Manque type TCPV6 pour règle

[Otomatic]

Bonjour,

Paquet bloqué par LNS :
U-147 'TCP : Bloque tous les au' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:50425

Ci-dessous, le même paquet analysé par Wireshark
C'est bien un paquet TCP, en IPv6, qui provient de mon IPv6 :
2a01:e35:2f71:11f0:61a7:4367:b418:de8a port : 50425
à destination de l'IPv6 :
2001:470:1:18::2 port : 80

Je vais « essayer » de faire une analyse du contenu ci-dessous pour comprendre pourquoi LNS bloque ce paquet et comment faire pour l'autoriser, sans, par ailleurs, autoriser ce qui ne devrait pas l'être.

Code:

No.     Time        Source                Destination           Protocol Length Info
     10 0.913851    2a01:e35:2f71:11f0:61a7:4367:b418:de8a 2001:470:1:18::2      TCP      86     50425 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1420 WS=4 SACK_PERM=1

Frame 10: 86 bytes on wire (688 bits), 86 bytes captured (688 bits)
    Arrival Time: Sep 14, 2011 18:52:37.035019000 Paris, Madrid (heure d’été)
    Epoch Time: 1316019157.035019000 seconds
    [Time delta from previous captured frame: 0.334186000 seconds]
    [Time delta from previous displayed frame: 0.334186000 seconds]
    [Time since reference or first frame: 0.913851000 seconds]
    Frame Number: 10
    Frame Length: 86 bytes (688 bits)
    Capture Length: 86 bytes (688 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ipv6:tcp]
    [Coloring Rule Name: HTTP]
    [Coloring Rule String: http || tcp.port == 80]
Ethernet II, Src: AsustekC_b3:5d:8e (00:22:15:b3:5d:8e), Dst: FreeboxS_13:6d:ec (00:07:cb:13:6d:ec)
    Destination: FreeboxS_13:6d:ec (00:07:cb:13:6d:ec)
        Address: FreeboxS_13:6d:ec (00:07:cb:13:6d:ec)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: AsustekC_b3:5d:8e (00:22:15:b3:5d:8e)
        Address: AsustekC_b3:5d:8e (00:22:15:b3:5d:8e)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IPv6 (0x86dd)
Internet Protocol Version 6, Src: 2a01:e35:2f71:11f0:61a7:4367:b418:de8a (2a01:e35:2f71:11f0:61a7:4367:b418:de8a), Dst: 2001:470:1:18::2 (2001:470:1:18::2)
    0110 .... = Version: 6
        [0110 .... = This field makes the filter "ip.version == 6" possible: 6]
    .... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
        .... 0000 00.. .... .... .... .... .... = Differentiated Services Field: Default (0x00000000)
        .... .... ..0. .... .... .... .... .... = ECN-Capable Transport (ECT): Not set
        .... .... ...0 .... .... .... .... .... = ECN-CE: Not set
    .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
    Payload length: 32
    Next header: TCP (0x06)
    Hop limit: 64
    Source: 2a01:e35:2f71:11f0:61a7:4367:b418:de8a (2a01:e35:2f71:11f0:61a7:4367:b418:de8a)
    Destination: 2001:470:1:18::2 (2001:470:1:18::2)
Transmission Control Protocol, Src Port: 50425 (50425), Dst Port: http (80), Seq: 0, Len: 0
    Source port: 50425 (50425)
    Destination port: http (80)
    [Stream index: 2]
    Sequence number: 0    (relative sequence number)
    Header length: 32 bytes
    Flags: 0x02 (SYN)
        000. .... .... = Reserved: Not set
        ...0 .... .... = Nonce: Not set
        .... 0... .... = Congestion Window Reduced (CWR): Not set
        .... .0.. .... = ECN-Echo: Not set
        .... ..0. .... = Urgent: Not set
        .... ...0 .... = Acknowledgement: Not set
        .... .... 0... = Push: Not set
        .... .... .0.. = Reset: Not set
        .... .... ..1. = Syn: Set
            [Expert Info (Chat/Sequence): Connection establish request (SYN): server port http]
                [Message: Connection establish request (SYN): server port http]
                [Severity level: Chat]
                [Group: Sequence]
        .... .... ...0 = Fin: Not set
    Window size value: 8192
    [Calculated window size: 8192]
    Checksum: 0xd5fb [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
    Options: (12 bytes)
        Maximum segment size: 1420 bytes
        No-Operation (NOP)
        Window scale: 2 (multiply by 4)
            Kind: Window Scale (3)
            Length: 3
            Shift count: 2
            [Multiplier: 4]
        No-Operation (NOP)
        No-Operation (NOP)
        TCP SACK Permitted Option: True

[Otomatic]

Bonjour,

Impossible de créer des règles qui autorisent les paquets TCPV6.
Le seul moyen est de désactiver temporairement la règle TCP Bloque tous les autres paquets avec les jeux standard ou évolués de base sans aucune modification.
Il manque quelque-chose aux possibilités de filtrage de LNS pour autoriser le type TCP en IPv6.
Ce n'est pas que j'en ai un besoin impératif, mais IPV6 approche à grand pas et je souhaite vivement être totalement prêt.

