LnS - Configurer les règles, puis comment les placer

Discussion in 'LnS French Forum' started by babymilo067, Feb 4, 2007.

Thread Status:
Not open for further replies.
  1. babymilo067

    babymilo067 Registered Member

    Joined:
    Feb 4, 2007
    Posts:
    2
    Bonsoir tout le monde,

    Je viens d'installer LnS, et j'dois dire que c'est le meilleur firewall que j'ai pu tester. Tellment performant, que je ne sais pas comment le configurer convenablement, il me bloque tout ! lol ! Je m'explique :

    - Mon FAI est donc Club-Internet. J'ai actuellement l'abonnement CI3 ADSL2+ à 24 Mégas avec le modem Tecom AH4222

    - J'ai donc effectuer le NATtage de ports sur ce modem, comme il se doit, de mes principaux logiciels (MSN, Skype, eMule, Azureus, par exemple...)

    - avant d'avoir installer LnS, bien entendu, ces logiciels fonctionnent parfaitement, les ports étant ouverts

    - lorsque LnS est installé, mes ports passent en mode "Stealth" mais cette fois mes programmes ne fonctionnent plus (qualité sonore et vidéo horrible sur Skype et MSN, LowID sur eMule, aucune connexion dans Azureus...)

    - j'ai donc ajouter les règles manuellement sur LnS... mais le problème est que je ne sais pas où les placer dans la partie "Filtrage Internet" !

    - en effet, si je les place en tête de liste, ou avant la règle "TCP : Bloquer les connexions entrantes", c'est comme si LnS ne servait à rien (tous mes ports restent ouverts). Si je les place vers le mileu, après "TCP : Bloquer les connexions entrantes", mes ports sont protégés mais les logiciels ne marchent à nouveau plus...

    Que dois-je faire alors ?! Où placer ses règles ?
    Ma question est en fait de savoir s'il est possible d'être en mode "Stealth", càd être protégé, tout en faisant marcher ses programmes à la perfection avec des connexions fluides et rapides (je parle surtout de Skype, je l'utilise chaque jour pour des conversations audio-vidéo ...mais j'ai également besoin d'eMule et d'Azureus, lol!)
    Donc voilà, je vous remercie d'avance pour vos réponses,

    Cordialment ! ;)
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut babymilo067 :)

    Comme avec tout nouveau programme tu dois apprendre à t'en servir correctement.
    Voici donc quelques "hints" qui vont, je l'espère, t'aider à utiliser LNS...

    Pour ce FAI il faut utiliser cette règle:
    http://www.looknstop.com/Fr/rules/rules.htm#ClubInternet
    Cette règle peut être placée immédiatement avant la règle "Autorise les services internet standards" du jeu de règles évoluées de LNS...

    Si j'ai bien compris tu t'es déjà occupé des ports sur ton modem-router...
    OK!


    Avec LNS tu as deux niveaux d'autorisation:

    le filtrage logiciel qui autorise ou interdit un programme
    et permet si cela est requis de préciser (si nécessaire) pour chaque programme
    s'il peut se connecter sur internet
    s'il peut lancer d'autres programmes se connectant à internet
    sur quel(s) port(s) en TCP ou UDP
    etc.

    Le filtrage internet qui utilise des règles pour examiner les paquets entrant ou sortants
    soit pour tous les programmes (règles "générales"),
    soit pour un ou plusieurs programmes (règles "spécifiques")...

    Comme pour tous les pare-feu à règles:

    1-

    L'ordre des règles dans la liste est pertinente. Lorsqu'un paquet est examiné le pare-feu le compare
    avec chacune des règles en commençant par la première jusqu'à ce qu'une règle corresponde au paquet
    examiné.S'Il n'y a aucune correspondance le paquet doit être interdit par la dernière règle
    obligatoire de tous les pare-feu à règles de l'univers!

    Bref:
    l'ordre des règles examinés est significatif
    et
    la dernière règle doit bloquer tout paquet sans correspondance dans une règle antérieure


    2-

    Un jeu de règles minimal serait ceci:

    Règle # 1 Autoriser A
    Règle # 2 Interdire tout ce qui n'est pas A

    Chaque règle est l'équivalent d'une proposition universelle en logique mathématique:
    Il s'agit d'une suite de "ET";
    si toutes les valeurs reliées par le "AND" sont vraies alors la proposition est vraie.
    S'il n'y a ne serait-ce qu'une seule valeur de fausse alors la proposition est fausse...

    Les règles sont reliés à la suite les unes des autres par une suite de "XOR", de "OU Exclusif".
    Dans le cas du jeu minimal ce serait:
    Règles #1 <OU Exclusivement> Règle #2

    Dans le cas où il y a une suite de plus de deux règles cela signifie que pour toutes les règles,
    une et une seule est appliquée à l'exclusion de toutes les autres: la première qui correspond
    au paquet examiné.

    Bref:
    Dans le cas d'une règle: si tous les critères de la règle (sans exceptions)
    correspondent au paquet examiné (si la règle est "vraie") alors cette règle est appliquée...
    ET
    pour le jeu dans son ensemble: les règles suivantes ne sont pas examinées.

