regles phantom et/ou relgle standarts? +...

Bonjour à tous,

J'ai installé dernièrement LnS avec joie au vue de ses capacités et de sa flexibilité ainsi que de sa robustesse. j'ai importé les regles phantom v6 et j'ai réussi à configurer a peu prés tout ce dont j'avais pour l'instant besoin. toutefois une question naive me tracasse et je n'ai pas vu de reponses sur des posts:

Faut-il ajouter les regles phantom à un jeu de regles préalables (style standart ou evolué) ou bien font elle office de jeu regles à part entière?
Un indice aurait tendance à me dire que c'est un jeu de regles à part entiere au vue de l'extension (.rls), mais aussi de leur réputation, mais j'ai un doute...

enfin j'aurais aimé savoir quelle est la regle qui separerait les connexions serveurs de celle clientes... si je dis pas de bétises...car j'ai trouvé autant "syn rcvd" pour cette regle (que je n'ai pas dans mes regles phantom) que "+tcp block incoming connections (que j'ai par contre dans mes regles), et ce sur différents posts.

Merci d'avance!

(config: firewall Lns; antivirus Mcafee; routeur neuf, windows sp2)

 

Bonjour,

Oui, les jeux de règles .rls, sont censés être complets, seuls les .rie sont des ajouts par dessus un jeu de règles déjà existant.
C'est donc le cas du jeu de règles de Phant0m.

Un autre indice, est le fait qu'un jeu de règles (bien formé) contient à la fin une règle de type "Tout le reste" qui bloque tout ce qui n'a pas été autorisé auparavant (les règles étant examinées dans l'ordre haut => bas).

Je ne sais pas répondre précisément à la 2ème question. C'est vrai que dans le jeu de règles évolué, toute règle qui va autoriser une connexion entrante doit être placée avant la règle "Bloquer les connexions entrantes" et donc effectivement ça fait une sorte de délimitation. Cette règle existe sûrement aussi dans le jeu de règles de Phant0m, mais je ne sais pas précisément laquelle c'est.

Cordialement,

Frédéric

 

ok merci beaucoup pour les infos surement a+ tard!!

 

Salut

Prend soit le jeu de règles évolué soit le jeu de Phantom...

Suggestion : tu débutes, Keep it simple!

Pour la question règles serveurs et clients voir ceci:

https://www.wilderssecurity.com/showthread.php?t=122398

 

merci mille fois.
pour les regles p2p faut que je me penche un peu plus sérieusement dessus car les règles clientes en udp me pose quelques soucis, faut que j'approfondisse. je risque donc de refaire surface sous peu.
i'll be back

 

en fait me trouvant derriere un routeur NAT et ayant changé de port, je ne saisis pas trop certains des réglages des ports dans les regles clients/udp.
Dans la partie source, j'ai mis les ports que j'ai ouvert dans mon routeur qui correspond au port udp de la mule soit

source :
equals my@
equals / 8468-0
destination :
rien sinon ca bloque kad

le fait de faire deux regles pour la partie cliente, ca je pige pas trop?...
une seulement en "udp", puis une autre en "tcp or udp" avec des changements de ports en destination qui varie largement...
peut etre une explication?
pour l'instant je reste sur la regle que j'ai faite, qui marche, mais qui est surement "faible".

 

Bon apres mettre penché sur tout ceci un bon moment, j'ai réussi à configurer tout ceci comme il fallait. bien le tuto sur les règles de la mule.
J'ai fait tout comme le tuto, juste changer les ports locaux et c bon.
Merci.a+

 

Salut

C'est pourtant expliqué là:
https://www.wilderssecurity.com/showthread.php?t=122398https://www.wilderssecurity.com/showthread.php?t=122398


1-

Tu as besoin d'une règle pour la partie "client" de ton machin afin :
a) d'obtenir la liste des serveurs
b) de te connecter au serveur eDonkey

[TCP/UDP] /client + liste serveurs
ports locaux (ceux de ton PC) 1024 à 5000 / ports distants 4661-4665
Cette règles est comme n'importe quelle règles d'application tel qu'un navigateur, un courrielleur, un machin de messagerie, etc.
ET
doit se placer APRÈS la règle bloquer les connexions réseau
c'est-à-dire la règle qui bloque les tentatives de connexions
en provenance d'internet en TCP avec le flag SYN.

2- une règle pour la partie SERVEUR de ton machin de P2P:

En TCP
Ports locaux (ceux de ton PC) 4661-4665 EDonkey
port distants : Tous...

Comme sur l'image jointe...

