Salut, J'essaye de bien configurer LnS sur mon PC et je remercie les mecs qui ont realises d'excellents tutos (j'ai plein de TEST bidules ds mes regles ) Bon le truc que j'ai du mal a piger, c'est quand je cree un regle du type: Type Ethernet: IP Direction(s): Entrante Protocole IP: TCP Source Adresse(s) IP: @IP Source Port(s): 7000 Destination Adresse(s) IP: Toutes Destination Port: Toutes Je me melange les pinceaux avec la notion de source et destination, dans ce cas j'ai considere que la source etait mon PC alors qu'il s'agit d'une connexion entrante donc ca devrait etre le pC distant, non? L'erreur que je fait est de penser qu'a gauche c'est tj mes ports locaux et a droite les ports distants d'un autre PC?! C'est bateau comme question je sais
Salut sim Tu te mélange car c'est mélangeant! Il y a un flottement terminologique avec les notion de source/destination ET local/distant... Je crois que la meilleure façon de comprendre c'est avec une règle pour un navigateur web... Quand tu te connecte à un site web, le navigateur utilise le premier port local entre 1024 et 5000 et se connecte au port distant 80 du serveur où est le site web. Ou Port local: entre 1024 et 5000 / port distant 80 C'est toi qui commence cette connection (c'est pas le site qui se connecte de lui même chez toi: dac? ) Si bien que depuis un port local, mettons 3124 vers le distant 80, la source c'est ton PC et la destination c'est le serveur web ou port local 3124 ET source vers le port distant 80 ET destination... PUIS le serveur te répond... Le serveur port distant 80 ET (cette fois-ci) source te répond sur ton port local 3124 ET destination... Dans les échanges entre ton PC et le serveur web c'est toujours entre un des ports distants entre 1024 et 5000 (3124 dans l'exemple) ET le port distant 80 MAIS ils sont source et destination tour à tour... Dans LNS, lorsque la règle permet les paquets entrants et sortants la "convention" veut que tu mette les ports locaux à gauche et les ports distants à droite. Mais dans tous les cas ils sont tour à tour source et destination comme c'est signalé par le titre des champs de la règle. Voir image 1 Par contre lorsque, par exemple, la règle n'autorise QUE des paquets sortants alors les ports locaux ET source sont toujours à gauche et les distants à droite. (D'où la "convention" gauche/droite) Voir image 2 Remarque:: dans les images en exemple les ports locaux sont de 1024 à 20000 car j'ai changé des paramètres de W xp pour avoir + de ports pour Tor (The onion router). Mes règles reflètent ça. Normalement c'est toujours 1024 à 5000 sauf exceptions.... Est-ce plus clair ainsi ou je t'ai encore plus mélangé ? Dit-nous!
Si j'ai bien compris, je prend l'exemple inverse comme ds mon 1er thred : Une regle qui autorise que les paquets entrants : Les ports distants ET source sont a gauche et les ports locaux ET destination sont a droites. CAD => si je veux ouvrir mon port local 7000 a toutes les Ips et ports en connexion entrante, je dois faire une regle du type : Source Adresse(s) IP: Toutes Source Port(s): Tous Destination Adresse(s) IP: Mon @IP Destination Port: 7000 Ca doit etre ca? - 2e question (j'en profite ) : J'ai une regle TEST pr mon serveur FTP qui me fait n'importe quoi. J'ai fait comme dans ton tut : - Creation d'une regle avant la regle pivot SYN (c un serveur) Type Ethernet: IP Direction(s): Entrante/Sortante Protocole IP: TCP Source Adresse(s) IP: Toutes Source Port(s): Tous Destination Adresse(s) IP: Toutes Destination Port: Tous Application => l'exe de mon serveur Mais lorsque j'active le journal pour cette regles, elle me prend en compte tous les paquets, meme ceux du navigateur (emule,ect..), et meme quand le serveur ne tourne pas (g verifie le service) !!! La seule solution que j'ai trouve est de tout couper sauf le serveur pour avoir a peu pres que les paquets destines à mon serveur FTP C'est bizarre quoi! des screens : http://oliviier.martin.neuf.fr/tof1.png http://oliviier.martin.neuf.fr/tof2.png
Salut sim_ Halte-là! As-tu ajouté le programme concerné par cette règle dans la liste des applications surveillées par cette règle? Huuum ? Exemple d'un serveur: Le port local de ton serveur est placé à gauche + @IP Tous les ports distants sont autorisés Paquets entrants et sortants ET Ajoute l'application dans la règle: bouton "applications..." Rappel: les règles sans programme ajouté avec l'édition des règles, bouton "applications..." sont des règles qui s'appliquent pour TOUS les paquets les règles avec programme(s) ajouté(s) dans l'édition des règles, bouton "applications..." NE s'appliquent QUE pour ce(s) programme(s) les règles sont examinées depuis la première de la liste: la première règle qui correspond au paquet examiné est appliqué et aucune autre par la suite.