    3-

    La façon d'appliquer cette loqique peut varie d'un jeu de règles à un autre:
    jeu de règles évoluées de LNS, jeu de règles de Phant0m , jeu de Règles Climenole, etc.

    D'une façon générale on a cet ordre (grosso modo):

    1- Une série de règles générales pour bloquer des paquets anormaux ou illégaux
    (en TCP ou UDP ou ICMP...)

    2- Une ou des règles permettant l'autorisation de programmes en tant que "Serveur":
    (l'IDENT, un serveur web ou Ftp, la partie serveur d'un programme P2P. etc)

    3- Une règle "Centrale" ou "Pivot":
    cette règle bloque les tentatives de connexions en provenance d'internet
    en TCP avec le flag SYN...
    Les règles de connexions à un serveur (local) doivent être placées AVANT cette règle
    Les règles relatives au programmes "Clients" doivent se placer APRÈS cette règle.

    Dans le cas du Jeu de règles Évoluées de LNS:
    TCP : Bloquer les connexions entrantes.

    Dans le cas du jeu de règles Phant0m:
    +TCP : Block incoming connections

    Dans le cas du jeu de règles Climenole:
    { Q.9999}; [EB]; [TCP] <<<--- SYN Entrant ----

    4- Une ou des règles pour les applications:

    En TCP
    Soit: une règle générique pour tous les programmes en TCP
    Soit des règles particulières pour certains programmes en TCP

    En TCP/UDP: pour certains programmes utilisant les 2 protocoles...

    En UDP: Règles pour le DNS, le DHCP, le NTP ou des applications utilisant
    uniquement l'UDP tel que beaucoup de programmes de VoIP...

    5- Des règles de blocage des paquets restants en TCP ou UDP ou ICMP ou autres...

    6- LA Règle finale et OBLIGATOIRE pour clore le jeu de règles:
    Bloquer tous les paquets restants...

    Le positionnement et le groupement des certaines de ces règles peut varier d'un jeu à l'autre.
    chaque jeu de règles suit une logique différente mais sont tous valables...
    Par exemple les règles du jeu évolué sont regroupés par protocoles, le jeu de Phant0m commence avec
    les règles UDP tandis que le mien obéit à une logique dont les détails sont expliqués sur ce site:
    http://climenole.wordpress.com/


    Mais dans TOUS LES CAS:
    il faut placer les règles autorisant ceci ou cela AVANT toute règle interdisant l'un des critères
    de la règle d'autorisation.

    Par exemple, si je veux autoriser Skype, port local 21047, en UDP
    alors je doit placer cette règle AVANT celle bloquant tous les autres paquets UDP...

    On peut aussi prendre le problème par l'autre bout:
    Il faut placer une règle autorisant ceci ou cela immédiatement après la règle
    qui N'interdit AUCUN des critères de cette règle d'autorisation.

    Par exemple:

    dans le jeu de règles évoluées il y a la règle "Autoriser les services internet standards".
    Cette règle permet à tous les programmes en TCP de se connecter à internet.

    Si jeu veux ajouter une règle pour "eDonkey + KAD" qui utilise TCP ET UDP (port local et distant
    4672), alors je peux placer cette règles imédiatement après la règle "Autoriser les services
    internet standards" pusique cette n'interdit pas les critères de la règle suivante "eDonkey + KAD"...

    et bien entendu je doit aussi la placer AVANT tout règles blocant le TCP ou l'UDP... Dac ?

    Autre exemple:

    dans le jeu de règles évoluées, si je veux autoriser la partie "Serveur" d'un programme P2P.
    Par exemple Gnutella 1 et Gnutella 2 (avec ShareAza par ex.) je dois placer la règles immédiatement
    après les règles bloquant les paquets TCP illégaux ou anormaux
    MAIS AVANT la règle "Centrale" TCP : Bloquer les connexions entrantes.



    Je vais te transmettre les règles spécifiques de Skype, Msn Messenger et eMule
    avec les instructions et captures d'écran...

    J'espère que mes longues explications vont t'aider à comprendre plutôt que t'embrouiller...

    à suivre...
    :)
     
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut babymilo067 :)

    1- Je te suggère pour la suite d'utiliser le jeu de règles évoluées de LNS

    2- Je vais te donnes mes règles pour Azureus, eMule, Skype et Msn Messenger

    3- Toutes ces règles sont des règles spécifiques i.e. la règle doit être éditée et le programme correspondant doit être inclu dans cette règle avec le bouton "applications..." et placés dans la liste de gauche...

    Elle opèrent en combinaison avec la règle générale "autorise les services internet standards", une règle "générale"...

    Les programmes correspondants doivent évidemment être autorisés par le filtrage logiciel...

    Remarque:
    enlève les avertissements de la colonne !! (pour ne pas devenir fou!)
    et
    ajoute un ! dans la 3 ième colonne de chaque règle pour avoir une entrée dans le journal chaque fois que la règle est appliquée... (excellent pour le débogage entre autre...)