Cette règle doit être placée AVANT la règle bloquer les connexions entrantes.
Si bien que les connexions entrantes avec entre autre le flag Syn de positionnés seront acceptées ou non selon qu'elles font partie des connexions gérées par ton machin de P2P alors que les autres connexions entrantes pas destinées à ton machin p2p seront bloquées tel que les trucs visant les ports 135, 139, 445, etc.

Ceci étant dit tu utilise aussi en plus du bidule eDonkey le réseau décentralisé KAD. Cela suppose que tu crée une ou des règles supplémentaires pour cette chose...

Je n'utilise pas eMule et pas le bidule KAD alors je ne sais pas.

À toi de créer tes propres règles en utilisant les outils qui te sont fournis par Look'n'Stop à cette fin: à savoir l'édition des règles, le journal et la possibilité de traiter ce journal en format brut (raw) pour trouver comment bâtir ces règles.

j'ai expliqué comment dans un post en donnant un exemple avec un machin nommé Gizmo. Inspire-toi de cela.


https://www.wilderssecurity.com/showthread.php?t=122224&highlight=gizmo

Tu devrais y arriver !

 

hug,
merci pour ce panorama détaillé. J'ai réussi à faire tout ceci je pense dans les "regles" de l'art..., même pour kad et tous l'merdi...
forum rapidement réactif, c'est vraiment sympatico.
Je vais me pencher sur le filtrage d'un peu plus pres quand j'aurais un peu plus de temps.
merci!

 

Salut

Ça marche alors ?

Merci du retour d'expérience.

 

ouais ca marche.
ca bloque pas mal d'adresse dynamique en tcp et udp donc ca a l'air bon.
c'est interressant l'edition de regle comme dans l'exemple avec gizmo mais faut s'y pencher dessus toutefois...
je cherche pas la sécurité absolute.
reste que quand je fais des tests sur différents sites, mes ports ne sont pas stealth mais closed.
mais je suis derriere un routeur nat qui vaut ce qu'il vaut (neuf tel).
alors je sais pas si c'est le routeur qui fait que mes ports sont closed et pas stealth, mais je m'inquiete pas trop. je pars bientot chez free et je verrai bien.

 

Salut

Ton routeur est mal configuré sans doute...
Remarque que si tu fais le test de "stealth" avec le programme p2p en marche ou pas va faire une différence... on peut pas être stealth et être en même temps un serveur...

Pour mieux te protéger je te suggère d'utiliser PeerGuardian2
pour éviter des connexions bidons ou plus "étranges"...

http://phoenixlabs.org/pg2/

Voir les copies d'écran qui suivent...

 

1-écran principal.
ne désactive pas le http !!!

 

2- utilise ces setups + les différentes listes de blocages :
anti-spywares et autres...

 

3- enfin ceci:

 

4- les listes de blocages des "bogons" IP et autres...

 

merci,
j'utilise pg2 depuis un bon moment avec les listes de bases mais aussi celles de bluetack security (une dizaine).
Faudrait peut etre que je revoie mon routeur en effet, mais dans l'ensemble si je n'ouvre pas les ports, ca passe pas en inbound donc deja c qu'il fait son boulot.mais par contre je suis visible et c bizarre.

 

Salut

Sans le p2p en marche, qu'est-ce que le routeur balance sur internet?

Ce ne serait pas parce qu'il répond aux "pings" par hasard

Vérifie avec les tests de PCFlank pour savoir à quoi le routeur répond:
icmp, igmp, tcp, udp ou

http://www.pcflank.com/http://www.pcflank.com/

Une bonne source d'information pour le port fowarding avec les routeurs:

http://www.portforward.com/

Voilà. Plus d'autre idée.

 

voila une capture d'ecran, en sachant qu'il n'y avait pas de log de p2p en marche.
bizarre. va falloir que j'aille fouiller dans mon routeur;

 

Re -salut :-/

Ces paquets anormaux sont bloqués par le jeu de règles évoluées
et par le jeu de règle de Phant0m (et par les miennes aussi en passant!)...

1- utilise l'un de ces 2 jeu de règles
2- place les règles de ton machin p2p au bon endroit

et cela se fera si tu te donne la peine de lire ce que j'ai déjà écrit
et expliqué en long, en large et en travers.

Je me "récapète":

«
B) Comprendre la règle "Bloquer les paquets TCP entrants avec le flag SYN"

Cette règle est celle qui correspond à:

"Bloquer les connexions entrantes" dans le jeu de règles évoluées
"+TCP:Block incoming connections" dans le jeu de règles Phant0m

La raison de cette règle a été expliqué plus haut.

Les paquets entrants avec le flag syn de positionné visent principalement
les ports locaux(ceux de votre PC) :
135 : Rpc Dcom (utilisé par le ver Blaster!)
139 : imprimantes réseau et partage des fichiers
445 : SMB message block
etc.

