Jeu de Règles expérimental pour Zozot

Discussion in 'LnS French Forum' started by Climenole, May 17, 2007.

Thread Status:
Not open for further replies.
  1. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Zozot :)

    Tu as demandé sur le forum Eng. la version en français du jeu de règles climenole v. 3. (expérimentale).

    La voici donc avec une version modifiée du fichier "lns_known_tcp_ports.txt"

    Les informations données sur le forum anglais sont les mêmes ici.
    Questions, commentaires, etc. sont les bienvenus.

    Amuse-toi! ;)
     

    Attached Files:

  2. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    merci


    question au niveau des règles A j'ai quelques incompréhension sauf A 70,80,81,90
     
    Last edited: May 17, 2007
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut zozot :)

    Oups ! Je n'avais pas vu ta remarque sur les Règles:

    1- Les règles pour le DHCP. Nécessaires si tu as une connexion internet qui utilise ce protocole. Par exemple les connexions internet par câble...

    Tu peux utiliser uniquement la première règle:

    {A. 70}. [Local] [UDP] { DHCP }

    ou ces deux là...
    Elles ont été testées par l'utilisateur -NiCeGuY- sur le forum anglais.

    {A. 71}. [Local] [UDP] { DHCP Discover/Request }
    {A. 72}. [Local] [UDP] { DHCP Offer/Ack }

    2) Il s'agit du partage des fichiers et imprimantes ...
    Ce sont des règles pour le NetBios utilisé dans les réseaux locaux de Microsoft.

    {A. 80}; [Local] [UDP] {{ Partage de fichiers }}
    {A. 81}; [Local] [TCP] { Partage de fichiers }}
    {A. 82}; [Local] [TCP] {{ Partage de fichiers }

    3) Cette règle a été ajoutée suite aux tests effectuées par l'utilisateur -NiCeGuY-...

    {A. 90}; [Local] [TCP] {{ configuration routeur }}

    Elle permet l'accès à la configuration du routeur via le navigateur...
    Si cette règle n'est pas activée (ou utilisée) il y aura un blocage par la règle:
    {B. 07}; [Tous] << IP non-routables ! >

    Cette règle bloque les accès aux adresses IP locales utilisées par le réseau local dans cette gamme: 192.168*

    La règle en question bloque des paquets avec des adresses IP "spoofées" et des tentatives de faire passer un paquet falsifié en provenance d'internet pour un paquet du réseau local... Empêche aussi l'usurpation d'adresses MAC via de tels paquets. Le MAC Spoofing n'est cependant pas couvert s'il provient de machines internes au réseau local... Je travaille là-dessus...

    A+

    :)
     
  4. Electrogaet

    Electrogaet Registered Member

    Joined:
    Jan 18, 2005
    Posts:
    46
    Salut !
    C'est quoi les évolutions majeures entre la V2 et la V3 ??
    Tu pourrais me donner le lien si tu l'as déjà expliqué en anglais ?

    Merci
     
  5. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Electrogaet :)

    Le fil de discussion sur le forum anglais:
    https://www.wilderssecurity.com/showthread.php?t=174202

    Les deux choses les plus apparentes avec la version 3 est la modification du codage des noms des règles et l'ajout de commentaires sur la nature des règles.

    Des règles du sous-groupe A ont été rajoutées pour des connexions en local: routeur, wifi, partage de connexion internet. etc. Pas différentes des règles que l'on peut trouver sur la FAQ de LNS mais placées au bon endroit et partiellement testées par l'utilisateur -NiCeGuY- (routeur, dhcp).

    Les règles optionnelles en TCP ont été revues, des règles générales montrant les flags des connexions ont été ajoutées.

    Enfin les règles de blocage finales en TCP et UDP ont été séparées en blocages en sortie: pour aider à la création de règles nouvelles et au déboggage de celles existantes.

