LnS et FTP et plus...

Discussion in 'LnS French Forum' started by Youn, Sep 19, 2006.

Thread Status:
Not open for further replies.
  1. Youn

    Youn Registered Member

    Joined:
    Sep 19, 2006
    Posts:
    4
    Bonjour à toutes et à tous.

    Nouvel utilisateur de LnS, je rencontre quelques problèmes pour le configurer pour autoriser mon FTP. Je l'utilise avec le jeu de règles évoluées. J'ai créé deux règles pour le FTP:

    http://wisup.net/File_5/WIS_FR/2006/Images1/060919/je0001baaSD19092006193511141536.jpg

    http://wisup.net/File_5/WIS_FR/2006/Images1/060919/je0001baaSD1909200619351120932.jpg


    Suite à ça, un ami essaye de se connecter mais il n'arrive pas à avoir la liste des dossiers partagés. Voici le log de LnS :

    http://wisup.net/File_5/WIS_FR/2006/Images1/060919/je0001baaSD19092006210437858775.jpg

    Pourtant, en parcourant le forum, j'ai touvé un réglage à faire dans filezilla pour limiter les ports utilisés (50000 à 50100 dans l'exemple) mais quand mon ami se connecte, il passe bien par le port 21 mais son port source est toujours aléatoire et pas dans la fourchette prévu (50000 à 50100).
    Quelqu'un peut-il éclairer ma lanterne à ce sujet ?

    Deuxième problème, pour ma connection à internet, j'ai une règle de prévu:

    http://wisup.net/File_5/WIS_FR/2006/Images1/060919/je0001baaSD19092006193510349266.jpg

    ...mais à chaque redémarrage ou après un certain laps de temps, la connection n'est plus autorisée donc à l'aide du journal, je crée une règle d'un clique droit qui donne ceci:

    http://wisup.net/File_5/WIS_FR/2006/Images1/060919/je0001baaSD19092006193512690684.jpg

    et la connection est de nouveau possible. Le problème se pose également avec live messenger alors que le port est déjà autorisé (443-https)

    Je ne comprend plus rien ! C'est dommage car je commençais à apprécier ce firewall si léger...

    Merci de votre aide.
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    En fait le journal montre que les paquets avec le port 21 sont bien accèptés car il y a un + dans la colonne de gauche. Vous avez du sélectionner le ! pour cette règle du port 21.
    Donc la blocage ne vient pas du port source, le port dest suffit à autoriser avec la règle qui a été créée.
    Il semble en fait que la connexion data ne s'établit pas sur le port 20 mais sur le port 1024 car il y a des ligne avec un - et ce port en référence.
    Aucune idée de la raison pour laquelle ce port serait utilisé. Essayez de voir s'il reste fixe ou s'il bouge et autorisez le à la place de 20.

    Est-ce que la règle initiale est toujours bien là ? et donc vous avez alors 2 règles quasi identiques, pour que ça marche ? avec rien de spécial entre les 2 qui bloquerait les paquets ?
    Que se passe t'il exactement quand vous dites que la connection n'est plus autorisée ? est-ce que le journal contient des alertes spéciales ?
    Une autre info intéressante: est-ce que le problème se produit aussi avec un jeu de règles non modifié ?

    Merci,

    Frédéric
     
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Youn :)

    A)
    FTP: tout d'abord une explication des 2 modes du Ftp du point de vue du client (le PC qui se connecte à ton serveur Ftp)

    « Le protocole applicatif FTP et ses modes ou le “contenu sale”

    Dans le cas du mode actif
    le client se connecte au port 21 du serveur FTP et les données sont transférées sur l’un des ports locaux prédéterminés par le client à partir du port 20 du serveur FTP. Ce mode implique qu’une nouvelle connexion soit initiée par le serveur FTP vers le client pour la transmission des données.

    Dans ce cas il faut 2 règles pour l’utilisation du FTP en mode actif:

    une règle pour la connexion du client vers le port 21 du serveur FTP et une règle pour la nouvelle connexion initiée depuis le port 20 du serveur FTP vers le client sur l’un des ports d’une gamme prédéterminée. Cela constitue donc une connexion de type serveur puisque le client doit accepter une connexion entrante en provenance du serveur FTP vers son propre système (Paquet TCP + flag SYN).

    Il y a donc dans le protocole applicatif FTP des échanges de ports et d’adresses IP ne devant normalement se dérouler qu’au niveau des protocoles de transport (TCP/UDP).