Toutes les règles de blocage de paquets anormaux doivent être placés
avant cette règle sauf les règles de blocage des paquets non-bloqués
par les règles précédentes.

UDP Bloque le reste
TCP Bloque le reste
ICMP Bloque le reste
ET sans oublier la dernière règle OBLIGATOIRE
Bloquer tous le reste.(Verrouillage final du jeu de règles.)


Nous avons donc : (voir le jeu de règles évoluées)

1- Des règles de blocage de divers paquets anormaux
2- La règle de blocage des paquets TCP entrants avec le flag SYN
3- Des règles pour les applications (CLIENT)
4- Des règles pour bloquer le reste (UDP, TCP, ICMP)
5- La règle finale et obligatoire: Bloquer tous le reste.

Dans le cas des programmes de P2P votre ordinateur
est, comme pour les applications courantes, un CLIENT

ET

Il est aussi un SERVEUR ! ...


C) Un programme P2P fait de votre ordinateur un client ET un serveur.

La partie CLIENT de votre programme P2P
qui permet de vous connecter aux serveurs, d'obtenir leur liste etc
doit donc faire partie des règles pour les applications c'est-à-dire
le # 3 (voir ci-haut) ou encore les règles "client" doivent être placées
entre la règle #2: blocage des paquets TCP entrants avec le flag SYN
et
le #4:bloquer le reste (UDP, TCP, ICMP) ...

Cela est exactement la même chose que pour n'importe quelle application.

Les règles de la partie SERVEUR de ce type d'application doivent donc être placées
après le #1: blocage de divers paquets anormaux
ET
avant le #2 blocage des paquets TCP entrants avec le flag SYN.

Nous avons donc maintenant:

1- Des règles de blocage de divers paquets anormaux

[MOVE]Règle(s) pour la partie SERVEUR du programme P2P
[/MOVE]
2- La règle de blocage des paquets TCP entrants avec le flag SYN
3- Des règles pour les applications (CLIENT)
4- Des règles pour bloquer le reste (UDP, TCP, ICMP)
5- La règle finale et obligatoire: Bloquer tous le reste.

Il est très important de placer correctement la ou les règle(s)
de la partie SERVEUR au bon endroit dans la liste des règles...
»

là:
https://www.wilderssecurity.com/showthread.php?t=122398

Le résultat du test PC Flank signifie:

soit que les règles de blocage ne sont pas là (les as-tu effacées?)
soit que ces règles ne sont pas actives(les as-tu désactivées?)
soit que tes règles pour ton machin p2p ne sont pas placés au bon endroit dans la liste des règles...

Les règles sont interprétées en commançant par la première en-haut...

Dès qu'une règle correspond, elle est appliquée et les autres règles qui suivent ne sont pas appliquées. C'est comme ça pour tous les pare-feu à règles de L'UNIVERS!

a) chaque règle est comme une proposition universelle ou une suite de AND
condition A ET condition B et condition C et... etc.

Si toutes les conditions de la règle correspondent à un paquet
alors la règle s'applique

Sinon la règle suivante est examinée...
et comme ça jusqu'à la règle finale et obligatoire de verrouillage du jeu de règles:
Bloquer tout le reste.

b) la suite des règles lue depuis la première et ainsi de suite est comme une série de XOR : soit l'une , soit l'autre...

Dans le cas de plus de deux règles cela correspond à une proposition
Universelle singulière:

Pour toutes les règles il existe une et une seule règle qui s'applique.

Que puis-je dire de plus

Bien cordialement.

 

il me semble avoir suivi le bon protocole, mais je peux me tromper. voici donc 2 capture d'ecran de mes filtres et de leurs positions, si tu vois qq chose d'anormal fais moi signe.
merci quand même!

 

fin des filtres

 

certaines regles n'etaient pas activées par defaut dans les regles de phantom, je ne les ai pas activé, sauf les dhcp. touefois j'ai fais un test pcflanck en les activant toutes et mêmes resultats donc...

 

Salut

1-
Les règles DNS et DHCP doivent être configurées correctement...
https://www.wilderssecurity.com/showthread.php?t=18327&highlight=dhcp

2- Voir l'image jointe.

 

grouper c'est un log de partage privée.
"emule destinataire invalide" c'est la regle que j'ai trouvé dans ton tutos pour bloquer les connections entrantes avec le flag syn, mais la je crois que j'ai fais une erreur puisque elle doit etre redondante avec celle de "+ tcp block incoming connection". cependant cette regle de phantom met "frag offset" sur "all" ainsi que "frag lags" alors que toi tu les met sur "egale 0" et "df"; a moins que je sois a coté de la plaque...