    Les blocages finaux en entrée ne devraient en réalité que bloquer des paquets UDP. Si tout est au poil aucun paquet TCP ne devrait aboutir à la règle {Y. 99999}; [TCP] << Bloque Entrants ! > ni à la règle finale (mais obligatoire)

    La liste des ports connus a aussi été modifiée. Cela est optionnel mais donne de bonne indications et une lecture plus facile des entrées au journal.

    Je te laisse découvrir le reste.

    Les questions, commentaires, critiques, etc sont toujours bienvenus.

    :)
     
  6. zozot

    zozot Registered Member

    Joined:
    Apr 26, 2006
    Posts:
    50
    Location:
    france
    ok thx pour les precision

    just encore une choise la regles A 01 faut il ajoute l adresse MAC routeur ?
     
  7. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut zozot :)

    Non.

    :)
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut à tous :)

    à propos des règles:

    {R.80443,02}; [TCP] { Http/Https Skype }
    et
    {R..9999999}; [TCP] < Skype: ports interdits! >>

    Il faut utiliser ces règles avec les autres règles «R».
    Si ces règles sont utilisées uniquement avec les règles «S» tous les programmes utilisant internet seront bloqués lorsque Skype est utilisé.


    Aussi: à propos des paquets IGMP et NetBios.

    C'est sans doute une bonne idée de bloquer les paquets IGMP and NetBios:

    {A. 69}; [Local] [IGMP] << Bloque igmp ! >>
    and
    {A. 89}; [Local] [T/U] << Bloque NetBios !>>

    [à tester...]

    :)
     

    Attached Files:

  9. Spunny

    Spunny Registered Member

    Joined:
    May 22, 2007
    Posts:
    6
    Salut Climenole,

    j'ai installé la version 2.06 Beta2, et importé tes régles.

    Je suis en DHCP, Club Internet, et j'ai plus accés au net, y a t'il une régle à modifier?

    Merci
     
  10. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640

    Attached Files:

  11. Spunny

    Spunny Registered Member

    Joined:
    May 22, 2007
    Posts:
    6
    Merci pour ta rapidité ;)

    J'ai fais ce que tu m'as dit, j'ai renommé le fichier club internet.txt en club internet.rie et importé cette régle.

    Mais j'ai toujours le même problème, pas d'accé au net

    quand tu dis : Place-la dans la liste selon le # de règle, c'est à dire?
     
  12. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Spunny :)

    :cautious:

    1)

    Que raconte le log s.v.p.?
    Quand ça coince, c'est là qu'il faut regarder en premier... ;)

    Ce jeu de règles est pour les utilisateurs qui veulent expérimenter ... pas M'expérimenter. ;) ;) ;)


    2)

    N'aurais-tu pas besoin d'activer et de débloquer la règle DHCP pour ta connexion ?

    Soit celle-ci {A. 70}. [Local] [UDP] { DHCP }
    Soit les deux suivantes...


    3) Pour l'ordre des règles:

    Pour la position des règles dans la liste il suffit de tenir compte de son code alphanumérique...

    Par exemple:

    Ceci :
    {B. 01}; [Tous] << IP Invalides ! >

    est placé après cela:
    {A. 01}; [Local] [ARP] { Résolution d'adresses MAC }

    mais avant ça:
    {Q. 999}; [TCP] << SYN ! >

    OK?

    Dis-nous si ça marche.

    :)
     
  13. Spunny

    Spunny Registered Member

    Joined:
    May 22, 2007
    Posts:
    6
    lol le log raconte pas grand chose

    J'ai testé ta manip et ça marche pas :(

    Mais dans Option de Look'n'Stop / Interface réseau j'ai sélectionné (IP) Look'n'Stop au lieu de ma carte réseau et miracle ça marche est ce une bonne chose? Perso, je pense que ça soit pas bon :s

    Mais j'ai trouvé cette règle {B. 07}; [Tous] << IP non routables ! > en désactivant le blocage de cette règle avec ma carte réseau sélectionné, ça marche aussi, est ce bon?

