adresses réseau LAN

Bonjour à tous ! Et Bonne Année !

Nouveau sur ce forum (et nouveau firewall pour moi), je n'ai pas trouvé de posts récents qui semblent répondre à mon problème...

Rubrique : Options avancées de Look&Stop
L'aide dit " 'Exclure adresses IP': ce champ est utile si vous avez sélectionné l'option 'Auto-Détection' dans les options. Il vous permet de donner une liste d'adresse IP locales pour lesquelles Look 'n' Stop ne doit pas détecter une connexion Internet externe. Dans cette case, il faut donc spécifier des adresses du style 192.168.0.1, 169.254.100.1,... qui ne sont pas utilisées pour des vraies connections Internet mais pour des réseaux locaux."

Mes connaissances en réseau sont très faibles, mais (en général) 192.168.0.1 est l'adresse LAN donnée par le modem (ou le routeur) à *mon* ordinateur (pour peu que la fonction DHCP soit activée). Pourquoi alors l'exclure de la détection des "adresses internet" ? S'il s'agit de *mon* ordinateur, Windows utilise plutôt 127.0.0.1 ?

Deuxième question : mon LAN est derrière une FreeBox, dont l'adresse est 192.168.0.254. Dois-je la considérer comme une adresse internet ou comme une adresse locale ?

Troisième question : j'ai essayé de mettre dans le champ une plage d'adresses, sous la forme 192.168.0.1-192.168.0.253, de manière à dire à Look&Stop que tous les ordinateurs de mon LAN ne devaient pas être "filtrés", et... il semble que Look&Stop n'ait pas *du tout* apprécié : la seule façon de continuer à travailler a été de faire un reboot sauvage.
Si la FreeBox doit être considérée comme une adresse internet, comment indiquer une plage d'adresses *sauf* une ? Si je mets dans le champ 192.168; et rien d'autre, la FreeBox ne sera pas filtrée... (remarque : il est impossible de se connecter à la FreeBox pour effectuer des réglages, par la volonté de Free - pour effectuer des réglages, on doit se connecter CHEZ Free, faire les réglages, les enregistrer, puis redémarrer la FreeBox pour qu'elle charge la nouvelle configuration). Donc cette question est à la fois pratique (autoriser tout mon LAN d'un seul coup) et théorique.

J'espère que mon ignorance des réseaux ne m'a pas conduit à écrire des questions sans queue ni tête...

Merci d'avance pour les réponses.

Amicalement,

 

Bonjour Ypoons

[Très] content de vous voir ici... ;-)

Très bonne année aussi.

Il est qustion ici de la détection de paquets Internet via l'interface réseau.
Cela, AFAIK (As far as I know), permet de ne pas détecter des paquets locaux (sur le réseau local) comme étant d'origine externe...

Sur un réseau local même minimal, i.e. 1 PC + un router, la plage d'adresse de 192.168.0.0 à 192.168.255.255
est réservée comme le réseau local et ne se transmet pas sur Internet. Par exemple un paquet avec une adresse IP d'origine dans la plage en question est anormal.


Pour la question des plages d'adresses on a ceci par exemple:

PC (adresse IP locale = 192.168.0,123) <<==>> Router (adresse IP local 192.168.0.1) <<==>> Adresse IP publique par ex. 74.23.28.04

Adresse local uniquement.

Je ne connais pas la "FriteBox" mais il se pourrait que l'adresse d'accès à celle-ci (sa configuration) soit plutôt 192,169.0.1 ou 192.168.1.1... Non? (Ma seule excuse si la réponse est unqualifiable est que j'habite l'Amerdique du Nord et qu'il fait très froid en ce moment...)


Pour se connecter à un router il faut en général le faire via l'une de ce deux adresses via le navigateur.

