Manque type TCPV6 pour règle

Discussion in 'LnS French Forum' started by Otomatic, Sep 9, 2011.

Thread Status:
Not open for further replies.
  1. Otomatic
    Offline

    Otomatic Registered Member

    Bonjour,

    Paquet bloqué par LNS :
    U-147 'TCP : Bloque tous les au' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:50425

    Ci-dessous, le même paquet analysé par Wireshark
    C'est bien un paquet TCP, en IPv6, qui provient de mon IPv6 :
    2a01:e35:2f71:11f0:61a7:4367:b418:de8a port : 50425
    à destination de l'IPv6 :
    2001:470:1:18::2 port : 80

    Je vais « essayer » de faire une analyse du contenu ci-dessous pour comprendre pourquoi LNS bloque ce paquet et comment faire pour l'autoriser, sans, par ailleurs, autoriser ce qui ne devrait pas l'être.

    Code:
    No.     Time        Source                Destination           Protocol Length Info
         10 0.913851    2a01:e35:2f71:11f0:61a7:4367:b418:de8a 2001:470:1:18::2      TCP      86     50425 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1420 WS=4 SACK_PERM=1
    
    Frame 10: 86 bytes on wire (688 bits), 86 bytes captured (688 bits)
        Arrival Time: Sep 14, 2011 18:52:37.035019000 Paris, Madrid (heure d’été)
        Epoch Time: 1316019157.035019000 seconds
        [Time delta from previous captured frame: 0.334186000 seconds]
        [Time delta from previous displayed frame: 0.334186000 seconds]
        [Time since reference or first frame: 0.913851000 seconds]
        Frame Number: 10
        Frame Length: 86 bytes (688 bits)
        Capture Length: 86 bytes (688 bits)
        [Frame is marked: False]
        [Frame is ignored: False]
        [Protocols in frame: eth:ipv6:tcp]
        [Coloring Rule Name: HTTP]
        [Coloring Rule String: http || tcp.port == 80]
    Ethernet II, Src: AsustekC_b3:5d:8e (00:22:15:b3:5d:8e), Dst: FreeboxS_13:6d:ec (00:07:cb:13:6d:ec)
        Destination: FreeboxS_13:6d:ec (00:07:cb:13:6d:ec)
            Address: FreeboxS_13:6d:ec (00:07:cb:13:6d:ec)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Source: AsustekC_b3:5d:8e (00:22:15:b3:5d:8e)
            Address: AsustekC_b3:5d:8e (00:22:15:b3:5d:8e)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Type: IPv6 (0x86dd)
    Internet Protocol Version 6, Src: 2a01:e35:2f71:11f0:61a7:4367:b418:de8a (2a01:e35:2f71:11f0:61a7:4367:b418:de8a), Dst: 2001:470:1:18::2 (2001:470:1:18::2)
        0110 .... = Version: 6
            [0110 .... = This field makes the filter "ip.version == 6" possible: 6]
        .... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
            .... 0000 00.. .... .... .... .... .... = Differentiated Services Field: Default (0x00000000)
            .... .... ..0. .... .... .... .... .... = ECN-Capable Transport (ECT): Not set
            .... .... ...0 .... .... .... .... .... = ECN-CE: Not set
        .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
        Payload length: 32
        Next header: TCP (0x06)
        Hop limit: 64
        Source: 2a01:e35:2f71:11f0:61a7:4367:b418:de8a (2a01:e35:2f71:11f0:61a7:4367:b418:de8a)
        Destination: 2001:470:1:18::2 (2001:470:1:18::2)
    Transmission Control Protocol, Src Port: 50425 (50425), Dst Port: http (80), Seq: 0, Len: 0
        Source port: 50425 (50425)
        Destination port: http (80)
        [Stream index: 2]
        Sequence number: 0    (relative sequence number)
        Header length: 32 bytes
        Flags: 0x02 (SYN)
            000. .... .... = Reserved: Not set
            ...0 .... .... = Nonce: Not set
            .... 0... .... = Congestion Window Reduced (CWR): Not set
            .... .0.. .... = ECN-Echo: Not set
            .... ..0. .... = Urgent: Not set
            .... ...0 .... = Acknowledgement: Not set
            .... .... 0... = Push: Not set
            .... .... .0.. = Reset: Not set
            .... .... ..1. = Syn: Set
                [Expert Info (Chat/Sequence): Connection establish request (SYN): server port http]
                    [Message: Connection establish request (SYN): server port http]
                    [Severity level: Chat]
                    [Group: Sequence]
            .... .... ...0 = Fin: Not set
        Window size value: 8192
        [Calculated window size: 8192]
        Checksum: 0xd5fb [validation disabled]
            [Good Checksum: False]
            [Bad Checksum: False]
        Options: (12 bytes)
            Maximum segment size: 1420 bytes
            No-Operation (NOP)
            Window scale: 2 (multiply by 4)
                Kind: Window Scale (3)
                Length: 3
                Shift count: 2
                [Multiplier: 4]
            No-Operation (NOP)
            No-Operation (NOP)
            TCP SACK Permitted Option: True
  2. Otomatic
    Offline