Le parefeu de Windows 7 64b fonctionne, mais c'est une vraie usine à gaz pour le paramétrer, créer des règles et surtout, en voir les effets.

Ce que j'aime énormément dans LNS c'est sa simplicité et son ergonomie d'utilisation et je crains fort de ne pouvoir retrouver ceci dans un autre parefeu.

[Phant0m]

Voir la règle "TCP:. Autorise les services Internet Standards" et vérifiez le port source est dans la plage de ports a précisé que «Look 'n' Stop" est l'aide pour 'Local Dans «critères. Essayez de changer de 'Local Dans' à 'tous', et même essayer d'utiliser «tous» les critères au lieu de 'Equal Mon @ »pour:« critères d'adresse IP ».

[Otomatic]

Bonjour,

J'y suis enfin arrivé en ajoutant deux règles d'autorisation dans la partie TCP que j'ai nommé :
http://aviatechno.free.fr/images/lns_regles_tcpv6.jpg
TCPV6 <- 80 ou 443 - Autorise entrants ports 80 ou 443 vers ports locaux
http://aviatechno.free.fr/images/lns_entrants_tcpv6.jpg
TCPV6 -> 80 ou 443 - Autorise sortants ports locaux vers ports 80 ou 443
http://aviatechno.free.fr/images/lns_sortants_tcpv6.jpg
Il n'est pas possible de spécifier mon adresse IP, sinon, les paquets ne sont pas acceptés.

Merci à tous et particulièrement à PhantOm qui a beaucoup insisté

[quote=Otomatic]
J'y suis enfin arrivé en ajoutant deux règles d'autorisation dans la partie TCP que j'ai nommé :
http://aviatechno.free.fr/images/lns_regles_tcpv6.jpg
TCPV6 <- 80 ou 443 - Autorise entrants ports 80 ou 443 vers ports locaux
http://aviatechno.free.fr/images/lns_entrants_tcpv6.jpg
TCPV6 -> 80 ou 443 - Autorise sortants ports locaux vers ports 80 ou 443
http://aviatechno.free.fr/images/lns_sortants_tcpv6.jpg
Il n'est pas possible de spécifier mon adresse IP, sinon, les paquets ne sont pas acceptés.
QUOTE]



Salut,

Je n'ai toujours pas installé LNS et n'ai pas l'intention de le faire, il est anormal qu'un logiciel reste si longtemps sans soutien officiel, bien qu'étant toujours disponible à la vente, il est temps pour moi de passer à autre chose, dommage.

Remarque : ta 2ème règle, tu as ouvert des ports en serveur, d'après ce qu'il me semble.

[Otomatic]

Quote:

Originally Posted by Spiedbot

... il est temps pour moi de passer à autre chose, dommage.

Bonjour,
Et oui, dommage !
C'est comme pour Wampserver pour lequel je suis quasiment seul à assurer le support.
Vers quel Firewall t'orienterais-tu ?

[Phant0m]

Vous avez seulement besoin d'une règle unique pour initier TCPv6 connexions, juste déplacer cette règle ci-dessous "TCP: Bloquer les connexions entrantes." Pour les connexions client. Pour TCPv6 règles du serveur, créer / les relocaliser à la règle ci-dessus "TCP: Bloquer les connexions entrantes.".

Voici une règle client ...

Quote:

Originally Posted by Otomatic

Bonjour,

J'y suis enfin arrivé en ajoutant deux règles d'autorisation dans la partie TCP que j'ai nommé :
http://aviatechno.free.fr/images/lns_regles_tcpv6.jpg
TCPV6 <- 80 ou 443 - Autorise entrants ports 80 ou 443 vers ports locaux
http://aviatechno.free.fr/images/lns_entrants_tcpv6.jpg
TCPV6 -> 80 ou 443 - Autorise sortants ports locaux vers ports 80 ou 443
http://aviatechno.free.fr/images/lns_sortants_tcpv6.jpg
Il n'est pas possible de spécifier mon adresse IP, sinon, les paquets ne sont pas acceptés.

