Ordre des regles ? nieme version

Bonjour,

Je suis nouveau sur le forum et aussi sur LnS (avant j'étais sur Zone ALARM ou l'ordre des regles n'est pas si important )

après des recherches sur ce forum j'ai découvert ça

voila et je voulais savoir si j'avais bien fais mes devoirs
j'ai joint mes règles si une âme charitable pouvais corriger au cas ou et m'expliquer si besoin.

Cependant j'ai un problème Limewire m'indique que je suis derrière un pare feu ??! (sinon azureus et emule fonctionnent sans problèmes
je comprend pas ce qui bloque.

voila
merci d'avance
cordialement
rab68

 

Bonjour, et bienvenu sur ce forum,

Si c'est juste pour vérifier l'ordre des règles, ce serait plus rapide (pour la verif) de faire 1 ou 2 copies d'écran de la fenêtre du filtrage internet.

En ce qui concerne Limwire, n'avez-vous pas des blocages dans le journal ?
Une règle est disponible pour ce logiciel ici:
http://looknstop.soft4ever.com/Rules/Fr/

Cordialement,

Frédéric

 

Merci
voila je joint la capture

ps: Source(PC>>Net)/Destination(Net>>PC) signifie que le pc fait office de serveur ??

 

L'ordre des règles n'est pas correct.

Vous avez mis toutes les règles qui autorisent devant, et toutes les règles qui bloquent à la fin.

Comme indiqué dans le post que vous mentionnez, l'ordre doit être, pour TCP principalement:
1-Bloquer les paquets illégaux (règles du genre Land Attack, Win Nuke, Flags TCP illégaux).
2-autorisation des logiciels servers autorisés (P2P en général, mais aussi par exemple server Web, FTP...)
3-La règle "Bloquer les connexions entrantes" (règle pivot importante)
4-Autorisation des logiciels clients (en général il s'agit juste de la règle "TCP : Autorise les services Internet Standards."
5-Blocage de tous les autres paquets (la règle "TCP : Bloque tous les autres paquets.").

Bref il y a une alternance de règles qui autorisent et qui bloquent, ce qui n'est pas le cas de votre jeu de règles.

Le jeu de règle évolué est construit sur ce principe, et vous n'auriez pas du changer la position relative des règle initiales du jeu, mais juste insérer vos nouvelles règles au bon endroit (principalement les règles serveurs/P2P qui doivent être devant la règle "Bloquer les connexions entrantes").

Oui, quand un port spécifique est précisé dans la partie "Source(PC>>Net)/Destination(Net>>PC)", et notamment si le port est < 1024, cela signifie en gérénal qu'il s'agit d'un port à autoriser en mode serveur. Le cas typique (dans les jeux de règle standard est "TCP : Autoriser l'identification").
Cependant cette partie de la règle sert aussi à identifier les ports locaux des connexions clientes comme dans le cas de la règle "TCP : Autorise les services Internet Standards.".
En résumé, la valeur du port et aussi la position de la règle (avant ou après la règle pivot du blocage des connexions) permet aussi d'apprécier si la partie "Source(PC>>Net)/Destination(Net>>PC)" est utilisée dans un cas server ou client.

Cordialement,

Frédéric

 

Ok merci

j'avais cru comprendre que les règles autorisant XY étaient à mettre avant (cad au dessus dans la liste) les règles bloquer le reste ?

je pensais que mettre toute les règles autoriser X en haut et bloquer tout le reste en bas de la liste marcherais hors c'est plus compliquer que ça

sans toucher aux règles avancées j'ai positionner les règles pour azureus tout en haut sa fonctionne (cependant j'ai de temps en temps un blocage ICMP quand azureus tourne)

j'ai fait de même avec emule et la aussi pas de soucis ni de blocages particulier

concernant limewire je n'y comprend rien bien que j'ai une connexion turbo, il m'indique toujours que je suis derrière un pare feux (chose qu'il ne fait pas quand j'éteins LnS il qu'il n'indiquer pas avec zone alarme fin bon c'est pas grave)


est ce que les règles sont bien positionnées cette fois ci

encore merci pour votre aide
cordialement
rab68

 

Oui, c'est bien cela.