    Otomatic Registered Member

    Bonjour,

    Impossible de créer des règles qui autorisent les paquets TCPV6.
    Le seul moyen est de désactiver temporairement la règle TCP Bloque tous les autres paquets avec les jeux standard ou évolués de base sans aucune modification.
    Il manque quelque-chose aux possibilités de filtrage de LNS pour autoriser le type TCP en IPv6.
    Ce n'est pas que j'en ai un besoin impératif, mais IPV6 approche à grand pas et je souhaite vivement être totalement prêt.

    Le parefeu de Windows 7 64b fonctionne, mais c'est une vraie usine à gaz pour le paramétrer, créer des règles et surtout, en voir les effets.

    Ce que j'aime énormément dans LNS c'est sa simplicité et son ergonomie d'utilisation et je crains fort de ne pouvoir retrouver ceci dans un autre parefeu.
  3. Phant0m
    Offline

    Phant0m Registered Member

    Voir la règle "TCP:. Autorise les services Internet Standards" et vérifiez le port source est dans la plage de ports a précisé que «Look 'n' Stop" est l'aide pour 'Local Dans «critères. Essayez de changer de 'Local Dans' à 'tous', et même essayer d'utiliser «tous» les critères au lieu de 'Equal Mon @ »pour:« critères d'adresse IP ».
  4. Otomatic
    Offline

    Otomatic Registered Member

    Bonjour,

    J'y suis enfin arrivé en ajoutant deux règles d'autorisation dans la partie TCP que j'ai nommé :
    http://aviatechno.free.fr/images/lns_regles_tcpv6.jpg
    TCPV6 <- 80 ou 443 - Autorise entrants ports 80 ou 443 vers ports locaux
    http://aviatechno.free.fr/images/lns_entrants_tcpv6.jpg
    TCPV6 -> 80 ou 443 - Autorise sortants ports locaux vers ports 80 ou 443
    http://aviatechno.free.fr/images/lns_sortants_tcpv6.jpg
    Il n'est pas possible de spécifier mon adresse IP, sinon, les paquets ne sont pas acceptés.

    Merci à tous et particulièrement à PhantOm qui a beaucoup insisté ;)
  5. Spiedbot
    Offline

    Spiedbot Guest

  6. Otomatic
    Offline

    Otomatic Registered Member

    Bonjour,
    Et oui, dommage !
    C'est comme pour Wampserver pour lequel je suis quasiment seul à assurer le support.
    Vers quel Firewall t'orienterais-tu ?
  7. Phant0m
    Offline

    Phant0m Registered Member

    Vous avez seulement besoin d'une règle unique pour initier TCPv6 connexions, juste déplacer cette règle ci-dessous "TCP: Bloquer les connexions entrantes." Pour les connexions client. Pour TCPv6 règles du serveur, créer / les relocaliser à la règle ci-dessus "TCP: Bloquer les connexions entrantes.".

    Voici une règle client ...

    TCPAuth1.png


  8. Spiedbot
    Offline

    Spiedbot Guest



    Re,

    Pare feu de suite (bitdefender), bien moins paramétrable en version 2012, sinon je suis à peu près venu à bout de celui de Windows 7,



    "Configurer le pare feu de Windows 7.