Oh, ce n'est pas grave car nous avons ici l'habitude de répondre ;a des question bien plus "terribles" que les vôtres. Il se pourrait même que nous ayint sous peu à engager un Psy ou QQ chose de semblable...
(Une farce bien sûr... )

Quelques informations qui pourraient vous être utiles:
http://climenole.wordpress.com/lns-introduction/

et ce post (avec image!!!) dans un autre fil de discussion:
https://www.wilderssecurity.com/showpost.php?p=1042527&postcount=15

A+

 

Bonjour,

Quelques précisions sur cette option avancée.

Cette option "exclure les adresses IP", ne sert qu'à Look 'n' Stop pour choisir l'interface réseau qui doit être filtrée, et uniquement à cela.
Ca ne sert pas à savoir quelles machines du réseau vont être filtrées ou non.
Autrement dit: les adresses IP indiquées là ne sont comparées qu'aux adresses IP du PC, et non aux adresses IP des machines du réseau.

Dans votre cas, comme votre adresse IP est 192.168.0.1 et que vous souhaitez que Look 'n' Stop agisse sur cette interface, il faut juste que vous enleviez cette adresse IP de la liste.

Au lieu de "10;169.254;192.168.0.1;127.0.0.1" (par défaut), mettez "10;169.254;127.0.0.1".

(Dans cette liste vous ne pouvez pas préciser de plage d'adresse avec le '-', mais juste des adresses IP complètes ou partielles séparées par des ';').

En général 192.168.0.1 correspond à l'adresse IP du routeur, ou à l'adresse IP d'une interface réseau locale (notamment lors de l'utilisation du partage de connexion), dans ces cas d'utilisation, l'interface réseau correspondante n'est pas celle qui correspond à internet et donc ce n'est pas celle qui doit être sélectionnée, et c'est pour cela qu'elle est par défaut dans la liste d'exclusion.

Cordialement,

Frédéric

 

Et moi donc ! J'avais noté les (anciennes) coordonnées de tes pages d'aide sur LnS mais... tu les as déménagées depuis... Merci de les avoir mises à la fin du message !

Merci, à toi aussi !
Je sais que les grands froids sont en vigueur de l'autre côté de la flaque, mais je te rassure, tu n'es pas le seul ! Il a neigé récemment chez moi, transformant ma ville en station de sports d'hiver de (très) moyenne montagne (altitude 180 mètres). Hélas, ça ne dure pas...

C'est probablement une des lacunes de mon instruction en informatique : les paquets sont identifiés par l'adresse IP d'expédition ? Tu ne t'étends pas beaucoup sur cet aspect (ou je n'ai pas su en tirer la substantifique moëlle), et les liens fournis (vers Wiki ou autre) n'en parlent pas beaucoup non plus.

Oui, mais... je ne suis pas sûr d'avoir compris.
Prenons un exemple précis : chez moi
La maison a été câblée (par moi) en Ethernet. J'ai donc :
- une adresse WAN ... qui est ce qu'elle est (dans mon cas, Free m'attribue toujours la même)
- un modem/routeur (la FreeBox). Le DHCP du routeur est activé, dans la plage 192.168.0.1/192.168.0.50 (je ne m'en sers pas personnellement, mais mes enfants peut-être...) Le routeur fait du NAT, donc il *transmet* vers le LAN des paquets avec une adresse d'expédition 192.168.0.254.
- un switch Ethernet
- mon PC avec IP fixe 192.168.0.40
- un autre PC avec IP fixe 192.168.0.35
- mes enfants qui viennent de temps en temps à la maison, et qui connectent leur équipement informatique sur le switch.

Les paquets que je reçois d'internet (que ce soient ceux qui sont des réponses à une requête de ma part ou ceux qui pourraient être des "attaques") arrivent sur mon ordinateur avec une origine "venant de la FreeBox", exact ? (puisqu'elle fait du NAT...) Ils ont donc comme origine 192.168.0.254
Si j'ai bien compris, il ne faut donc *pas* que je mette cette adresse dans la "liste des exclusions" ?
Mais je veux aussi dire au pare-feu que je fais confiance à *tous* les autres ordinateurs du LAN (qui sont bien équipés niveau antivirus et pare-feu), donc que je mette dans la liste des exclusions *toutes* les autres adresses de la plage ?

