le jeu de règle évolué est construit sur ce principe, et vous n'auriez pas du changer la position relative des règle initiales du jeu, mais juste insérer vos nouvelles règles au bon endroit (principalement les règles serveurs/P2P qui doivent être devant la règle "Bloquer les connexions entrantes").

Oui, quand un port spécifique est précisé dans la partie "Source(PC>>Net)/Destination(Net>>PC)", et notamment si le port est < 1024, cela signifie en gérénal qu'il s'agit d'un port à autoriser en mode serveur. Le cas typique (dans les jeux de règle standard est "TCP : Autoriser l'identification").
Cependant cette partie de la règle sert aussi à identifier les ports locaux des connexions clientes comme dans le cas de la règle "TCP : Autorise les services Internet Standards.".
En résumé, la valeur du port et aussi la position de la règle (avant ou après la règle pivot du blocage des connexions) permet aussi d'apprécier si la partie "Source(PC>>Net)/Destination(Net>>PC)" est utilisée dans un cas server ou client.

Cordialement,

Frédéric

Ok merci

j'avais cru comprendre que les règles autorisant XY étaient à mettre avant (cad au dessus dans la liste) les règles bloquer le reste ?

je pensais que mettre toute les règles autoriser X en haut et bloquer tout le reste en bas de la liste marcherais hors c'est plus compliquer que ça :-\

sans toucher aux règles avancées j'ai positionner les règles pour azureus tout en haut sa fonctionne (cependant j'ai de temps en temps un blocage ICMP ??? quand azureus tourne)

j'ai fait de même avec emule et la aussi pas de soucis ni de blocages particulier

concernant limewire je n'y comprend rien bien que j'ai une connexion turbo, il m'indique toujours que je suis derrière un pare feux (chose qu'il ne fait pas quand j'éteins LnS il qu'il n'indiquer pas avec zone alarme fin bon c'est pas grave)


est ce que les règles sont bien positionnées cette fois ci

encore merci pour votre aide
cordialement
rab68

{QUOTE-> Ok merci

j'avais cru comprendre que les règles autorisant XY étaient à mettre avant (cad au dessus dans la liste) les règles bloquer le reste ?
<-QUOTE}
Oui, c'est bien cela.
{QUOTE->
Maintenant il reste des règles que je ne sais pas du tout comment places(toutes celles au-dessus de limewire)(cf image jointe)
<-QUOTE}
Comme la plupart de ces règles sont sans doute des règles client et server, la seule contrainte est de les mettre avant la règle "bloquer les connexions entrantes", ce qui est le cas.
Toutefois les règles TCP pourraient être placées après la règle "Bloquer Land-Attack", les règles UDP pourraient être regoupées, juste au dessus de la règle DNS.
Les règles ICMP et ARP sont dupliquées, et vous pouvez laisser celles du bas du jeu de règles d'origine (en général les règles sont rangées dans l'ordre: TCP / UDP / ICMP / Autres / (puis à la fin la règle qui bloque tout ce qui n'a pas été autorisé).

Mais bon, si marche en l'état c'est peut être plus prudent de laisser comme ça (ou si vous modifiez, gardez ce jeu de règles de coté, sauvez les modif sous un nouveau nom).

Cordialement,

Frédéric

encore merci

j'ai fait comme vous avez dis TCP / UDP / ICMP / Autres (et ça fonctionne)

cependant, la je ne comprend pas pourquoi mettre les règles tcp après land attack , y a t il une raison spéciale??

{QUOTE-> cependant, la je ne comprend pas pourquoi mettre les règles tcp après land attack , y a t il une raison spéciale?? <-QUOTE}
C'est juste par ce que c'est la dernière du groupe de règles bloquantes "1-Bloquer les paquets illégaux".
Ce n'est pas lié à cette règle en particulier.

Frédéric

{QUOTE-> Oui, c'est bien cela.

Toutefois les règles TCP pourraient être placées après la règle "Bloquer Land-Attack", les règles UDP pourraient être regoupées, juste au dessus de la règle DNS.


Frédéric <-QUOTE}

J'ai un doute la , vous voulez dire que je garde l'ordre des regles standard et j'intercale mes regles TCP entre Land ATTACK et autoriser l'identification.