    D'abord aller dans «panneau de configuration» puis,
    «tous les panneaux de configuration»
    «pare feu windows»
    «paramètres avancés»
    «propriétés du pare feu Windows»



    Choisir son profil,
    dans «profil de domaîne» bloquer les connexions sortantes si vous êtes en entreprise, idem dans «public» si vous êtes dans un(e) gare/aéroport/café avec un portable, dans le profil privé (votre domicile) bloquer les sortantes, puis cliquer en haut à gauche dans «règles de trafic sortant»

    Laisser les règles entrantes en l'état.

    Cliquer sur,
    «nouvelle règle»
    là il y a 2 choix possibles dans la plupart des cas, on clique sur «programme» ou «personnalisée», le plus simple d'abord, je clique sur «programme» puis «suivant» «au programme ayant pour chemin d'accès» et on va dans le poste de travail pour trouver c: programmes ou program files (x86), suivant le type d'OS, XP ou W7, sélectionner «internet explorer iexplorer» (32 ou 64 bits, ne pas confondre avec explorer.exe).

    cliquer sur «suivant» «autoriser la connexion»
    cliquer sur «suivant» et décocher «domaine» et «public» selon les cas (Windows conseille de créer des règles pour les 3 domaines en même temps).
    cliquer sur «suivant» donnez un nom à la règle, du genre Iexplorer sortant, et cliquez sur «terminer».


    Un peu plus compliqué, avec la règle précédente, TCP et UDP sont autorisés en sortie sans aucune précision des ports utilisés.
    Au lieu de cliquer sur «programme» après «nouvelle règle» (sortante) cliquez sur «personnalisée» «au programme ayant pour chemin d'accès»
    c: %ProgramFiles% (x86)\Windows Live\Messenger\msnmsgr.exe

    cliquer sur «suivant»
    «type de protocole» cliquez sur «TCP» (UDP peut parfois être nécessaire, pour les jeux par exemple, si ça marche ne cliquez que sur TCP).
    «port local» laissez comme tel (tous les ports).
    «port distant» cliquez sur «ports spécifiques», puis en dessous indiquez les ports MSN, en séparant chaque port par une virgule, et une plage de ports par un tiret, ce qui donne:
    9,80,443,1863,7001

    Cliquer sur «suivant»,
    là vous pouvez encore préciser les choses,
    Dans «à quelle adresses IP locales cette règle s'applique t'elle ?»
    Cliquez sur «ces adresses IP» puis sur «ajouter» et notez votre adresse IP locale que vous aurez trouvée dans la configuration de votre box (du type 192.168.1.**).
    Puis continuez comme dans le mode habituel «programme» pour terminer.



    Quelques ports à connaître, en général le port 80 est suffisant pour obtenir la connexion.
    pour un navigateur > 80,443.
    WL messenger > 9,80,443,1863,7001.
    WL mail > 25,80,110,443.



    Windows,
    pour un service, afin d'autoriser windows update par exemple, il faudra, au moment de choisir le type de règles, cliquer sur «règle personnalisée», cliquer ensuite sur «au programme ayant pour chemin d'accès», trouver «%system root%\system32\svchost.exe», cliquer sur «personnaliser», cliquer sur «appliquer à ce service», et enfin trouver windows update.
    dans «actions», dans la colonne à droite du module pare feu de Windows, vous pouvez exporter vos règles au format .txt.

