Comment placer les regles msn?

Discussion in 'LnS French Forum' started by Pierrot, Sep 12, 2008.

Thread Status:
Not open for further replies.
  1. Pierrot

    Pierrot Registered Member

    Joined:
    Dec 20, 2006
    Posts:
    21
    Bonjour à tous!

    J'ai importé les règles relatives à msn (super!!) mais j'ai une petite question à vous soumettre:
    Les règles sont les suivantes:
    msn_MessagesEtFichiers.rie
    MSN_SonVideo.rie

    Quelles sont les règles à placer dans la "partie" serveur?
    Quelles sont les règles à placer dans la "partie" client?

    PS: j'utilise les règles Phant0m

    Je vous remercie vivement par avance pour vos réponses.

    Bonne journée!!

    Pierre
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Pierrot

    Les règles doivent être spécifiques à Messenger
    (pas des règles générales ou pour toutes les applications!)

    1)
    Se connecter au service Messenger = port locaux standards vers ports distants: TCP 80, 443, 1863

    2)
    Détection de réseau =

    a) port locaux standards vers port distant: TCP 7001

    (géré par la règle générale
    "TCP : Autorise les services Internet Standards." du jeu de règles évoluées de LnS
    ou
    par la règle "{S..0000001}; [TCP] {{ Applications Internet }}" du jeu de règles Climenole
    ou
    l'équivalent dans ton jeu de règles)

    b) Port local en "écoute" UDP 9 vers tous les ports

    3)
    Audio = port locaux 30000 à 65535 vers ports distants: TCP 80, 443, 1863

    4)
    Conversations vidéo et webcam = port locaux 5000 à 65535 vers port distant: TCP 80

    5)
    Transfert de fichiers = port locaux 1025 à 65535 vers ports distants TCP 443, 1863

    6)
    Partage de dossiers = port locaux 1025 à 65535 vers ports distants:TCP 1863

    7)
    Tableau blanc/partage d'application
    = port locaux 1025 à 65535 vers port distant:TCP 1503

    8 )

    a) Assistance à distance (donner)= ports locaux 49152 à 65535 vers TCP 3389


    b) Assistance à distance (recevoir)=
    port local 3389 TCP/UDP depuis ports distants TCP/UDP 49152 à 65535
    Cette règle est une règle "serveur".

    Elle doit obligatoirement être placée immédiatement avant(ou au-dessus)
    la règle "{Q. 999}; [TCP] << SYN ! >" du jeu de règles Climenole
    ou
    la règle "TCP : Bloquer les connexions entrantes." du jeu de règles évoluées de LnS
    ou
    l'équivalent dans n'importe quel autre jeu de règles à savoir:
    bloquer les paquets TCP entrants avec le flag Syn de positionné.
    (L'option "bloquer les connexions venant du réseau" cochée.)


    9)
    Windows Live Call = ports locaux 5004 à 65525 vers TCP 443, 5061

    10)
    Jeux = ports locaux 1025 à 65535 vers TCP 80, 443, 1863

    Remarque:
    Il se pourrait que des ports en UDP soient nécessaires pour certaines de ces options de Messenger.
    à toi d'y voir en examinant les paquets UDP bloqués en sortie...

    Ref.:
    MS KB: Ports réseau et URL utilisés par Windows Live Messenger

    :)
     
  3. Pierrot

    Pierrot Registered Member

    Joined:
    Dec 20, 2006
    Posts:
    21
    Bonjour Claude, désolé de te repondre si "tard"!
    Mais merci pour ton feedback!
    Très instructif!!!

    Par contre, j'ai testé tes règles en v3.1 (très bien commentées) et certaines choses me chagrinent:
    1) "beaucoup" de règles pour les softs sont en "paquets entrants et sortants" exemple: TCP port 25 et 110 pour le mail alors que seul le flux sortant est, selon moi, nécessaire (sauf erreur de ma part!!!!!)

