regles de filtrage pour 2 pc + un routeur

Valpat,

Premièrement, il faut faire ceci! Il faut désactiver le service SSDP

http://terroirs.denfrance.free.fr/p/internet/attaque/upnp.html

Et il faut désactiver le Message Service (c'est marqué NET SEND quelque part dans l'info de ce service).

Telnet tu peux désactiver aussi.

Salutations,

Patrice

 

Bonjour Patrice,
Pour situer le service en Français équivalent au "Message Service" de Windows, peux-tu me dire quelle est sa position (Numero de la ligne) dans le tableau des services de Win XP et entre quels services il est? (le service situé au dessus et celui situé au dessous)?
Merci pour la reponse
cordialement
valpat

 

Désolé, mais le numéro de la ligne est différent entre chaque version de Windows (allemend, français, anglais,...). Mais peut-être cela va t'aider:

 

Bonjour Patrice,
(Je suis plus à l'aise en Anglais qu'en Allemand)
OK, J'ai trouvé le service en Français: "Affichage des messages" Description: "Envoie et reçoit les messages des services d'alertes entre les clients et les serveurs";
Je n'ai plus rien dans le journal de Look n Stop quand il n'y a plus de packets bloqués?
Est-ce normal?
Merci pour ta reponse.
valpat

 

Finalement on y est arrivé! Est-ce que tu as aussi désactivé le service SSDP et Telnet? Si tu n'as plus de paquets bloqués par Look'n'Stop les règles marchent bien est sont acceptés. Mais si ton ordinateur est attaqué (internet) tu vas toujours avoir des paquets qui sont bloqués de LnS.

Amicalement,

Patrice

 

Bonsoir Patrice,
Oui, j'ai désactivé les 3 services.
mais en ouvrant mon PC, j'ai une alerte de blocage IGMP: "Tout le reste" en provenance de mon PC1 (192.168.0.3) et comme destination l'IP: 224.0.0.22 (MAC 01:00:5e:00:00:16).
N'est-ce pas une IP proche du all-hosts group,
Merci pour la réponse;
Cordialement;
valpat

 

Salut valpat,

je ne sais pas encore qu'est-ce que c'est, mais j'ai trouvé cette information:

IGMPv3 SNOOPING
===============
Two cases, each with fatal flaws. If PIM-SM is involved, it's likely that the IGMPv3 snooping will merely flood all group traffic to all router ports. IGMPv3 can't be used as the signaling mechanism between peers because IGMPv3 doesn't specify *which* router should originate the traffic; one of the peers would end up the Designated Router for the whole exchange point (pity the poor peer that gets elected as DR!)

Maybe we could consider an extension to IGMPv3 where Reports could be sent to the IP/MAC addresses of specific routers rather than 01-00-5e-00-00-16 (224.0.0.22).

Je continue à chercher, peut-être je vais trouver quelque chose...

Salutations,

Patrice

 

Voilà, j'ai trouvé la solution!

C'est le Group Membership Query. L'adresse 224.0.0.22 est utilisé par le IGMPv3 Membership Report. Cela veut dire, qu'il faut écrire une règle pour ça aussi. Je ne peux pas te dire pourquoi ça arrive chez toi, mais je sais qu'il faut l'accepter.

J'espère que cela t'aide!

Amicalement,

Patrice

 

Donc, j'écris une règle "IGMP: Allow Packets"avec comme adresse de destination:
-MAC: 01:00:5e:00:00:16
-IP: 224.0.0.22
OK?

 

J'ai un doute pour choisir la direction de la règle: je coche:
Internet >> PC? ou PC >> Internet,
merci pour la reponse.
Cordialement

 

Qu'est-ce qui est marqué dans le journal? Là-dedans tu trouves toutes les informations que tu as besoin!

Salutations,

Patrice

 

Bonjour,
Oui la règle est "Upload"donc, dans le sens PC>>Internet.
Je pense à un problème de configuration dans les Options avancées de LnS:
En bas, il y a écrit: "Auto-détection de l'interface réseau: Exclure les adresses IP suivantes: 10;172;169.254;192.168.0.1;127.0.0.1.
192.168.0.1 est l'adresse IP de mon routeur!
Est-ce que je dois la laisser là?
Merci pour la réponse;
Cordialement;
valpat

 

Bonjour,

Les adresses IP mentionnées là, concernent les adresses IP du PC lui même. Donc ça ne gêne pas de laisser tel quel.
Cette option sert à Look 'n' Stop pour savoir si une interface réseau est bien celle qui sert à la connexion internet ou s'il s'agit d'une interface réseau locale qui n'a pas a être filtrée.
Cas typique: un PC avec ICS serveur et 2 cartes réseaux, l'une des cartes réseau aura pour IP 192.168.0.1, l'autre une adresse IP fournie par le fournisseur d'accès.
Grâce à cette option Look 'n' Stop sait qu'il ne doit pas automatiquement sélectionner la carte réseau qui a 192.168.0.1 pour IP mais l'autre carte réseau.
Rien avoir donc avec les adresses IP des autres machines du réseau.

