C827 et Phantom rules 5 :(

Discussion in 'LnS French Forum' started by kamui, May 4, 2004.

Thread Status:
Not open for further replies.
  1. kamui

    kamui Registered Member

    Joined:
    Aug 19, 2003
    Posts:
    218
    Location:
    France
    Hi All ,

    J'ai un petit pb avec lns 2.05 finale avec Ph rules 5 et mon new routeur cisco 827 ;), je ne peux plus surfer quand les régles "+TCP : Block Fragments" et "+TCP : Block MF flag" sont activés alors qu'avant sa marchait nickel avec mon routeur Thomson 510 v4 :rolleyes:

    Merci d'avance :D

    voici mon log


    Code:
    05/05/04,00:16:56  D-39   '+TCP : Block Fragments  ' 81.249.116.126    TCP       Ports Dest:10472 Src:10007
    05/05/04,00:16:58  D-40   '+TCP : Block MF flag    ' 193.226.140.217   TCP       Ports Dest:1289 Src:80
    05/05/04,00:16:58  D-41   '+TCP : Block Fragments  ' 193.226.140.217   TCP       Ports Dest:25957 Src:21352
    05/05/04,00:17:11  D-42   '+TCP : Block MF flag    ' 212.73.209.131    TCP       Ports Dest:1292 Src:80
    05/05/04,00:17:11  D-43   '+TCP : Block Fragments  ' 212.73.209.131    TCP       Ports Dest:32010 Src:15114
    05/05/04,00:17:30  D-44   '+TCP : Block MF flag    ' 198.103.98.139    TCP       Ports Dest:1284 Src:80
    05/05/04,00:17:30  D-45   '+TCP : Block Fragments  ' 198.103.98.139    TCP       Ports Dest:25888 Src:30067
    05/05/04,00:17:44  D-46   '+TCP : Block MF flag    ' 81.249.116.126    TCP       Ports Dest:1291 Src:80
    05/05/04,00:17:44  D-47   '+TCP : Block Fragments  ' 81.249.116.126    TCP       Ports Dest:10472 Src:10007
    
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Salut Kamui,

    je pense que ton soucis est le même que pour Tele2 ou d'autres FAI, certains routeurs fragmentent les paquets (ce qui est un traffic normal documenté dans les RFC), peut être est ce une configuration par défaut pour améliorer les temps de réponse, car un paquet plus petit va arriver plus vite, mais le surplus (overhead) des en-tête supplémentaires va utilisé plus de bande passante, c'est un compromis à faire.

    Je suppose que tu as déjà regardé le manuel de ton routeur, ils ne parlent pas de ça ?

    Malheureusement les paquets fragmentés ont beaucoup servis aussi pour certaines attaques réseau ce qui explique les régles pour les bloquer.
    Je suis a Wanadoo et en bloquant les paquets fragmenté je n'ai aucun soucis
    (j'ai une passerelle Linux qui ne fragmente pas).

    Si ton routeur requiert absolument des paquets fragmentés, soit tu le configure autrement si c'est possible, sinon faut vivre avec :rolleyes:

    gkweb.
     
  3. kamui

    kamui Registered Member

    Joined:
    Aug 19, 2003
    Posts:
    218
    Location:
    France
    Merci Gkweb , faut que je me renseigne sur mon routeur cisco et les paquets fragmentés :) .

    On me l'as vendus sans doc :'( , je l'ai donc installer un peu à l'arrache :p

    Voila ;)
     
  4. Midnight

    Midnight Registered Member

    Joined:
    Apr 17, 2004
    Posts:
    35
  5. kamui

    kamui Registered Member

    Joined:
    Aug 19, 2003
    Posts:
    218
    Location:
    France
    Merci Midnight je connais déja ce site ;)

    en parlant de cisco puis je convertir les régles de phantom 5 en ACL Cisco ?? o_O :rolleyes:
     
Thread Status:
Not open for further replies.