Merci à tous et particulièrement à PhantOm qui a beaucoup insisté

Quote:

Originally Posted by Otomatic

Vers quel Firewall t'orienterais-tu ?

Re,

Pare feu de suite (bitdefender), bien moins paramétrable en version 2012, sinon je suis à peu près venu à bout de celui de Windows 7,



"Configurer le pare feu de Windows 7.



D'abord aller dans «panneau de configuration» puis,
«tous les panneaux de configuration»
«pare feu windows»
«paramètres avancés»
«propriétés du pare feu Windows»



Choisir son profil,
dans «profil de domaîne» bloquer les connexions sortantes si vous êtes en entreprise, idem dans «public» si vous êtes dans un(e) gare/aéroport/café avec un portable, dans le profil privé (votre domicile) bloquer les sortantes, puis cliquer en haut à gauche dans «règles de trafic sortant»

Laisser les règles entrantes en l'état.

Cliquer sur,
«nouvelle règle»
là il y a 2 choix possibles dans la plupart des cas, on clique sur «programme» ou «personnalisée», le plus simple d'abord, je clique sur «programme» puis «suivant» «au programme ayant pour chemin d'accès» et on va dans le poste de travail pour trouver c: programmes ou program files (x86), suivant le type d'OS, XP ou W7, sélectionner «internet explorer iexplorer» (32 ou 64 bits, ne pas confondre avec explorer.exe).

cliquer sur «suivant» «autoriser la connexion»
cliquer sur «suivant» et décocher «domaine» et «public» selon les cas (Windows conseille de créer des règles pour les 3 domaines en même temps).
cliquer sur «suivant» donnez un nom à la règle, du genre Iexplorer sortant, et cliquez sur «terminer».


Un peu plus compliqué, avec la règle précédente, TCP et UDP sont autorisés en sortie sans aucune précision des ports utilisés.
Au lieu de cliquer sur «programme» après «nouvelle règle» (sortante) cliquez sur «personnalisée» «au programme ayant pour chemin d'accès»
c: %ProgramFiles% (x86)\Windows Live\Messenger\msnmsgr.exe

cliquer sur «suivant»
«type de protocole» cliquez sur «TCP» (UDP peut parfois être nécessaire, pour les jeux par exemple, si ça marche ne cliquez que sur TCP).
«port local» laissez comme tel (tous les ports).
«port distant» cliquez sur «ports spécifiques», puis en dessous indiquez les ports MSN, en séparant chaque port par une virgule, et une plage de ports par un tiret, ce qui donne:
9,80,443,1863,7001

Cliquer sur «suivant»,
là vous pouvez encore préciser les choses,
Dans «à quelle adresses IP locales cette règle s'applique t'elle ?»
Cliquez sur «ces adresses IP» puis sur «ajouter» et notez votre adresse IP locale que vous aurez trouvée dans la configuration de votre box (du type 192.168.1.**).
Puis continuez comme dans le mode habituel «programme» pour terminer.



Quelques ports à connaître, en général le port 80 est suffisant pour obtenir la connexion.
pour un navigateur > 80,443.
WL messenger > 9,80,443,1863,7001.
WL mail > 25,80,110,443.



Windows,
pour un service, afin d'autoriser windows update par exemple, il faudra, au moment de choisir le type de règles, cliquer sur «règle personnalisée», cliquer ensuite sur «au programme ayant pour chemin d'accès», trouver «%system root%\system32\svchost.exe», cliquer sur «personnaliser», cliquer sur «appliquer à ce service», et enfin trouver windows update.
dans «actions», dans la colonne à droite du module pare feu de Windows, vous pouvez exporter vos règles au format .txt.