    Quelques règles à créer,

    Nom Groupe Profil Activée Action Programme Adresse locale Adresse distante Protocole Port local Port distant Ordinateurs autorisés
    alg.exe Public Oui Sécurisé %SystemRoot%\System32\alg.exe Tout Tout Tout Tout Tout Tout
    cmd.exe Public Oui Autoriser %SystemRoot%\System32\cmd.exe Tout Tout Tout Tout Tout Tout
    explorer.exe Public Oui Sécurisé %SystemRoot%\explorer.exe Tout Tout Tout Tout Tout Tout
    Firefox Public Oui Autoriser %ProgramFiles% (x86)\Mozilla Firefox\firefox.exe Tout Tout TCP Tout Tout Tout
    helpane.exe Public Oui Autoriser %SystemRoot%\HelpPane.exe Tout Tout Tout Tout Tout Tout
    hh.exe Public Oui Autoriser %SystemRoot%\hh.exe Tout Tout Tout Tout Tout Tout
    Iexplorer Public Oui Autoriser %ProgramFiles% (x86)\Internet Explorer\iexplore.exe Tout Tout TCP Tout Tout Tout
    java.exe Public Oui Autoriser %ProgramFiles% (x86)\Java\jre6\bin\java.exe Tout Tout Tout Tout Tout Tout
    javaw.exe Public Oui Autoriser %ProgramFiles% (x86)\Java\jre6\bin\javaw.exe Tout Tout Tout Tout Tout Tout
    jucheck.exe Public Oui Autoriser %ProgramFiles% (x86)\Common Files\Java\Java Update\jucheck.exe Tout Tout Tout Tout Tout Tout
    mmc.exe Public Oui Sécurisé %SystemRoot%\System32\mmc.exe Tout Tout Tout Tout Tout Tout
    msiexec.exe Public Oui Autoriser %SystemRoot%\SysWOW64\msiexec.exe Tout Tout Tout Tout Tout Tout
    msiexec.exe Public Oui Autoriser %SystemRoot%\System32\msiexec.exe Tout Tout Tout Tout Tout Tout
    ping.exe Public Oui Autoriser %SystemRoot%\System32\PING.EXE Tout Tout Tout Tout Tout Tout
    ping.exe Public Oui Autoriser %SystemRoot%\SysWOW64\PING.EXE Tout Tout Tout Tout Tout Tout
    relpost.exe Public Oui Autoriser %SystemRoot%\System32\RelPost.exe Tout Tout Tout Tout Tout Tout
    rundll32.exe Public Oui Sécurisé %SystemRoot%\System32\rundll32.exe Tout Tout Tout Tout Tout Tout
    rundll32.exe Public Oui Sécurisé %SystemRoot%\SysWOW64\rundll32.exe Tout Tout Tout Tout Tout Tout
    taskeng.exe Public Oui Autoriser %SystemRoot%\System32\taskeng.exe Tout Tout Tout Tout Tout Tout
    taskhost.exe Public Oui Autoriser %SystemRoot%\System32\taskhost.exe Tout Tout Tout Tout Tout Tout
    trustedinstaller.exe Public Oui Autoriser %SystemRoot%\servicing\TrustedInstaller.exe Tout Tout Tout Tout Tout Tout
    userinit.exe Public Oui Autoriser %SystemRoot%\System32\userinit.exe Tout Tout Tout Tout Tout Tout
    watadmin.exe Public Oui Autoriser %SystemRoot%\System32\Wat\WatAdminSvc.exe Tout Tout Tout Tout Tout Tout
    werfault.exe Public Oui Autoriser %SystemRoot%\System32\WerFault.exe Tout Tout Tout Tout Tout Tout
    werfault.exe Public Oui Autoriser %SystemRoot%\SysWOW64\WerFault.exe Tout Tout Tout Tout Tout Tout
    wermgr.exe Public Oui Autoriser %SystemRoot%\System32\wermgr.exe Tout Tout Tout Tout Tout Tout
    wermgr.exe Public Oui Autoriser %SystemRoot%\SysWOW64\wermgr.exe Tout Tout Tout Tout Tout Tout
    Windows live mail Public Oui Autoriser %ProgramFiles% (x86)\Windows Live\Mail\wlmail.exe Tout Tout Tout Tout Tout Tout
    Windows live messenger Public Oui Autoriser %ProgramFiles% (x86)\Windows Live\Messenger\msnmsgr.exe Tout Tout Tout Tout Tout Tout
    Windows update Public Oui Autoriser %SystemRoot%\System32\svchost.exe Tout Tout Tout Tout Tout Tout
    wlcomm.exe Public Oui Autoriser %ProgramFiles% (x86)\Windows Live\Contacts\wlcomm.exe Tout Tout Tout Tout Tout Tout
    wlidsvc.exe Public Oui Autoriser %ProgramFiles%\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE Tout Tout Tout Tout Tout Tout"


    Bon courage.
    Last edited by a moderator: Sep 16, 2011
  9. Otomatic
    Offline

    Otomatic Registered Member

    Merci :blink:
    Quand je disais que le Parefeu de Windows 7, c'était une usine à gaz !
  10. Otomatic
    Offline

    Otomatic Registered Member

    Merci / Thank You ! Ça fonctionne ! / It works!
  11. Phant0m
    Offline

    Phant0m Registered Member

    Vous êtes les bienvenus :)
Thread Status:
Not open for further replies.