    4- Voici une capture d'écran avec le jeu de règles évoluées, les règles avec leur emplacement...

    en A :
    ce sont des règles "Serveur" avec lesquelles des connexion entrantes sont permises pour eMule et Azureus dans leurs fonctions de "Serveur"...
    Ces règles sont placées avant la règle bloquant les connexion entrantes
    i.e. les paquets TCP avec le flag SYN en entrée...

    Les ports utilisés pour eMule sont ceux par défaut...
    Le port utilisé par Azureus doit être celui correspondant à ce paramètre dans Azureus. Tu dois modifier la règle en conséquence...

    en B:

    des règles spécifiques utilisant à la fois les protocoles TCP et UDP

    en C:

    des règles spécifiques utilisant uniquement le protocole UDP

    en D:
    une règle pour des paquets IGMP utilisés par Azureus...


    à suivre...
     

    Attached Files:

  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut babymilo067 :)

    Voici les règles.

    Enlève l'extension".txt" puis:

    Dans l'onglet "Filtrage internet" : importe-les, place-les tel qu'indiqué sur la capture d'écran, vérifie que les programmes concernés sont inclu dans les règles correspondantes, sauve et redémarre...

    Essaye et vois ce que ça donne. (Sans être parfait cela devrait te donner un point de départ...)

    A+

    :)
     

    Attached Files:

  5. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut babymilo067 :)

    et les autres...

    :)

    AAAAaaaRRRRgggGGGLLLLlll !!!

    le machin du forum ne veut pas uploader mon fichier pour skype !!!

    :rolleyes:

    Bon et bien là je retourne regarder le SUPER BOWL et je te reviens avec ça demain...

    GO COLTS ! GO! COOOOOLLLTTTSSS GO!!!!
     
  6. babymilo067

    babymilo067 Registered Member

    Joined:
    Feb 4, 2007
    Posts:
    2
    Salut Climenole,

    Merci pour toutes ces explications, et d'avoir consacrer ton temps pour mon problème (t'as qu'en même pu voir la finale du SuperBowl, lol !).

    Donc si j'ai bien compris, le plus important est de comprendre le système de "des règles pivots" pour savoir où placer ses règles.
    Cependant, il faut savoir pour chaque logiciel quels ports sont utilisés en tant que serveur, et quels ports en tant que clients... Mes connaissances informatique deviennent limitées, lol...

    Depuis le début j'utilise le système de "Règles Evoluées" de LnS. J'ai pu voir sur plusieurs forums que les règles "PhanTom" sont géniales.
    Penses tu que je dois les utiliser ?!

    Les règles que tu me proposes (pour MSN, Skype, eMule...) sont elles celles que l'on peut télécharger sur le site de LnS ?
    Comment je devrai par la suite créer mes propres règles pour des logiciels dits "pas courant" ?

    Merci pour tout ! ;)


    P.S. : Admettons que j'utiliserai LnS comme il faut, est-ce qu'il est dangereux de NATer tous les ports (1 à 65535) sur le modem de CI ?!
     
  7. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut babymilo067 :)

    Yes ! Colts d'Indianapolis 29 / Bears de Chicago 17 :D

    Il n'y a qu'une seule règle "pivot" ou "centrale" : celle qui bloque les paquets TCP entrants avec le flag SYN.
    Cette règle empêche les tentatives de connexions à ton PC en tant que serveur... (cela inclu par exemple les tentatives de connexions de vers informatiques tel que Blaster sur le port 135 par exemple..)

    Les ports locaux ou distants utilisés par telle ou telle application sont indiqués par les entrées au journal en cas de blocage. De plus la règle générale du jeu évolué "Autorise les services internet standards" permet d'utiliser tout programme "client" se connectant à internet en TCP. Il est possible mais pas nécessaire de créer des règles spécifiques pour chaque application n'utilisant que le TCP dans ces conditions...

    Des règles spécifiques sont nécessaires lorsque le programme:
    utilise une combinaison TCP/UDP
    utilise l'UDP
    utilise un ou des ports locaux spécifiques hors de 1024 à 5000
    est un programme serveur: serveur HTTP tel qu'Apache par exemple
    ou fonctions de serveur tel que les bidules P2P...

    Je donne aussi une méthode pour créer ses propres règles juste là:
    Comment créer des règles pour vos applications
    http://climenole.wordpress.com/look-‘n’-stop-5/


    :rolleyes:

    babymilo067, les ARTISTES sont en général des gens trrrrès susceptibles:
    Phant0m est le Picasso des règles de LNS et Climenole (moi...), le Salvator DALI des règles de LNS...
    Alors met de côté le mot "génial" utilisé par certains amateurs qui ne comprennent rien à l'AAAAAArt

    :rolleyes:

    Commence par comprendre ce que font les règles évoluées ...
    Capice ?


    (Loin de moi l'idée de dire que mes règles sont les plus géniales mais quand même...)

    Oui, oui.

    Pense pas.

    Jette aussi un coup d'oeil de ce côté:
    http://climenole.wordpress.com/
    ;)

    :)
     
Thread Status:
Not open for further replies.