C'est une des particularités de la FreeBox : Free interdit la configuration directe du routeur (par connexion à 192.168.0.254 depuis un navigateur). Pour modifier la configuration, il faut aller sur le site de Free, faire les modifications *sur le site* dans un formulaire dédié, puis enregistrer la nouvelle donnée et ensuite redémarrer la FreeBox : elle chargera alors la nouvelle configuration et je pourrai l'utiliser.

A bientôt de te lire !

Amicalement,

 

Bonjour Frédéric, et merci de ta réponse.

Là, déjà, j'ai un doute : qu'est-ce qu'une "interface réseau" ?
D'après la structure de ta réponse, j'ai cru comprendre qu'il s'agit de la plage d'adresses IP qui sont considérées comme "adresses non routables". Mais (voir mon autre réponse à Climenole) les paquets que je reçois proviennent bien de mon routeur ? Donc ils proviennent d'un périphérique dans la plage 192.168.x.y, et pourtant ils proviennent bien d'internet ? Je dois donc appliquer des règles de filtrage sur ces paquets ?

C'est ce qu'il m'a semblé, par tâtonnement... Ne serait-ce pas un "plus" d'offrir cette possibilité ? (appel direct à l'équipe de développement...)

Là, j'ai besoin d'explications complémentaires...
Du point de vue de *mon* ordinateur (192.168.0.40), les paquets qui arrivent de mon routeur (192.168.0.254) transitent bien par le LAN, mais en fait ils proviennent d'internet ?
Dans le cas d'un partage de connexion "classique" par Windows, sur le *deuxième* ordinateur si on exclut 192.168.0.1 on se prive de toute protection ?

Mon neurone chauffe fort...

Amicalement,

 

Bonjour,

Cette option ne sert pas à contrôler les machines/PCs du réseau qui sont filtrées/autorisées.
Cette option sert juste à Look 'n' Stop pour décider quelle interface réseau choisir dans les options (et quand le choix est automatique).
Si en définitive votre PC a l'adresse IP 192.168.0.40 (et non 192.168.0.1) ce qui est normal et habituel, vous n'avez pas besoin de toucher à cette option avancée.

Si vous désirez filtrer ou non des machines avec des adresses IP précises, alors ça se passe dans l'onglet "Filtrage internet", et il faut créer des règles.

C'est l'une des connexions affichés dans l'onglet "Options". Il y a plusieurs lignes, chaque ligne est une interface réseau différente, avec sa propre adresse IP.
Une seule ligne est sélectionnée => Look 'n' Stop filtre cette interface réseau (les règles de filtrage seront appliquées sur cette interface).

Non, cette option ne sert pas à ce que vous pensiez, il n'est donc pas utile de pouvoir faire cela. Et de toute façon pour préciser par exemple 192.168.100.1-192.168.100.255, il suffit de mettre 192.168.100
A cet endroit il n'est pas nécessaire de préciser finement une plage d'adresse.

Oui, mais ce n'est pas lié à l'option avancée dont on discute.

Dans le cas du partage de connexion, vous avez en général 2 interfaces réseau, celle qui sert à internet et celle qui est locale pour les autres PC locaux.
L'interface réseau qui est connectée à internet a en général une adresse IP fournie par votre fournisseur, en général ce n'est pas en 192.168.x.y, mais plutôt (par exemple) 80.78.x.y.
En revanche le partage de connexion attribue automatiquement 192.168.0.1 à l'interface réseau locale (et les autres PC locaux qui y seront connectés auront des adresses IP de type 192.168.x.y).
Vous vous retrouvez alors dans les options de Look 'n' Stop avec 2 lignes (au moins):
- une ligne avec l'interface réseau 192.168.0.1 pour le réseau local
- une ligne avec l'interface réseau 80.78.x.y pour internet

Pour que tout marche correctement, l'interface réseau qui doit être sélectionnée est celle qui correspond à Internet.
En mode de sélection manuel, pas de problème vous sélectionnez celle qui a 80.78.x.y.
En mode de sélection automatique, Look 'n' Stop va le faire à votre place, et c'est uniquement là que sert l'option avancée (adresse IP à exclure), comme 192.168.0.1 est par défaut dans la liste, Look 'n' Stop ne va pas choisir la sélection de cette interface réseau, mais l'autre, celle qui correspond à Internet.