Frédéric.

 

Merci Frédéric pour cette réponse!

Valpat, est-ce que la règle marche bien? Est-ce que tu n'as plus de paquets de cette sorte?

Amicalement,

Patrice

 

Bonsoir Frederic,
Oui, mais avec un routeur, les PC du réseau sont indépendants; il n'y a pas de serveur mais une passerelle qui est le routeur lui-même. Dans le champ: "Exclure adresses IP", ou on y met tous les IP des PC reliés au routeur ou on n'en mentionne aucun. Mais pourquoi on y met l'IP de la passerelle alors que c'est elle qui est utilisée pour les connexions Internet?
merci pour la réponse.
Pour Patrice: non, je n'ai plus de paquets bloqués.
Merci de ton aide;
Cordialement.
valpat

 

Chouette!! Maintenant ton système est "super" sûre! Mais n'oublies pas que 100% de sécurité n'existe pas.

Salutations,

Patrice

 

Ce que je voulais dire c'est que les adresses IP indiquées là n'ont aucun lien avec les IP des autres machines du réseau. Cette option ne s'applique qu'aux adresses IP que le PC, lui, peut obtenir.
L'option contient par défaut 192.168.0.1 car ça sert pour ICS serveur. Et l'idée est d'avoir des options préconfigurées pour les cas les plus usuels.
C'est une coincidence qu'une autre machine du réseau utilise cette adresse IP et il n'y a aucun lien.

Frédéric.

 

Bonjour,
J'ai parlé trop vite: j'ai 2 règles qui bloquent en Broadcasting signal en UDP dans le sens PC>>Internet sur l'adresse: 192.168.0.255 par les ports: netbios-dgm=138 et netbios-ns=137; et sur l'adresse: 255.255.255.255 par les ports S:bootpc=68 et le port Dest: bootpc=67.
Connaissez-vous ces adresses?
merci pour la réponse.
cordialement.
valpat

 

Salut valpat,

oui, je connais une de ces adresses. La première est une règle qu'on a déjà définie... La seconde je ne suis pas encore à 100% sûr. Mais est-ce que tu peux premièrement écrire les règles UDP: Broadcasting signal, comme j'ai montré avant? Après on peut regarder le problème avec le port 68/67.

Salutations,

Patrice

 

Je crois que je viens de comprendre le paramétrage des règles dans LnS:
Vous me direz si je me trompe:
Je reviens sur mon précédent message: les alertes que j'ai eu en broadcasting vers l'adresse 192.168.0.255 et 255.255.255.255 sont des alertes témoins que la règle Broadcasting signal fonctionne bien!
Le seul défaut que j'ai fait: je n'aurais pas du cocher la règle avec un point d'interrogation bleu qui signifie "avertir";
Le bon paramétrage des règles: ne pas cocher avec "avertir" les règles qui autorisent, ne cocher que les règles qui interdisent!
Donc, les 3 règles écrites pour les routeurs (encore merci Patrice) ne doivent pas être cochées "avertir".
Ai-je raison,
Merci pour la réponse;
valpat

 

Salut valpat,

oui, c'est tout-à-fait correct! Tu veux seulment voir des paquets qui sont bloqués des règles qui interdisent quelque chose.

Amicalement,

Patrice

 

Bonsoir Patrice,
J'ai installé LnS sur mes 2 autres PC: ça fonctionne bien, sauf pour le PC2 qui me signale une alerte "Stateful Packet Inspection" de type TCP dans le sens PC >> Internet avec comme adresse source celle du PC2 (192.168.0.2) vers le PC1 (192.168.0.3); le port S= netbios-ssn=139 et le port D= 1043.
Je ne comprend pas cette alerte car j'ai bien configuré mes règles ETH= autorise l'autre PC (j'ai vérifié mes adresses MAC de chaque autre PC).
Merci pour le réponse;
Cordialement;
valpat

 

Salut valpat,

le règle que j'ai écrit est très restrictive. J'ai aussi remarqué dans mon réseau que quelque fois il y a des paquets qui sont bloqués. La solution pour ton problème est à mon avis la règle UDP: Broadcasting Signal. Là-dedans il faut changer les ports pour la source ET la destination. Pour le moment c'est seulement le port 138 qui est accepté. Change le comme ça:

TCP/UDP port:

Entre A:B
137 netbios-ns
139 netbios-ssn

Fais cela sur chaque PC et ça devrait marcher!

Amicalement,

Patrice

 

Bonjour Patrice,
Dans la règle UDP Broadcasting Signal, qu'est-ce que je mets comme adresse IP de destination en face de 137 netbios-ns et en face de 139 netbios-ssn?
Merci pour la réponse;
Bien cordialement;
valpat

 

Salut valpat,

tu as déjà écrit la règle... Il faut seulement changer le port 138. C'est trop restrictive chez toi. Alors change le port pour 137-139. L'adresse IP est la même que tu as déjà mis.

Salutations,

Patrice