Re-Salut sim_ Pour répondre plus précisément à tes 2 questions: 1-le port du serveur sur ton PC est placé en "source" comme dans l'image précédente. 2- les problèmes que tu as même avec la règle TEST prouvent que quelques chose cloche dans ton jeu de règles... Les règles de Phant0m sont des règles générales pour tous les paquets et c'est très bien comme ça. Ceci n'a pas à être modifié. Dac ? Le problème se situe au niveau des règles spécifiques aux applications. Toutes les règles spécifiques aux applications: navigateur, courielleur, messagerie instantanée, etc. doivent: 1-être après la règle blocant les paquets TCP SYN entrants: dans les règles de Phant0m = "+TCP: block incomming connections" (ce que tu sais déjà) 2- le filtrage logiciel doit être activé 3- les programmes doivent être listés dans le filtrage logiciel 4- les programmes autorisés précédemments doivent être inclus dans leurs règles spécifiques SINON il y aura des fuites... (et des prises de têtes). En bref le jeu de règles ressemble à ceci: A- Règles générales de blocages des paquest anormaux/illégaux B- Règles générales pour des trucs tels que le DNS C- Règles pour serveurs: règles spécifiques à telles ou telle application serveur D- Blocage des TCP SYN entrants E- Règles spécifiques pour les applications La plus simple possible c'est: Ports locaux de 1024 à 65535 de @IP Ports distants : tous TCP ou UDP Paquets entrants et sortants ET mettre dans cette règle au moins une application [maximum 10 applications par règle...] par exemple IE + OE + Msn Messenger ... Tu peux faire plus élaboré en ayant plus d'une règle spécifique: règles pour navigateur ( pour Http/Https + ftp) règle pour courielleur (smtp + pop3) ETC. F- Règles de blocages des paquets "restants" pour tcp, udp, icmp ... G- Règle finale et obligatoire :Bloquer tout le reste. N'oublie pas de sauver les modifications et redémarre le PC pour être certain. Faire des modifications lorsque l'application est en exécution conduit à des bizarreries et des prises de têtes... ;-)
J'avais bien rajouté le programme a la regle (j'utilise FileZilla Serveur), c'est ce qui me gene un peu Il devrait pas lister comme ca tous les paquets Et la je viens de retester et il me liste pas tous les paquets!! J'avais deja vu que ce probleme etait comme cyclique : Au bout d'un moment il s'emballe et me liste tout puis si j'arrete et relance LnS, il remarche bien comme il refoire direct G quelques petits bugs comme ca (plus de navigation internet...), du surement a mauvaise gestion de mes regles! De toute facon je commence juste a m'interesser a LnS, je verrais bien dans la pratique, ds les tuts, ect.. Merci pour tes reponses!
Salut sim_ OK. Va jetter un coup d'oeil là: http://climenole.wordpress.com/ 6 articles sur LNS... Peut-être y trouveras-tu de l'inspiration...
RE les gens Et 2 nouvelles questions ( a votre bon coeur, Messieurs Dames ) 1. J'ai remarqué que pas mal de programmes utilisent les ports 1024-5000 en local et 80&443 en distant pour se logger,surfer... (ICQ,MSN Mess, NAv Web) Est-ce qu'il est nescessaire de creer une regles pour chaque application ou suffit-il d'en creer qu'une seule et d'y rajouter dedans tous les executables des applications concernees? 2. Pour mon probleme de regle TEST qui prend en compte des paquets ne lui appartenants pas, il me semble que tu en parles (Climenole) dans ton tutorial :
Salut sim_ Réponse 1: Fait cela selon ta fantaisie. Réponse 2: Tout à fait. Dans le cas de tes règles tu as mis plusieurs règles "TEST". Erreur: une à la fois s.v.p. Sauf dans le cas des tests pour bidules p2p où il en faut 2 tel que mentionné là: Look'n'Stop 6 «2- La méthode d’élaboration des règles et les applications P2P»