En résumé: dans votre cas, vous n'avez pas à vous préoccuper de cette option avancée.

Cordialement,

Frédéric

 

Salut Ypoons

Comme je l'avais précisé la plage d'adresse 192.168.0.0 à 192.168.255.255 est réservée par l'IANA
pour des adresse IP de réseau local. Cela signifie qu'on ne les rencontre pas sur le réseau Internet.
Si de tels paquets apparaîssent venant d'Internet c'est sans doute un paquets échappé d'un router défecteux ou mal configuré.

Ce cas est assez rare mais jusqu'à l'année dernière des paquets de la plage 172.16.0.0 - 172.31.255.255 en TCP avec un flag RST étaient reçus à la fin d'une connexion en POP3 sur Gmail... Possible aussi que ce soit un paquets anormal/illégal.

Revenons à ta question sur l'identification des paquets.

La meilleure comparaison est celle qui peut être faite avec des lettres envoyées par la poste.
Il y a l'adresse de l'expéditeur et celle du destinataire. Idem avec les paquets TCP ou UDP.

Les informations transmises sur Internet sont discontinues et se présentent sous formes de paquets, c'est-à-dire d'informations présentées sous une forme pré-établie et variable selon le protocole utilisé.

Ce qui identifie un paquet c'est cette forme. Et celui-ci inclue les adresses IP de l'expéditeur (source) et du destinataire (destination). Il existe des plages d'adresses IP réservées aux réseau locaux et celle-ci ne servent qu'en local. C'est un peu l'équivalent du courrier interne d'une entreprise. Les notes de services restent à l'intérieur de l'entreprise et ne sont pas reçues ou expédiées à l'extérieur de celle-ci. C'est le cas de la plage 192.168.0.0 à 192.168.255.255.

À l'intérieur de cette plage d'adresses IP locales, l'adresse 192.168.255.255 est réservée et utilisée pour le "broadcast" ou la Diffusion sur tout le réseau local. Elle est utilisée à la fois par le routeur, ou le serveur ou les postes de travail lorsque le destinataire n'est pas connu ou n'a pas d'adresse IP déterminée.

Un exemple de ceci est le cas d'un poste de travail (un PC) qui se connecte au réseau local. Il n'a pas nécessairement d'adresse IP locale dans la gamme mentionnée et doit en demander une. Comment?

Le poste de travail s'identifie avec une Adresse MAC (Media Access Control) qui correspond à une adresse "tatouée" de son matériel, en général celle de la carte réseau. C'est un identificateur unique. À partir de cette identité unique (l'Adresse MAC) le PC va diffuser une demande pour recevoir une Adresse IP (correspondant à son Adresse MAC) pour se connecter au réseau local dans la plage d'adresse réservée (192.168.x.y)

Le PC utilise alors le protocole UDP, qui est l'équivalent d'une lettre expédiée mais sans confirmation de réception de la part du destinataire, ET d'un autre protocole, le DHCP qui repose ou est inclu dans le protocole UDP.( qui lui-même repose sur un protocole de niveau "inférieur": ARP : address resolution protocol qui traduit une adresse MAC en adresse IP...).

La requête de demande d'adresse IP local est diffusée sur tout le réseau local depuis l'adresse MAC vers l'adresse 192.168.255.255. Tous les postes de travail, le serveur (s'il y en a un) et le router reçoivent cette diffusion mais seul le router répond en diffusant à son tour un réponse à cette requête puis envoie au poste de travail une adresse IP locale dans la plage d'adresse IP locale dont on parle ici.