    De plus l’utilisation du FTP en mode actif initie une deuxième connexion de type serveur sur le client lui-même comme nous venons de le voir.

    Enfin dans les deux modes les ports utilisés pour les transferts sont imprévisibles et obligent la mise à la disposition des applications utilisant le FTP une large de ports. On peut parler ici de “protocoles à larges culottes”…

    Dans le cas du mode passif le client se connecte au port 21 du serveur FTP et les données sont transférées au client depuis n’importe quel port du serveur FTP vers l’un des ports du client au cours de la même connexion (initiée par le client). Ce dernier mode est plus sécuritaire puisqu’il se déroule à l’intérieur d’une connexion unique initiée par le client.

    Clients FTP (et fonctions FTP du navigateur) en mode passif

    * Type Ethernet: IP
    * Direction(s): Entrante et Sortante
    * Protocole IP: TCP
    * Source Adresse(s) IP: @IP
    * Source Port(s): 1024-5000
    * Destination Adresse(s) IP: Toutes
    * Destination Port: 21 FTP-control [première règle]
    * Destination Port(s): 49153 à 65535 (parfois 1024 à 65535) [deuxième règle]


    Client FTP en mode actif

    * Serveur: placer obligatoirement entre la règle { G.07} et la règle { Q.999}
    * Type Ethernet: IP
    * Direction(s): Entrante et Sortante
    * Protocole IP: TCP
    * Source Adresse(s) IP: @IP
    * Source Port(s): 1024-5000 (ou une autre gamme déterminée par le client FTP)
    * Destination Adresse(s) IP: Toutes (ou adresses IP des serveurs FTP)
    * Destination Port: 20
    * Commentaire: ambigüité de source et destination. Dans le cas d’un échange de paquets en entrée et sortie la source et la destination varient. Le terme plus exact serait local [L] plutôt que “source” et distant [D] plutôt que “destination”. C’est d’ailleurs ainsi que les indications doivent être comprises. Dans le cas de l’édition des règles de L’n'S, “source” désigne les champs d’adresses et de ports à gauche, tandis que “destination” désigne les champs à droite.

    »
    Réf.:
    http://climenole.wordpress.com/look-‘n’-stop-4/

    Tout ceci pour préciser que :

    1- Ta règle pour le serveur Ftp sur le port local 21 est correcte
    2- que cette règle doit absolument être placée avant la règle
    de blocage des connexions réseau entrantes...
    TCP + Flag SYN entrants ...
    3- qu'il faut prévoir une autre règle qui permet à ton serveur Ftp
    d'accepter les connexions en mode passif...

    C'est à dire accepter des connexions in et out entre ton serveur et ton client sur une gamme de ports plus étendue tel que:
    ports locaux de 1024 à 65535 et tous les ports distants...

    Une bonne façon de voir clair là-dedans est de créer une règle temporaire
    sans restrictions pour cette application seulement et de voir comment elle marche en regardant le log...

    Voir ceci:
    http://climenole.wordpress.com/look-‘n’-stop-5/

    B) La connexion internet

    1- modifie la règle autoriser les conexions internet standards
    en changeant TCP pour TCP ou UDP

    2- ajoute dans l'édition de cette règle avec le bouton applications...
    les programmes listés dans le filtrage logiciel tel que le navigateur, le courrielleurs etc

    3- Pour Msn Messenger c'est plus "compliqué":
    va chercher les règles Msn Messenger ET NetMeeting sur le site de LNS
    ET ajoute MSN messenger dans ces règles...

    sauve le tout et redémare le PC...

    Tout devrait marcher sur des roulettes (et les 2 doigts dans le nez).

    Dit-nous si ça marche.

    :)

    P.S.

    Il est plus simple d'uploader les images avec les fonctions du forum et d'uploader des échantilons de journal en format texte (raw format de préférence) par le même moyen plutôt que de donner un lien vers un autre site...
     
  4. Youn

    Youn Registered Member

    Joined:
    Sep 19, 2006
    Posts:
    4
    En effet, je tourne avec des règles en double pour internet et messenger. Les règles pour netmeeting et messenger sont déjà importées. Je viens de modifier la règle d'origine de TCP à TCP ou UDP. Pour l'instant, cela semble fonctionner pour internet mais pas pour messenger. Voici le log pour messenger:

    http://wisup.net/File_5/WIS_FR/2006/Images1/060920/je0001baaSD20092006200548375292.jpg

    Pour le problèmes de FTP, j'ai déjà essayé tes règles pendant 15 jours Climenole et le problème est le même. Petites précisions : en testant mon FTP "online" avec web2ftp, il fonctionne, avec mon ami, il fonctionne également quand LnS est désactivé...