Car j'ai du mal à comprendre l'ordre AVANT=EN HAUT sur la liste
et APRES=EN BAS sur la liste

autre question que signifient ces blocages dans mon journal

-Stateful Packet Inspection: La table est remplie.
Il y a trop de connexions et je dois modifier cette règles ??
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw]
pourtant dans le journal il me propose d'ouvrir des ports...

-Stateful Packet Inspection: Pas de connection trouvée.
j'ai rien trouver dessus

-J'ai aussi des blocages ICMP de type 3 de mon PC vers Internet
y'a t il un lien avec les connections non trouvés

je crois avoir compris mais je ne maitrise pas le protocole ICMP donc je ne suis pas sur
Quand j'eteint AZUREUS les autres clients essaye de me contacter donc mon pc au client un code ICMP type 3 (le port est fermés)
si j'autorise le code 3 ICMP les clients auront la réponse que le port est fermé ,mais si qq'un fais un scan IP la mienne répondra
et je vois pas comment faire une règle qui répondrais juste aux clients d'azureus une fois celui ci fermé .

Bon je pense que le reste est indépendant de LnS
en tout cas c'est un super logiciel simple et complet
et super forum

encore merci à vous
cordialement
rab68

{QUOTE-> J'ai un doute la , vous voulez dire que je garde l'ordre des regles standard et j'intercale mes regles TCP entre Land ATTACK et autoriser l'identification.
<-QUOTE}
Oui, pour les règles de type server (P2P et autres).
Il me semble que c'était bien le cas sur le copie d'écran donc tout était Ok.
C'est toujours bon sur la nouvelle copie d'écran.

{QUOTE->
autre question que signifient ces blocages dans mon journal

-Stateful Packet Inspection: La table est remplie.
Il y a trop de connexions et je dois modifier cette règles ??
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw]
<-QUOTE}
Cela signifie que le trafic P2P est très important et que la fonction TCP Stateful Inspection n'arrive pas à suivre.
Oui, dans la clef indiquée vous pouvez ajouter la valeur DWORD MaxSPIEntries pour augmenter le nombre d'entrées de la table (par défaut 256, vous pouvez mettre 512, ou plus jusqu'à 1024 max). Il faut redémarrer l'ordinateur pour que cela prenne effet.
{QUOTE->
pourtant dans le journal il me propose d'ouvrir des ports...
<-QUOTE}
La création de règle automatique ne convient pas à ce type d'alertes.
{QUOTE->
-Stateful Packet Inspection: Pas de connection trouvée.
j'ai rien trouver dessus
<-QUOTE}
Ca arrive souvent lors de l'utilisation de logiciels P2P. Et ça peut être aussi une conséquence du premier problème.
{QUOTE->
-J'ai aussi des blocages ICMP de type 3 de mon PC vers Internet
y'a t il un lien avec les connections non trouvés

je crois avoir compris mais je ne maitrise pas le protocole ICMP donc je ne suis pas sur
Quand j'eteint AZUREUS les autres clients essaye de me contacter donc mon pc au client un code ICMP type 3 (le port est fermés)
si j'autorise le code 3 ICMP les clients auront la réponse que le port est fermé ,mais si qq'un fais un scan IP la mienne répondra
et je vois pas comment faire une règle qui répondrais juste aux clients d'azureus une fois celui ci fermé .
<-QUOTE}
Non, ce n'est pas lié au problème précédent, c'est toujours lié à l'utilisation du logiciel P2P. Certains ports sont inaccessibles (non ouverts par le logiciel P2P, de manière normale) et certains PC distants essayent quand même de contacter votre PC sur ces ports. Cela génère des ICMP Type 3 (pour justement prévenir le site distant que le port n'est pas accessible).
Quand vous quittez le logiciel P2P, le phénoméne est plus flagant car tous les ports deviennent inaccessibles, donc toutes les tentatives des PCs distants se terminent par un ICMP Type 3.
{QUOTE->
Bon je pense que le reste est indépendant de LnS
en tout cas c'est un super logiciel simple et complet
et super forum
<-QUOTE}
Merci bien ;)

Frédéric