C827 et Phantom rules 5 :( [Archive] - Wilders Security Forums

View Full Version : C827 et Phantom rules 5 :(

kamui

May 4th, 2004, 06:18 PM

Hi All ,

J'ai un petit pb avec lns 2.05 finale avec Ph rules 5 et mon new routeur cisco 827 ;), je ne peux plus surfer quand les régles "+TCP : Block Fragments" et "+TCP : Block MF flag" sont activés alors qu'avant sa marchait nickel avec mon routeur Thomson 510 v4 ::)

Merci d'avance :D

voici mon log

05/05/04,00:16:56 D-39 '+TCP : Block Fragments ' 81.249.116.126 TCP Ports Dest:10472 Src:10007
05/05/04,00:16:58 D-40 '+TCP : Block MF flag ' 193.226.140.217 TCP Ports Dest:1289 Src:80
05/05/04,00:16:58 D-41 '+TCP : Block Fragments ' 193.226.140.217 TCP Ports Dest:25957 Src:21352
05/05/04,00:17:11 D-42 '+TCP : Block MF flag ' 212.73.209.131 TCP Ports Dest:1292 Src:80
05/05/04,00:17:11 D-43 '+TCP : Block Fragments ' 212.73.209.131 TCP Ports Dest:32010 Src:15114
05/05/04,00:17:30 D-44 '+TCP : Block MF flag ' 198.103.98.139 TCP Ports Dest:1284 Src:80
05/05/04,00:17:30 D-45 '+TCP : Block Fragments ' 198.103.98.139 TCP Ports Dest:25888 Src:30067
05/05/04,00:17:44 D-46 '+TCP : Block MF flag ' 81.249.116.126 TCP Ports Dest:1291 Src:80
05/05/04,00:17:44 D-47 '+TCP : Block Fragments ' 81.249.116.126 TCP Ports Dest:10472 Src:10007

gkweb

May 5th, 2004, 08:07 AM

Salut Kamui,

je pense que ton soucis est le même que pour Tele2 ou d'autres FAI, certains routeurs fragmentent les paquets (ce qui est un traffic normal documenté dans les RFC), peut être est ce une configuration par défaut pour améliorer les temps de réponse, car un paquet plus petit va arriver plus vite, mais le surplus (overhead) des en-tête supplémentaires va utilisé plus de bande passante, c'est un compromis à faire.

Je suppose que tu as déjà regardé le manuel de ton routeur, ils ne parlent pas de ça ?

Malheureusement les paquets fragmentés ont beaucoup servis aussi pour certaines attaques réseau ce qui explique les régles pour les bloquer.
Je suis a Wanadoo et en bloquant les paquets fragmenté je n'ai aucun soucis
(j'ai une passerelle Linux qui ne fragmente pas).

Si ton routeur requiert absolument des paquets fragmentés, soit tu le configure autrement si c'est possible, sinon faut vivre avec ::)

gkweb.

kamui

May 5th, 2004, 05:56 PM

Merci Gkweb , faut que je me renseigne sur mon routeur cisco et les paquets fragmentés :) .

On me l'as vendus sans doc :'( , je l'ai donc installer un peu à l'arrache :P

Voila ;)

Midnight

May 6th, 2004, 02:57 PM

Salut,

Pour ton routeur, tu trouveras plein d'info ici:
http://www.labo-cisco.com/

@+
Midnight

kamui

May 8th, 2004, 02:13 PM

Merci Midnight je connais déja ce site ;)

en parlant de cisco puis je convertir les régles de phantom 5 en ACL Cisco ?? ??? ::)