    Je vais tenter de nouveau tes règles Climenole, il se peut que je me sois trompé en les rentrant... J'envois les screenshots pour confirmation quand ce sera fait. Le problème c'est que mon pote n'est pas souvent dispo pour essayer et comme online ça marche, ça prend du temps...

    Je vais essayer aussi une règle temporaire et je vous tiens au courant.

    Un petit dernier pour la route (j'ai supprimé la règle 80 www-http en double pour internet vu que ça marche "pour l'instant"):

    http://wisup.net/File_5/WIS_FR/2006/Images1/060920/je0001baaSD20092006202941331248.jpg

    Allez-y de vos commentaires...

    Encore merci.
     
  5. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut youn :)

    :rolleyes: :eek: o_O :doubt: :mad: :blink: o_O :shifty:

    Les blocages du port 443 signalent que les règles pour Msn Messenger sont pas correctes:

    Msn Messenger doit pouvoir se connecter:

    aux ports distants en TCP pour 80 Http et 443 Https (pour le login!!!):
    ports locaux de 1024 à 5000 <-> ports distants 80, 443

    au port distant 1863 en TCP pour la "présence"
    ports locaux de 1024 à 5000 <-> 1863

    au port distant 1503 en TCP
    ports locaux de 1024 à 5000 <-> 1503

    aux ports locaux en TCP 6891 à 6900 transfers de fichiers
    6891 à 6900 <-> 1024 à 65535

    aux ports de 5004 à 65535 en UDP (pour son gros derrière M$)
    aux port locaux en UDP de 5004 à 65535 <-> 1024 à 65535

    Les blocages en TCP sur le port distant 80 pour clr.microsoft.com bloquent une vérification de la signature des fichiers soit avec SigVerif soit avec Process Explorer... :shifty:


    Tu as essayé pendant 15 jour mais tu n'a pas pris 15 minutes pour lire les articles et comprendre.
    Je n'ai JAMAIS donné de règles pour un serveur FTP mais pour un client FTP...

    De plus l'ordre bordélique des règles, dont tu donne ici la capture d'écran, prouve ce que j'avance.

    Placées où pour un serveur ? Huuummm ?
    (Si tu lis comme il faut : avant la règle de n'importe quel jeu de règles qui bloque les paquets entrants TCP avec le flag SYN... Capiceo_O)

    Place la règle TEST temporaire là et active le raw log etc...

    Mon cher Youn, cela peut sembler bien difficile (les étapes pour créer soi-même une règle...) mais une fois que tu aura cassé la glace avec ce truc plus rien ne saura s'opposer à toi et tu pourra avec LNS faire marcher n'importe quel bidule avec des règles correctes.

    Je réussi à faire marcher avec des règles strictes des machins inc'oyables et me'veilleux tels que IP2, Tor, ShareAza, Azureus, eMule, Jabber, et j'en passe...

    Pourtant je ne suis pas un prix Nobel à ce que je sache...
    N'importe qui est capable avec LNS ! Toi aussi Youn! :thumb:

    Allez : HOP ! à l'ouvrage!

    Tiens-nous au courant Youn!

    :)
     
  6. Youn

    Youn Registered Member

    Joined:
    Sep 19, 2006
    Posts:
    4
    Bonjour.

    Après une petite réinstallation de mon OS ponctuée de moultes problèmes, je reviens à l'attaque sur le forum !!

    Suite à la mini "engueulade" de Climenole, je me suis décidé à potasser un peu (un peu j'ai dit!) sa bible sur LnS et tant qu'a faire, essayer son jeu de règles.

    Bravo d'abord pour le travail, mes principaux soft de P2P fonctionnent à merveille. Je ne peut pas en dire autant de mon navigateur et de mon mail.
    Je me retrouve donc encore avec des règles en double pour que ça fonctionne. Malgré l'essai d'une règle test, je ne vois pas.

    Par exemple, je ne peux pas envoyer de mail alors que tout est correctement renseigné. La règle R 110.00 Courriel autorise bien la connection aux ports distants TCP 25 smtp et 110 pop3 à partir des ports locaux 1024 à 5000.
    Dans le log, pour ce cas, la règle T99999 Verrouillage TCP bloque la connection au port distant 110 pop3 du port local 1080, tout deux autorisés par la règle R 110.00 !

    http://wisup.net/File_1/Images1/061003/WIS_FR/je0001baaSD3102006220332548466.jpg

    Une explication à ça Mr Climenole ? o_O

    Le cas se produit aussi pour les connections au port 25 et 53 domain (blocage de Firefox).

