doit classer les règles dans un cetain ordre??

Discussion in 'LnS French Forum' started by olcha, Dec 17, 2003.

Thread Status:
Not open for further replies.
  1. olcha

    olcha Guest

    bonjour,

    j'aimerais savoir si on doit classer les règles que l'on ajoute ( pour kazaa, emule et bittorent, bap ip etc.. ) dans un certain ordre dans l'onglet "filtrage internet " ou cela ne modifie rien??

    merci par avance de vos réponses
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Ca affecte les performances.

    Les regles de filtrage que tu creer sont traversées une par une jusqu'a temps qu'une qui corresponde soit appliquée, et l'action requise effectuée (autoriser/bloquer).
    Donc les regles de filtrage concernant ton traffic le plus courant doivent être placées en premier.

    Si tu place les regles les plus souvent sollicitées à la fin, beaucoup de regles inutiles seront traversées d'où une plus grande consommation de CPU dans de rares cas de fort traffic (genre les logiciels de P2P).
     
  3. Andreas1

    Andreas1 Security Expert

    Joined:
    Jan 29, 2003
    Posts:
    367
    Location:
    Mainz (Ger)
    quelque fois l'ordre est aussi important pour décider si un paquet est permis ou non.
    Regarde ce screenshot:

    [​IMG]

    J'ai des règles qui permettent les paquets P2P pour mon emule. Mais les règles sont restreintes à emule.exe. Si j'ai emule.exe actif, et je recois un tel paquet, une des règles permissives correspond et le reste est ignoré. Si je n'ai pas mon emu.exe actif, par contre, les règles permissives ne correspondent pas et le paquet rencontre une des règles au fond, qui qualifient les mêmes paquets mais bloquent. Et je ne recois pas des tas de messages dans mon journal à cause des paquets P2P bloqués...

    Andreas
     
  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Oui, c'est aussi ce que je fait sur ma passerelle Linux :)

    Quand j'ai emule d'ouvert j'autorise les ports, sinon je les bloque sans les logguer pour eviter de surcharger mes logs avec des informations inutiles.

    Je ne pense pas avoir besoin de rajouter quelque chose, si tu as d'autres questions, nous nous feront un plaisir de te répondre ;)
     
  5. olcha

    olcha Guest

    merci pour vos réponses alors voila l'ordre de mes règles :

    bap ip
    bittorent
    kazaa
    emule
    ftp
    blocage des connections entrantes
    puis celles des règles évoluées
    en dernier la règle bloquer tout le reste

    est ce que cela vous parait correct?
    est ce que je pourrais vous de mander de l'aide pour la création de règles car celles qui sont proposées me semblent un peu limitées?

    merci par avance de vos réponses
     
  6. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Personellement, j'aurai fait de la façon suivante :

    bad ip
    regles evoluées jusqu'à "bloquer le land attack"

    tes regles a toi (emule, bittorent)

    le reste des regles évoluées.


    De cette façon par sécurité tu bloques les paquets forcements malicieux en premier lieu, ensuite tu autorise ce dont tu as besoin, et enfin tu bloques le restes.
    J'aurai même tendance a remonter la regle qui autorise la résolution de nom DNS en dessous de "land attack" car c'est du traffic très courant.

    Maintenant je peut me tromper, et si je ne me trompe pas de toute façon il y a plusieurs manières d'agencer les choses, à toi de voir ;)
     
  7. kamui

    kamui Registered Member

    Joined:
    Aug 19, 2003
    Posts:
    218
    Location:
    France

    Pq t'as mis autant de régles pour émule o_O , moi j'en ai mis que deux sa suffit amplement , j'ai ouvert les port TCP 9999 et UDP 10000 et sa sa suffit pour ne pas avoir de Low iD ;) et dans application autoriser à ces regles j'ai mis emule.exe ;)
     
  8. Andreas1

    Andreas1 Security Expert

    Joined:
    Jan 29, 2003
    Posts:
    367
    Location:
    Mainz (Ger)
    Ah bon. Je ne l'avais pas beaucoup recherché. J'ai regardé seulement ce que j'ai reçu dans le journal comme paquets et je voulais essayer de ne pas ignorer qqn/qqch ou prendre le risque d'avoir une LowID. Quand j'aura le temps, je vais essayer ce que t'as proposé et le comparer eu égard à la performance...

    Andreas
     
  9. tepee

    tepee Registered Member

    Joined:
    Oct 23, 2003
    Posts:
    46
    Perso, Phantom'' conseille de mettre les rêgles d'autorisation de ce genre de logs juste au-dessus de "+TCP : Block incoming connections".

    Pour tout ce qui est Bad IP, elles sont à mon avis à mettre au début (on est tous d'accord là-dessus).

    A + :)
     
Thread Status:
Not open for further replies.