Cet échange d'information (ultra-simplifié ici) se déroule en UDP avec le protocole DHCP et sur les ports réservés 67 et 68 entre le router et le poste de travail (en local: pas sur Internet...).

Une fois l'adresse IP locale obtenue, le poste de travail a accès au réseau local.

Dans un réseau d'entreprise les adresses IP locales sont en général dynamiques. Elles sont renouvelées par exemple à chaque demande de connection au réseau. Pour les réseaux locaux plus petits les adresses IP locales sont en général fixes et sont facilement prédéterminées au niveau des paramètres du router qui associe en permancence telle adresse MAC à telle adresse IP Locale.

Ceci étant dit, ce réseau local est lui-même connecté à un réseau plus large: Internet.

Ce réseau a donc une adresse IP publique utilisée sur Internet et qui est fournie par le FAI à partir d'une plage d'adresses IP qui lui sont réservées. Ces adresses peuvent être fixes (cas de l'Internet par câble) ou dynamiques (cas de l'ADSL par réseau téléphonique). Cette IP publique dans la plage d'adresses IP réservée à ce FAI est un sous-ensemble des Plages d'adresse IP publique (ie pour Internet) réservée par l'IANA.

Lorsque le PC en réseau local se connecte à Internet il le fait par l'intermédiaire du router. Sur Internet ce PC est connu et identifié par son adresse IP publique par exemple 74.67,123.78, l'équivalent de "La famille Ypoons, 57 rue de l'Aéroport" si tu veux ET connu ou identifiée sur le réseau local comme par exemple 192.168.0.123 ou l'équivalent de "mon coco" connu seulement en famille... (l'exemple n'est pas fameux mais je n'ai rien trouvé de mieux...)

Au niveau du réseau, c'est le router qui se charge de recevoir le courrier de tout le monde (La famille Ypoon) et de distribuer le courrier à le destinataire (mon coco)... C'est la fonction NAT: Network Address Translation du router.

Au niveau du PC la fonction NAT est assurée par exemple par les services SSDP et UPnP ou par le service (Apple) Bonjour (une implantation du protocole NAT-Pmp): ces trucs sont connus comme des "Zero Configuration Networking" et permettent par exemple aux petits malins qui pompent la Toile avec du P2P de recevoir d'Internet via le réseau local les mp3 tant désirés et de les recevoir vraiment sur leur PC et non celui du voisin (qui serait bien étonné...)

Est-ce plus clair?

 

Bonjour Frederic, et merci.

Au moins, ce raccourci (je suppose qu'il fait référence à des notions plus complexes, que je ne maîtrise pas encore) a l'avantage d'être simple : je ne touche à rien.

Mais si je peux me permettre d'abuser de votre temps, il y a quelques explications qui me manquent :

Et si mon réseau était plus compliqué, et que je veuille préciser une plage d'adresses *sauf* une (ou plusieurs), il faudrait que j'inscrive ici la liste exhaustive des adresses auxquelles je ne souhaite pas appliquer de filtrage ?

Oui, sur le PC hôte du partage de connexion. Sur le PC "client", on n'a qu'une seule adresse, celle donnée par le DHCP du PC hôte.

Si j'utilisais le partage de connexion, et que le deuxième PC (le "client") soit équipé de Look'n'Stop, quel réglage devrais-je faire sur ce deuxième PC pour qu'il soit à la fois protégé par rapport à internet et permette l'utilisation des ressources partagées ? Est-ce que la seule application de règles (ics +/-partage +/- autre règle) assurerait ce résultat ?
Je pose la question pas seulement pour "être sûr" mais aussi parce que je pense que la réponse me permettra de comprendre un peu mieux ces notions de réseau local et de pare-feux.

D'avance, merci.

 

Ave le Climenole ! Que les Yahoos te laissent en paix !

Superbe explication !

C'est très didactique !

