Alerte: "Protocole 139" ???

Bonjour,

J'ai récemment installé LnS sur 2 pc, et j'ai un "problème" assez surprenant. Si quelqu'un pouvait m'expliquer, ce serait sympa.

Les 2 PC sont en LAN (plage 192.168.30.*). Le jeu de règles évolué LnS est activé sur les deux.

Quand le PC1 démarre, il me donne immédiatement une alerte de blocage de cette forme:

Règle: Tout le reste
Direction: PC>>Internet
MAC source: MAC PC1
MAC dest: FF:FF:FF:FF:FF:FF
Type: IP
IP source: 192.168.30.255
IP dest: 255.255.255.255
Protocole: 139

Quand le PC2 démarre, aucune alerte sur PC2. Par contre PC1 me donne une alerte de blocage de PC2, de la même forme:

Règle: Tout le reste
Direction: Internet>>PC
MAC source: MAC PC2
MAC dest: FF:FF:FF:FF:FF:FF
Type: IP
IP source: 192.168.30.255
IP dest: 255.255.255.255
Protocole: 139

L'alerte dit bien "protocole 139" (pas port 139) dans les deux cas. Je ne crois pas que ce protocole existe, alors je me demande bien ce qui se passe ?
D'autant plus que ce traffic n'est détecté que par un des 2 PC, alors qu'ils ont le même jeu de règles.

 

Bonjour,

Oui, c'est assez curieux, il devrait s'agir plutôt de port et non de protocole.

C'est dans quelle fenêtre exactement ? Pourriez-vous faire une copie d'écran ?

Sinon, dans la fenêtre "Contenu du paquet" (quand on double-clique sur une ligne du journal), cliquez sur le bouton "Paquet Brut", ce qui va créer un fichier RawPacket.log dans le répertoire des logs (il y a un bouton dans la page des options pour ouvrir l'explorateur sur ce répertoire).
Ouvrez le fichier puis faites un copier/coller du dernier paquet inscrit dans le fichier (il n'y en a qu'un si vous n'avez jamais utilisé cette fonction).

Merci,

Frédéric

 

Bonsoir,

Merci pour la réponse.

Je voulais parler de la fenêtre d'alerte classique qui apparait en pop up quand un paquet est bloqué par le filtrage internet (c'est aussi consigné dans le journal).

J'ai pensé au début qu'il s'agissait du port 139 et qu'il y avait une erreur de formulation, mais je ne crois pas que ce soit le cas, en effet le paquet est bloqué par la règle "tout le reste", pas par une règle tcp ou udp.

Je ne peux pas accéder aux pc ce soir mais j'essaierai l'option "paquet brut" dès demain.

Merci.

 

C'est peut être quand même une erreur d'affichage de la popup d'alerte.
C'est pour cela que je voudrais savoir aussi ce que dit la fenêtre "Contenu du message" qui est plus fiable.

Frédéric

 

Je me suis trompé hier soir: je parlais bien de cette fenêtre "contenu", en fait. La popup d'alerte ne dit pas grand chose.

Voilà la capture :
(dans le doute j'ai enlevé l'adresse MAC, je sais pas si je m'en fais pas pour rien?)



Et le paquet brut:

08/11/07,11:11:40 Addition, Uplink packet:
0000:FF FF FF FF FF FF 00 20 ÿÿÿÿÿÿ.

0008:XX XX XX XX 08 00 45 00 í3…..E. (même remarque?)

0010:00 32 00 03 00 00 FF 8B .2....ÿ‹

0018:20 58 C0 A8 1E FF FF FF XÀ¨ÿÿÿ

0020:FF FF 01 00 02 00 00 00 ÿÿ......

0028:00 00 00 00 00 00 00 00 ........

0030:18 30 A1 37 87 50 DC E8 0¡7‡PÜè

0038:38 BA F1 F1 7A 6E 2D B3 8ºññzn-³

 

Bonjour,

Merci pour les infos.

Il s'agit bien d'un paquet qui utilise le protocole 139.
Ca pourrait être un problème dans le paquet remonté par le driver, mais il semble quand même assez cohérent par ailleurs: il s'agit d'un broadcast avec les champs d'adresse à FF à la fois dans la partie ethernet et la partie IP.
Et cette adresse IP se trouve après le champ qui vaut 139.

Sinon, l'adresse IP source est curieuse aussi, le dernier chiffre étant à 255.

En cherchant sur google on trouve d'autres occurrences de "protocol 139", mais sans trop d'explication non plus.

Frédéric

 

Bonjour chafouin et Frédéric

Juste une idée comme ça: ce ne serait pas une bizarrerie d'un routeur ou d'un équipement du genre? Quels équipement avez-vous au fait? Marque et modèle.

Suggestion: autoriser ces paquets et examiner ce qui se passe avec un "packet sniffer" pour voir si d'autres indices serait disponibles...

Ceci par exemple: Packetyzer

A+