    Merci.
     
  7. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Youn :)

    Voici une autre "mini-engueulade" !!! :D

    1- il faut que le filtrage logiciel soit activé
    2- il faut que les programmes concernées soient listés dans le filtrage logiciel
    sans restrictions (tout "vert" ...)
    3- Il faut que les programmes soient inclus dans les règles qui les concernent:
    pour le navigateur :
    la règle pour le port 21 FTP control
    la règle pour le Http/Https ports 80 et 443
    la règle pour le FTP en mode passif (PASV)
    4- il faut sauver le tout et redémarrer...

    Tout devrait marcher "au poil" ...

    Mêmes vérifications pour le courriel...


    En ce qui concerne "domain" toutes les applications doivent être autorisé
    c'est-à-dire que la liste d'application que l'on retrouve en cliquant sur le bouton "applications..." doit être vide dans la fenêtre de gauche.

    Le blocage des autres machins ne viendrait-il pas de là?


    Remarque: les serveur DNS inscrits dans la règles Requêtes DNS
    doievent être les mêmes que ceux que l'on retrouve avec la commande ipconfig /all

    Tu peux aussi essayer les serveur OpenDNS ...
    http://climenole.wordpress.com/2006/07/11/opendns-des-requetes-dns-plus-rapides-et-plus-sures/

    Pour ce qui est des règles en double je ne vois pas pourquoi ...

    Ne serait-ce pas ça qui fout le souk ?

    Essaye ce que je t'ai mentionné.
    Dit nous si ça marche.

    A+

    :)

    P.S. la plupart du temps les utilisateurs de LNS n'ont pas de problèmes avec les navigateurs et le mail mais avec les bidules P2P.

    Toi c'est exactement l'inverse! AAAAARRRRGGGHHHH!

    ;-)
     
  8. Youn

    Youn Registered Member

    Joined:
    Sep 19, 2006
    Posts:
    4
    Salut Climenole. :)

    J'ai réglé mes problèmes de règles pour la navigation et pour le courriel. J'ai recréé des règles identiques avec l'option "ajouter une règle" dans le journal et j'ai remplacé les anciennes par celles là. o_O Depuis, ça fonctionne. Si tu as une explication à ça, je suis preneur...

    Bon, maintenant, le gros morceau : mon ftp (et oui, tu croyais t'en tirer comme ça ?!!).
    Actuellement, je le teste avec "Gene6 FTP Server" car "Web2ftp" est désactivé. J'ai créé une règle test (suivant tes conseils) que j'ai placé après la règle "Q999 SYN Entrant". Cela ne fonctionne pas, serveur injoignable. J'ai donc autorisé cette règle en enlevant le "sens interdit" mais ça bloque plus loin sur la règle "T99999 Blocage TCP". J'ai créé à l'aide du journal la règle TCP 21 serveur, mais ça bloque encore plus loin. LnS bloque alors sur TCP 2 serveur. Je crée donc cette règle et blocage sur TCP 3 o_O . Au grand mots les grands remèdes, je crée donc une ultime règle TCP serveur autorisant les ports entre 0 et 10 et là ça marche! :cautious:

    Et un petit log, un !

    http://wisup.net/File_1/Images1/061009/WIS_FR/je0001baaSD9102006212017398315.jpg

    Pour ce log, j'ai désactivé la règle TCP serveur de 0 à 10.

    Mes questions sont:

    1- Pourquoi la règle Q999 fait-elle bloquage ? (connection Gene6 comportant une flag ACK et SYN d'après le log)

    2- Pourquoi ai je besoin d'ouvrir ces ports alors que mon problème quand un ami essaye de se connecter se situe autour des ports utilisés par son pc pour envoyer des infos (ports qui ne sont jamais les mêmes)? (désolé pour le language débutant :D )

    3- Pourquoi ma règle "TEST" ne fonctionne pas ??

    4- Que signifie ce blocage sur un port "netbios-ssn" ?

    Merci d'avance et bonjour aux caribous !
     
  9. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Youn :)

    Problème entre la chaise et la clavier... ;-)

    Oui... :D

    NOOOOOOOON ! Tu n'a strictement rien compris. AAAAARRRRRRGGGGGGLLLLL !!!!!! :cautious: :blink: o_O

    Il y a une différence entre un client et un serveur Youn !