    Et si ça marche sans les règles club internet.rie, faut il que je la mette quand même?

    Pour l'ordre des régles c Ok ;)

    Merci de ton aide :)
     
    Last edited: May 22, 2007
  14. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Spunny :)

    :D Ça fait changement: habituellement c'est pas mal "verbeux"... !!!

    Ah bien oui! Habituellement cocher la "sélection automatique" suffit mais dans certains cas il faut faire la sélection manuellement...

    Tu t'es bien débrouillé : bravo Spunny :thumb:

    Ok...
    Seulement cela indique que tu est en réseau ou avec un routeur...

    Pas besoin des règles IGMP ou DHCP ou autre o_O

    N'y a-t-il pas de paquets IGMP ou UDP signalés dans le logo_O

    Mais non.

    OK.

    Amuse-toi bien

    :)
     
  15. Spunny

    Spunny Registered Member

    Joined:
    May 22, 2007
    Posts:
    6
    Bonjour Climenole

    Alors un petit compte rendu :

    En cochant (IP) Look'n'Stop dans l'interface réseau j'ai remarqué que dans le journal rien n'est filtré :s

    Effectivement je suis en routeur
    Dans mon log j'ai 2 régles qui reviennent le plus souvent :

    {S. 0}; [TCP] {{ ACK }}
    {S. 3}; [TCP] {{ ACK PSH }}

    et celles là moins souvent :

    {Z. 9999999}; [TOUS] << VERROUILLAGE ! >>
    {A. 01}; [Local] [ARP] { Résolution d'adresses

    Merci
     
  16. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Spunny :)

    Merci bien ! :)


    En effet: il faut choisir la bonne interface réseau soit en automatique ou manuellement...

    Normal...
    ACK est le flag TCP d'aquiescement (ACKnowledge) et ACK PSH (PuSH)sont les flags des paquets de données ...

    Une connexion commence toujours par une requête DNS:
    {G. 53,01}; [UDP] {{ Résolution des noms }}

    pour traduire l'URL (le nom de site) en adresse IP

    puis par un paquet TCP avec le flag SYN de ton PC vers le serveur:
    {S. 1}; [TCP] { SYN }}

    (mais pas l'inverse qui est bloqué: {Q. 999}; [TCP] << SYN ! > )

    Le serveur répond avec un paquet TCP + ack-syn:
    {S. 2}; [TCP] {{ ACK SYN }}

    ton PC répond avec un TCP + ack:
    {S. 0}; [TCP] {{ ACK }}

    puis cela se poursuit avec des ACK, ACK-PSH ...

    et cela se termine par exemple par un TCP ack+fin de ton PC vers le serveur suivi de TCP + ack ... il peut y avoir aussi des ACK-PSH-FIN et des RST...

    etc.


    Verrouillage: vérifie de quels type de paquets il s'agit: sans doute des IGMP...
    Ton routeur en aurait-il besoin?

    Ajoute la règle de blocage IGMP que je te joint: tu le saura assez tôt... ;)

    ARP= Address Resolution Protocol. Cela permet de traduire les adresses MAC (Media Access Control) en adresse IP...

    Par exemple l'adresse MAC de ton routeur en adresse IP de ce routeur.

    Merci d'avoir donné du feed-back.

    :)
     

    Attached Files:

    Last edited: May 23, 2007
  17. Hombre

    Hombre Registered Member

    Joined:
    May 24, 2007
    Posts:
    2
    Salut tout le monde.

    Je débute ds LNS et je voudrais savoir où je pourrais télécharger des règles optimisées, j'ai beaucoup lu parler des phantom's rules mais je n'arrive pas à trouvé la dernière version (à part un logiciel payant).
    Sinon j'ai vu le tuto de Climenole, je te félicite et remercie... le jeu de règles que tu proposes à la fin du dernière article est-il "à jour" ?

    merci

    @+
     
  18. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Hombre :)

    1- Puisque tu commence avec LNS je te suggère d'utiliser le jeu de règles évoluées de LNS ...