Comme la plupart de ces règles sont sans doute des règles client et server, la seule contrainte est de les mettre avant la règle "bloquer les connexions entrantes", ce qui est le cas.
Toutefois les règles TCP pourraient être placées après la règle "Bloquer Land-Attack", les règles UDP pourraient être regoupées, juste au dessus de la règle DNS.
Les règles ICMP et ARP sont dupliquées, et vous pouvez laisser celles du bas du jeu de règles d'origine (en général les règles sont rangées dans l'ordre: TCP / UDP / ICMP / Autres / (puis à la fin la règle qui bloque tout ce qui n'a pas été autorisé).

Mais bon, si marche en l'état c'est peut être plus prudent de laisser comme ça (ou si vous modifiez, gardez ce jeu de règles de coté, sauvez les modif sous un nouveau nom).

Cordialement,

Frédéric

 

encore merci

j'ai fait comme vous avez dis TCP / UDP / ICMP / Autres (et ça fonctionne)

cependant, la je ne comprend pas pourquoi mettre les règles tcp après land attack , y a t il une raison spéciale??

 

C'est juste par ce que c'est la dernière du groupe de règles bloquantes "1-Bloquer les paquets illégaux".
Ce n'est pas lié à cette règle en particulier.

Frédéric

 

J'ai un doute la , vous voulez dire que je garde l'ordre des regles standard et j'intercale mes regles TCP entre Land ATTACK et autoriser l'identification.

Car j'ai du mal à comprendre l'ordre AVANT=EN HAUT sur la liste
et APRES=EN BAS sur la liste

autre question que signifient ces blocages dans mon journal

-Stateful Packet Inspection: La table est remplie.
Il y a trop de connexions et je dois modifier cette règles ??
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw]
pourtant dans le journal il me propose d'ouvrir des ports...

-Stateful Packet Inspection: Pas de connection trouvée.
j'ai rien trouver dessus

-J'ai aussi des blocages ICMP de type 3 de mon PC vers Internet
y'a t il un lien avec les connections non trouvés

je crois avoir compris mais je ne maitrise pas le protocole ICMP donc je ne suis pas sur
Quand j'eteint AZUREUS les autres clients essaye de me contacter donc mon pc au client un code ICMP type 3 (le port est fermés)
si j'autorise le code 3 ICMP les clients auront la réponse que le port est fermé ,mais si qq'un fais un scan IP la mienne répondra
et je vois pas comment faire une règle qui répondrais juste aux clients d'azureus une fois celui ci fermé .

Bon je pense que le reste est indépendant de LnS
en tout cas c'est un super logiciel simple et complet
et super forum

encore merci à vous
cordialement
rab68

 

Oui, pour les règles de type server (P2P et autres).
Il me semble que c'était bien le cas sur le copie d'écran donc tout était Ok.
C'est toujours bon sur la nouvelle copie d'écran.

Cela signifie que le trafic P2P est très important et que la fonction TCP Stateful Inspection n'arrive pas à suivre.
Oui, dans la clef indiquée vous pouvez ajouter la valeur DWORD MaxSPIEntries pour augmenter le nombre d'entrées de la table (par défaut 256, vous pouvez mettre 512, ou plus jusqu'à 1024 max). Il faut redémarrer l'ordinateur pour que cela prenne effet.

La création de règle automatique ne convient pas à ce type d'alertes.

Ca arrive souvent lors de l'utilisation de logiciels P2P. Et ça peut être aussi une conséquence du premier problème.

Non, ce n'est pas lié au problème précédent, c'est toujours lié à l'utilisation du logiciel P2P. Certains ports sont inaccessibles (non ouverts par le logiciel P2P, de manière normale) et certains PC distants essayent quand même de contacter votre PC sur ces ports. Cela génère des ICMP Type 3 (pour justement prévenir le site distant que le port n'est pas accessible).
Quand vous quittez le logiciel P2P, le phénoméne est plus flagant car tous les ports deviennent inaccessibles, donc toutes les tentatives des PCs distants se terminent par un ICMP Type 3.

Merci bien

Frédéric