    Un client c'est n'importe quelle machine dans un réseau qui initie une nouvelle connexion.
    C'est seule cette machine client qui envoie un paquets TCP avec le flag SYN pour le faire...

    Un serveur c'est n'importe quelle machine dans un réseau qui est en écoute en attente d'une connexion.
    C'est cette machine qui attend sur un ou plusieurs ports un paquet TCP avec le flag SYN et y répond par un paquet TCP + ACK_SYN....

    Capice ?

    Ce que tu veux installer sur ton PC c'est un serveur FTP.
    Cela signifie que si tu avais compris mes explication,
    tu aurais placé la règle Test AVANT la règle "Q999 SYN Entrant"!


    1- Explication donnée plus haut...

    2- Parce que ton ami utilise un client Ftp en mode passif.

    Ça manque de modestie mais je me cite:

    http://climenole.wordpress.com/look-‘n’-stop-4/

    «
    Le protocole applicatif FTP et ses modes ou le “contenu sale”

    Dans le cas du mode actif le client se connecte au port 21 du serveur FTP et les données sont transférées sur l’un des ports locaux prédéterminés par le client à partir du port 20 du serveur FTP. Ce mode implique qu’une nouvelle connexion soit initiée par le serveur FTP vers le client pour la transmission des données.

    Dans ce cas il faut 2 règles pour l’utilisation du FTP en mode actif:

    une règle pour la connexion du client vers le port 21 du serveur FTP et une règle pour la nouvelle connexion initiée depuis le port 20 du serveur FTP vers le client sur l’un des ports d’une gamme prédéterminée. Cela constitue donc une connexion de type serveur puisque le client doit accepter une connexion entrante en provenance du serveur FTP vers son propre système (Paquet TCP + flag SYN).

    Il y a donc dans le protocole applicatif FTP des échanges de ports et d’adresses IP ne devant normalement se dérouler qu’au niveau des protocoles de transport (TCP/UDP).

    De plus l’utilisation du FTP en mode actif initie une deuxième connexion de type serveur sur le client lui-même comme nous venons de le voir.


    Enfin dans les deux modes les ports utilisés pour les transferts sont imprévisibles et obligent la mise à la disposition des applications utilisant le FTP une large de ports. On peut parler ici de “protocoles à larges culottes”…

    Dans le cas du mode passif le client se connecte au port 21 du serveur FTP et les données sont transférées au client depuis n’importe quel port du serveur FTP vers l’un des ports du client au cours de la même connexion (initiée par le client). Ce dernier mode est plus sécuritaire puisqu’il se déroule à l’intérieur d’une connexion unique initiée par le client.

    »

    Donc ton serveur FTp doit accepter les connexions entrantes sur ton port 21 en provenance de n'importe quel port distant ET ton serveur doit pourvoir initier une nouvelle connection depuis (présumément) le port local 20 vers n'importe quel port distant.


    EXPÉRIMENTAL C'est toi le cobaye Youn ;)

    Essaie en mettant une règle "serveur FTP 1" AVANT la règle "Q999 SYN Entrant":
    En TCP, paquets entrants et sortants,
    Dans la partie de droite de l'édition: Égale à @IP, ports locaux 20 et 21,
    Dans la partie de gauche de l'édition: tous les ports distants
    pour l'application Ftp (bouton "Applications...")
    ET
    une règle "Ftp à larges culottes" AVANT la règle "Q999 SYN Entrant",
    En TCP, paquets entrants et sortants,
    Dans la partie de droite de l'édition: Égale à @IP,ports locaux de 1 à 5000,
    Dans la partie de gauche de l'édition:tous les ports distants
    pour l'application Ftp (bouton "Applications...")

    La seule chose qui pourrait foirer c'est la gamme de ports locaux de la 2 ième règle...
    Comment se comporte ton programme de serveur Ftp ? Sais pas. Et pour parler franchement pas envie d'en installer un sur mon PC qui marche comme une horloge suisse en tant qu' "Onion Router "! J'essaie de battre le record de nombre de jours laissé sans redémarrer... (1 an o_O).


    3- Explication donnée plus haut

    4- NetBios ssn: en TCP port local 139: partage des fichiers et imprimantes...
    Bloqué par la règle "Q999 SYN Entrant".

    On est pas des partageux nous !

    Voilà!

    Ne lâche pas Youn: tu vas l'avoir !
    A+

    :)
     
    Last edited: Oct 9, 2006
Thread Status:
Not open for further replies.