Quelques règles à créer,

Nom Groupe Profil Activée Action Programme Adresse locale Adresse distante Protocole Port local Port distant Ordinateurs autorisés
alg.exe Public Oui Sécurisé %SystemRoot%\System32\alg.exe Tout Tout Tout Tout Tout Tout
cmd.exe Public Oui Autoriser %SystemRoot%\System32\cmd.exe Tout Tout Tout Tout Tout Tout
explorer.exe Public Oui Sécurisé %SystemRoot%\explorer.exe Tout Tout Tout Tout Tout Tout
Firefox Public Oui Autoriser %ProgramFiles% (x86)\Mozilla Firefox\firefox.exe Tout Tout TCP Tout Tout Tout
helpane.exe Public Oui Autoriser %SystemRoot%\HelpPane.exe Tout Tout Tout Tout Tout Tout
hh.exe Public Oui Autoriser %SystemRoot%\hh.exe Tout Tout Tout Tout Tout Tout
Iexplorer Public Oui Autoriser %ProgramFiles% (x86)\Internet Explorer\iexplore.exe Tout Tout TCP Tout Tout Tout
java.exe Public Oui Autoriser %ProgramFiles% (x86)\Java\jre6\bin\java.exe Tout Tout Tout Tout Tout Tout
javaw.exe Public Oui Autoriser %ProgramFiles% (x86)\Java\jre6\bin\javaw.exe Tout Tout Tout Tout Tout Tout
jucheck.exe Public Oui Autoriser %ProgramFiles% (x86)\Common Files\Java\Java Update\jucheck.exe Tout Tout Tout Tout Tout Tout
mmc.exe Public Oui Sécurisé %SystemRoot%\System32\mmc.exe Tout Tout Tout Tout Tout Tout
msiexec.exe Public Oui Autoriser %SystemRoot%\SysWOW64\msiexec.exe Tout Tout Tout Tout Tout Tout
msiexec.exe Public Oui Autoriser %SystemRoot%\System32\msiexec.exe Tout Tout Tout Tout Tout Tout
ping.exe Public Oui Autoriser %SystemRoot%\System32\PING.EXE Tout Tout Tout Tout Tout Tout
ping.exe Public Oui Autoriser %SystemRoot%\SysWOW64\PING.EXE Tout Tout Tout Tout Tout Tout
relpost.exe Public Oui Autoriser %SystemRoot%\System32\RelPost.exe Tout Tout Tout Tout Tout Tout
rundll32.exe Public Oui Sécurisé %SystemRoot%\System32\rundll32.exe Tout Tout Tout Tout Tout Tout
rundll32.exe Public Oui Sécurisé %SystemRoot%\SysWOW64\rundll32.exe Tout Tout Tout Tout Tout Tout
taskeng.exe Public Oui Autoriser %SystemRoot%\System32\taskeng.exe Tout Tout Tout Tout Tout Tout
taskhost.exe Public Oui Autoriser %SystemRoot%\System32\taskhost.exe Tout Tout Tout Tout Tout Tout
trustedinstaller.exe Public Oui Autoriser %SystemRoot%\servicing\TrustedInstaller.exe Tout Tout Tout Tout Tout Tout
userinit.exe Public Oui Autoriser %SystemRoot%\System32\userinit.exe Tout Tout Tout Tout Tout Tout
watadmin.exe Public Oui Autoriser %SystemRoot%\System32\Wat\WatAdminSvc.exe Tout Tout Tout Tout Tout Tout
werfault.exe Public Oui Autoriser %SystemRoot%\System32\WerFault.exe Tout Tout Tout Tout Tout Tout
werfault.exe Public Oui Autoriser %SystemRoot%\SysWOW64\WerFault.exe Tout Tout Tout Tout Tout Tout
wermgr.exe Public Oui Autoriser %SystemRoot%\System32\wermgr.exe Tout Tout Tout Tout Tout Tout
wermgr.exe Public Oui Autoriser %SystemRoot%\SysWOW64\wermgr.exe Tout Tout Tout Tout Tout Tout
Windows live mail Public Oui Autoriser %ProgramFiles% (x86)\Windows Live\Mail\wlmail.exe Tout Tout Tout Tout Tout Tout
Windows live messenger Public Oui Autoriser %ProgramFiles% (x86)\Windows Live\Messenger\msnmsgr.exe Tout Tout Tout Tout Tout Tout
Windows update Public Oui Autoriser %SystemRoot%\System32\svchost.exe Tout Tout Tout Tout Tout Tout
wlcomm.exe Public Oui Autoriser %ProgramFiles% (x86)\Windows Live\Contacts\wlcomm.exe Tout Tout Tout Tout Tout Tout
wlidsvc.exe Public Oui Autoriser %ProgramFiles%\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE Tout Tout Tout Tout Tout Tout"


Bon courage.

[Otomatic]

Quote:

Originally Posted by Spiedbot

Bon courage.

Merci
Quand je disais que le Parefeu de Windows 7, c'était une usine à gaz !

[Otomatic]

Quote:

Originally Posted by Phant0m

Vous avez seulement besoin d'une règle unique...

Merci / Thank You ! Ça fonctionne ! / It works!

[Phant0m]

Vous êtes les bienvenus