    2-Le jeu de règles de Phat0m vient avec un installateur pour une configuration automatique et est payant (pas cher). Ce jeu, AMHA, devrait être utilisé par des utilisateurs avancés pas des débutants. Les avis sont partagés là-dessus et je n'ai pas l'intention de polémiquer à ce sujet.

    3- Le jeu de règles que j'ai proposé en anglais et en français est aussi pour des utilisateur avancés ou "aventuriers". Marche très bien jusqu'à présent mais les tests dans différents environnements/configurations ne sont pas complets.

    Le jeu version 1 dans les articles est "obsolète" (trop la "ceinture et les bretelles").

    Celui que tu peux essayer est celui posté ici: c'est celui-là que tu peux essayer...

    Bonne journée.

    :)
     
  19. Hombre

    Hombre Registered Member

    Joined:
    May 24, 2007
    Posts:
    2
    ok merci, je débute mais je n'ai pas dit que je n'étais pas "aventurier" :D
    avant je roulais avec kpf, mais je souhaite changer.

    je vais essayer les rules que tu as posté sur ce topic, merci.
     
  20. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Hombre :)

    OK.

    Si tu as des questions c'est ici.

    Amuse-toi bien.

    :)
     
  21. Spunny

    Spunny Registered Member

    Joined:
    May 22, 2007
    Posts:
    6
    Bonjour Climenole,

    Après quelques semaines de test tout à l'aire de fonctionner correctement :)


    Quand je lance azureus, lns prends environ 20 % du cpu et ça arrive qu'il prenne de 200 Mo de mémoire


    Et j'ai une ligne qui revient sans arret by1msg4276306.phx.gbl, ça vient d'une adresse msn que j'ai dans mes contacts et j'ai remarqué qu'il a mis des images qui défilent à la place de sa photo, mais l'image je ne la vois pas tant que la fenêtre de discution est fermé, en supprimant le contact cette ligne reviens mais beaucoup moins serait-ce ça?


    j'ai ces lignes qui revient aussi : i05m-87-90-254-204.d4.club-inte et 194.158.114.110

    ça correspond à quoi?


    ci joint les images jpeg


    Merci
     

    Attached Files:

    Last edited: Jun 3, 2007
  22. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Spunny :)

    Super! Merci de donner du feed-back :thumb:

    Je vais vérifier avec Azureus pour voir si cela fait la même chose ici.
    J'ai 2 version d'Azureus: la nouvelle avec "Vuze" et une variante BitTyrant...

    Il est possible que cela soit "normal". Je vais te donner du feed-back là-dessus un peu plus tard...
    (Pour le moment j'utilise Tor et mon PC est un "onion router: il me serait difficile d'utiliser Az en même temps. ;) )

    Si je compare cela avec eMule, il y a toujours au début une charge plus forte qui va en diminuant.

    Histoire à suivre...


    Ce sont des paquets UDP vers le port 1559 et cela semble relié à un machin nommé web2host (je n'en sais pas plus...).

    Si tu fais confiance à ce contact Msn, autorise temporairement l'accès à ce port en UDP. Dans le journal clique sur la ligne correspondante et crée une règle autorisant l'accès à ce port. Ou encore crée une règle temporaire en UDP pour ce port + Msn Messenger et vois ce que ça donne...


    Pas d'autre idée pour le moment.
    A+

    :)
     
  23. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut

    Pour de l'aide à propos de la version 3 vous pouvez me contacter par courriel
    si cela est nécessaire. Je ferai de mon mieux pour vous répondre selon mes disponibilités.

    climenole[AROBAS]gmail[POINT]com

    Merci.
     
Thread Status:
Not open for further replies.