Ça commence à le devenir.
Une dernière question (si tu as le temps) : les paquets de données sont donc identifiés avec un expéditeur et un destinataire. Mais dans le cas général des réseaux, les paquets transitent d'une machine à l'autre via des informations de routage (si j'ai bien compris).
Mon routeur est un des maillons de ce routage.

Toujours si j'ai bien compris, mon ordinateur n'a pas d'adresse IP utilisable en "public", seul mon routeur en a. Comment donc est encapsulé (je ne sais si le terme est approprié) le paquet pour que internet reconnaisse que le paquet doit être acheminé jusque chez moi, *puis* que le routeur me transmette le paquet *à moi* ? Les adresses sont-elles imbriquées les unes dans les autres ?
Exemple pour une requête :
192.168.0.40 (mon adresse LAN) -> 192.168.0.254 (adresse LAN du routeur) -> NAT -> adresse WAN de mon routeur (adresse de l'expéditeur ?) -> informations de routage ?) -> adresse du destinataire

Ce qui permettrait à la réponse de revenir jusqu'à mon ordinateur par le chemin de retour :
adresse de l'expéditeur -> (informations de routage ?) -> adresse WAN de mon routeur -> NAT -> 192.168.0.254 (adresse LAN de mon routeur) -> 192.168.0.40 (adresse LAN de ma machine)

Si ce schéma est exact, alors mon adresse LAN (qui n'est pas adressable hors du LAN) serait quand même connue à l'extérieur du LAN ? (si quelqu'un veut lire les adresses à l'intérieur du paquet...)

En espérant ta réponse,

Amicalement,

 

Ave Ypoons

Lors de la traduction Adresse IP locale vers Adresse IP publique, l'@ locale n'est pas transmise sur Internet. Même chose pour l'@ MAC : tout cela reste en local et est géré par le router.

(Pour l'@ MAC j'en suis sûr à 100%. Pour l'@ IP local cela reste à vérifier... mais j'en suis sûr mettons à 90%)

Pour tout le reste, tu as parfaitement compris.

 

Hugh !

OK, j'accepte la réponse.
C'est donc le routeur qui *enregistre* (dans une table ?) les requêtes émises, avec leur source, et qui lors de l'arrivée de la réponse saura vers qui transférer la réponse (ou broadcastera la réponse, et c'est le PC concerné qui dira "hop ! ceci est à moi") ?
C'est donc intelligent, ces petites bêtes ?

Amicalement,

 

Salut Ypoons

Mais oui !

Il est même possible d'associer les adresse MAC des postes de travail (en fait l'@ MAC de la carte réseau...) avec une adresse IP locale fixe ce qui est plus simple dans un réseau personnel ou de petite entreprise. Plus besoin de DHCP puisque les adresses ne sont plus à renouveler à chaque fois ou presque...

Exemple des paramètres d'un router Linksys/Cisco wireless Broadband wrt54g2:
(voir image)

https://www.wilderssecurity.com/showpost.php?p=1041962&postcount=13

 

Bonjour,

Oui, si vous êtes sûr qu'une certaine adresse correspond à une interface réseau qui ne doit jamais être sélectionnée alors vous devez entrer cette adresse entièrement.
En dernier ressort dans les cas vraiment compliqués, le mieux est de ne pas s'occuper de cette option et de sélectionner soit même l'interface réseau à filtrer (au lieu du mode automatique) ce qui est encore plus simple.

Oui, c'est normalement suffisant.
A noter qu'il y a aussi des règles à ajouter sur le poste "Serveur" pour ICS:
http://www.looknstop.com/Fr/rules/rules.htm#ICS
Par contre les règles de partage ne sont pas nécessaires sur le poste "Serveur" (car l'interface réseau du poste "Serveur" qui sert à la connexion locale n'est pas filtrée par Look 'n' Stop).

Cordialement,

Frédéric

 

Ok, merci Frederic et Climenole.
Je vais essayer de digérer tout ça (et surtout de faire fonctionner le tout).

Amicalement,