    2) j'utilise mailwasher pro comme antispam et bien que non autorisé dans les softs de l'onglet "filtrage internet", il passe quand même le bougre!!!
    idem pour mon scanner de mails entrants et sortants de mon antivirus

    Claude, je ne suis pas un pro de la sécurité, mais je me débrouille ;)
    Si tu pouvait m'éclairer de tes lumières, ce serait avec grand plaisir!!
    Et d'ailleurs, pour ne vexer personne, toute aide d'autre internaute, est la bienvenue, bien évidement!!! :D

    Bonne journée à tous!!!
    Cordialement,

    Pierre
     
  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Pierrot :)

    Tant mieux. J'espère que cela va t'aider pour l'utilisation de Msn avec LnS.

    Eh oui, c'est une erreur. Il doit y avoir un échange d'information entre ton PC et le serveur de mail... Je te joint une capture d'écran du log de LnS au cours d'une connexion avec Gmail en IMAP-SSL. Regarde en particulier la colonne "Complément"...

    Il doit avoir accès à "Internet"... En fait ton proxy de mail boucle en local et doit être autorisé comme n'importe quel autre proxy logiciel ...

    Dans l'onglet "Filtrage logiciel" (avec l'option avancée "Mode avancé") met le signe !! pour ce programme et vérifie dans le log: c'est soit un "EXE" soit un "RUN".

    Si c'est un "EXE", il se connecte lui-même à Internet.
    Il doit alors être autorisé à se connecter [et possiblement à lancer d'autres appl. qui se connectent à Internet) comme dans la capture d'écran pour "Network Diagnostic".

    Par contre si c'est un "RUN" il ne doit pas se connecter directement mais doit pouvoir lancer d'autres appl. qui, elles, se connectent à Internet tel que l'Explorateur Windows... (voir la capture d'écran...)

    J'espère que mes réponses t'ont aidées un peu.

    :)
     

    Attached Files:

  5. Pierrot

    Pierrot Registered Member

    Joined:
    Dec 20, 2006
    Posts:
    21
    Bonjour Claude. merci pour tes explications!!!

    Quote: "Si c'est un "EXE", il se connecte lui-même à Internet.
    Il doit alors être autorisé à se connecter [et possiblement à lancer d'autres appl. qui se connectent à Internet) comme dans la capture d'écran pour "Network Diagnostic".

    Mais alors comment faire pour affiner la connexion que sur le port 80 (par exemple)? suffit-il de rajouter le path du logiciel dans la règle qui va bien?
    (i.e {R. 80,01}; [TCP] { HTTP } )?

    Merci encore pour tes éclaircissements!

    Cordialement,

    Pierre
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Pierrot :)

    Le plus simple est plutôt de placer cette restriction au niveau du Filtrage Logiciel. Comme ceci:
     

    Attached Files:

  7. Pierrot

    Pierrot Registered Member

    Joined:
    Dec 20, 2006
    Posts:
    21
    bonjour Claude,

    c'est effectivement d'une simplicité enfantine...mais alors (question idiote, mais qu'importe...) quel est l'intérêt de créer des règles relatives à tel ou tel logiciel dans l'onglet "filtrage internet"?

    Au plaisir de te lire...

    Cordialement

    Pierre
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Pierrot :)


    Dans le cas du filtrage Internet les applications utilisant le protocole TCP sont gérés par la règle générale "TCP : Autorise les services Internet Standards."

    Dans le cas des applications utilisant le protocle UDP (un protocole "connectionless") il n'y a pas de "Stateful Packet Inspection" possible.
    Il ne peut donc pas y avoir une règle générale pour ces applications en UDP et chaque fois il faut créer une ou des règles spécifiques en UDP...

    :)
     
  9. Pierrot

    Pierrot Registered Member

    Joined:
    Dec 20, 2006
    Posts:
    21
    Bonjour Claude,

    Un grand merci pour tes explications très claires et ta grande disponibilité!!!

    Bien cordialement

    Pierre
     
  10. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Pierrot :)

    Ok. Les questions sont toujours les bienvenues.

    :)
     
Thread Status:
Not open for further replies.