Bug du plugin Raw

Discussion in 'LnS French Forum' started by r_e_endymion, Oct 18, 2006.

Thread Status:
Not open for further replies.
  1. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    Bonjour,

    je ne suis pas certains qu'il s'agisse d'un bug, car il peut aussi s'agir d'un problème de compréhension de ma part.
    Quand j'utilise le critère NOT_EQUAL_VALUE1AND2 sur un champ, je devrais logiquement obtenir le même résultat que 2 NOT_EQUAL_VALUE1 dans 2 champs ?
    Si ce que j'ai compris est correct, ça ne fonctionne pas du tout!
    d'autres utilisateurs ont-ils le même problème ? j'ai déjà eu des soucis avec ce plugin sur le critère "EQUAL_MY_IP" qui n'est pas sauvegardé correctement dans les règles ce qui fait qu'au reboot, la règle contenant ce critère ne fonctionne plus.

    Au plaisir de vous lire chers tous, notamment Frederic s'il a des éléments de réponse précis.
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut r_e_endymion :)

    À ce propos j'aimerais bien de Frédéric ou qq1 d'autre fasse un petit topo sur l'édition "raw"...
    Pas certain de comprendre grand chose là-dedans.
    Ou y aurait-il une documentation que je n'aurais pas trouvée?


    Aaaaah... un jeu de règles entièrement "raw": comme ce serait amusant!

    :blink:

    Je pense que je vais aller prendre l'air un peu..
    A+

    :)
     
  3. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    je n'ai jamais vu de docs la-dessus, mais en cherchant sur le net, tu trouves des explications des en-têtes Ethernet, IP, etc... et par l'expérimentation j'en suis arrivé à utiliser ce plugin, et rencontrer par la-même occasion quelques anomalies qui sont sûrement dues au fait que ce plugin ne doit pas beaucoup être utilisé car quelque peu ésotérique...

    c'est vrai qu'une documentation même succinte m'aurait fait initialement gagner du temps, mais aurais-je autant appris par la même occasion qu'en mettant les mains dans la camboui, je n'en suis pas certains.
     
  4. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Pour ce qui est du plug-in RAW je ne l'ai jamais utilisé. Mais pour les entetes (entre autres), tout est expliqué dans les RFCs.

    RFCs interessantes : IP:791, ICMP:792, UDP:768, TCP:793, IGMP:1112
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Qui dit raw dit raw :D

    Globalement c'est la lecture des RFC qui permet de créer des règles raw.
    Donc pas vraiment de topo à faire, mais voici quelques infos rapides sur ce qui est spécifique LNS et non RFC.

    Une règle est consistuée de 10 champs, et chaque page (quand on sélectionne successivement le field de 0 à 9) permet de remplir un champ.
    Un ET logique est appliqué entre tous les champs (une règle s'applique si tous les champs définis s'appliquent).
    Le type (ETH/IP/TCP) permet de dire si les offsets s'applique au début, à la partie IP, ou à la partie TCP/UDP/ICMP (ça permet d'avoir des offsets plus faciles à calculer quand on a la RFC IP ou TCP/UDP/ICMP sous les yeux).
    Il y a 2 offsets, car certains champs (IP/MAC addresses et ports) sont inversés selon le sens du paquet, sinon pour tous les autres cas ils sont a priori identiques quelque soit le sens du paquet.
    Les critères sont identiques à l'édition d'une règle normale.

    Oui, il faut que je regarde cette histoire de "equal my @" qui ne serait pas bien sauvé. Désolé de l'avoir laissé en standby.

    Pour le NOT_EQUAL_VALUE1AND2, oui c'est censé être pareil que 2 champs avec NOT_EQUAL.
    Que se passe t'il dans ces cas exactement ? lequel semble correct et l'autre non ?

    Frédéric
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Frédéric et les autres :)

    Eh bien le voilà le "topo".

    Un topo "raw" puisque le sujet s'y prête !!!! :D

    Bon week end à tous !
    :)
     
  7. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Je confirme qu'il y a bien un bug avec certains critères du plugin raw.
    Ca explique le pb sur le critère EQUAL_MY_IP, et aussi le fait que NOT_EQUAL_VALUE1AND2 ne se comporte pas attendu.

    En fait tous les critères qui sont après "NOTMASK_VALUE1" sont mal initialisés au chargement du Ruleset, et sont mis justement à "NOTMASK_VALUE1" par erreur.
    En conséquence, tant qu'on édite (et ré-édite) le ruleset dans Look 'n' Stop c'est Ok, mais dès qu'on quitte et qu'on relance Look 'n' Stop, on se récupère des "NOTMASK_VALUE1" inattendus...

    Sera corrigé dans la prochaine version.

    Frédéric
     
  8. r_e_endymion

    r_e_endymion Registered Member

    Joined:
    Sep 26, 2006
    Posts:
    35
    Location:
    France
    Salut à tout le monde,

    je suis content de savoir que cette anomalie sera corrigée dans la prochaine version. Mais, je n'ai pas compris si la correction serait dans la prochaine version de LNS ou du plugin, voir les deux ?

    J'utilise le plugin raw, pour le filtrage des paquets ARP : sur le réseau de ma boite, je ne laisse sortir que mes requêtes ARP, et ne laisse entrer que les réponses à mes requêtes ARP. Si quelqu'un est intéressé pour avoir ces règles, je peux les mettre sur le forum.
    comme expliqué dans un autre de mes posts, j'utilise aussi ce plugin pour bloquer le plus tôt possible les protocoles que je n'utilise pas.
    Ainsi, en une seule requête je bloque tous les protocoles ethernet qui ne sont ni IPv4, ni ARP. Je sais, je sais, je pourrais aussi le faire avec l'édition normale des règles, mais la force du plugin raw, c'est que je peux laisser passer d'autres protocoles ethernet tels que IPv6, et cela toujours en une seule règle.
    Je bloque ensuite (également en une seule requête) tout ce qui n'est pas protocole ICMP, TCP ou UDP, ce qu'il ne serait pas possible de faire en une seule règle avec l'éditeur de règle standard.
    Voilà, en espérant avoir pu apporter une maigre contribution à la compréhension du plugin Raw et à son intérêt.
     
    Last edited: Oct 23, 2006
Thread Status:
Not open for further replies.