Manque type TCPV6 pour règle

Discussion in 'LnS French Forum' started by Otomatic, Sep 9, 2011.

Thread Status:
Not open for further replies.
  1. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    Windows 7 Pro 64 - L'n'S 2.07 + règles ICMPV6.rie

    Si Filtrage internet actif décoché :
    - le site http://test-ipv6.com/
    donne 10/10 pour IPV4 et 10/10 IPV6
    et l'accès par Firefox à http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/
    ne pose aucun problème.

    Si Filtrage internet actif coché, impossible d'accéder aux sites en adresses IPV6, comme le site susmentionné avec Délai dépassé

    Le journal donne des filtrages :
    Code:
    U-119  'TCP : Bloque tous les au' 2001:200:dff:fff1:216:3eff:feb1:44d7    TCPV6     Ports Dest:www-http=80 Src:50875
    U-120  'TCP : Bloque tous les au' 2001:200:dff:fff1:216:3eff:feb1:44d7    TCPV6     Ports Dest:www-http=80 Src:50876
    U-121  'TCP : Bloque tous les au' 2001:200:dff:fff1:216:3eff:feb1:44d7    TCPV6     Ports Dest:www-http=80 Src:50875
    U-122  'TCP : Bloque tous les au' 2001:200:dff:fff1:216:3eff:feb1:44d7    TCPV6     Ports Dest:www-http=80 Src:50876
    
    Il m'est impossible de créer une règle, le type TCPV6 n'existant pas dans les choix de protocole.
     
  2. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
  3. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    Comme je l'avais écrit dans mon premier message, les règles ICMPV6.rie sont déjà intégrées :
    Merci de confirmer que les deux sites mentionnés fonctionnent correctement chez vous avec Filtrage internet actif coché.
     
  4. Spiedbot

    Spiedbot Guest

    Salut,


    Tu as essayé le clic droit dans le journal (règle client)? en limitant au maximum?
     
  5. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    Tu penses bien que si j'avais réussi, que ce soit avec clic-droit dans le journal ou en partant de zéro, à créer une règle qui me permette d'accéder à http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/ sans être obligé de désactiver le filtrage internet, je ne serais pas venu poser la question ici. :rolleyes:
     
  6. Spiedbot

    Spiedbot Guest

    Je viens d'essayer avec un pare feu de suite, même résultat que LNS, 10/10 IPV4 et 0/10 IPV6, cause extérieure?... DNS?... règles DNS de LNS?...
     
  7. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
    Vous utiliser l'un des jeux de règles pré-emballés inclus avec "Look 'n' Stop" Installer?

    "TCP: Autorise les services Internet Standards." règle devrait être de travail.

    essayez

    TCPIPv4&6.png
     
  8. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    J'ai aussi essayé en repartant avec le jeu de règles standards ou évoluée, mais toujours pareil, pas d'accès à http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/

    Sans vouloir froisser qui que ce soit, j'aurais souhaité qu'avant de me proposer une éventuelle solution, celle-ci ait été vérifiée. Merci.
     
  9. Spiedbot

    Spiedbot Guest

    Sans vouloir te froisser non plus, je voudrais bien être sur ton PC pour vérifier la chose... car je viens de retirer LNS de mon PC sous XP.

    Et sur Win 7, d'après le test que tu indiques, et si mon rosbeef n'est pas trop mauvais, je comprends que mon pare feu n'est pas en cause mais le DNS. Par contre je vois la tortue sur ton URL...


    Bon courage.
     
  10. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
    I barely know my French, but I am anyway trying to help with the Look ‘n’ Stop situation and connecting to IPv6 websites.

    I’ll post in English and perhaps you understand enough English, or someone may come on and translate for us.

    To be seeing “TCP : Bloque tous les au” rule blocking TCPv6 packets...

    U-119 'TCP : Bloque tous les au' 2001:200:dff:fff1:216:3eff:feb1:44d7 TCPV6 Ports Dest:www-http=80 Src:50875

    ... ensure that the "TCP: Autorise les services Internet Standards." rule is unaltered and set with “IP” for “Ethernet : type” which applies to both IPv4 and IPv6 packets.

    Also check to see if the TCPv6 blockings packets source-ports are (like this here Src:50875) are in range, compare it to the rule "TCP: Autorise les services Internet Standards." “Local In” field.

    If those things checks out ok, try changing ‘IP : address’ source field from ‘Equal my @’ to ‘All’ and save, and try again.
     
  11. Spiedbot

    Spiedbot Guest

    Autorise UDP en sortie pour voir et fais ton test.
     
  12. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    Je vais reprendre mes essais calmement, avec méthode et suivi, tout comme je le faisais quand j'étais Contrôleur Qualité Principal.
    Merci pour tous vos conseils.
     
  13. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    Windows 7 Pro 64bits

    -1- LNS désactivé - Parefeu Windows activé ---
    LNS off - Windows Firewall enabled
    http://test-ipv6.com/
    10/10 Connectivité IPv4
    10/10 Connectivité Ipv6

    http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/
    (The KAME project IPv6)
    Voit bien la tortue *animée* - Test OK
    Clearly see the turtle * animated * - Test OK

    *** Les paramètres de gestion des IPv6 de Windows 7 sont donc corrects.
    IPv6 settings in Windows 7 are correct.

    -2- Désinstallation LNS et redémarrage ---
    Uninstall LNS and reboot
    -3- Installation LNS version 2.07 64bits ---
    (Installation_LooknStop_207_x64_VC2005.exe)
    - Enregistrement de la licence
    - Toutes les options sont laissée en l'état
    - Rien n'est modifié par rapport à l'installation
    - Donc : Filtrage standard avec règles IPv6
    -4- Redémarrage par acquit de conscience ---

    http://test-ipv6.com/
    - Your IPv4 address on the public Internet appears to be 82.247.17.31
    - No IPv6 address detected
    0/10 for your IPv4 stability and readiness, when publishers offer both IPv4 and IPv6
    0/10 for your IPv6 stability and readiness, when publishers are forced to go IPv6 only

    Avec, dans le journal :

    U-100 'TCP : Bloque tous les autres paquets' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49248
    U-101 'TCP : Bloque tous les autres paquets' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49249
    U-102 'TCP : Bloque tous les autres paquets' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49248
    U-103 'TCP : Bloque tous les autres paquets' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49249
    U-104 'TCP : Bloque tous les autres paquets' 2001:470:1:18::114 TCPV6 Ports Dest:www-http=80 Src:49252
    U-105 'TCP : Bloque tous les autres paquets' 2001:470:1:18::114 TCPV6 Ports Dest:www-http=80 Src:49253

    Si j'essaie la connexion sur
    http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/
    (The KAME project en IPv6)
    Il y a les mêmes erreurs dans le journal (Seule l'adresse IPv6 change) et aucune connexion sur le site.

    -5- LNS Filtrage Internet Actif *Désactivé* ---
    LNS Internet Filtering *Disabled*
    http://test-ipv6.com/
    10/10 Connectivité IPv4
    10/10 Connectivité Ipv6

    -6- LNS Filtrage Internet Actif *Activé* ---
    LNS Internet Filtering *Enabled*
    -7- Règle : TCP Bloque tous les autres paquets désactivée
    Rule: Block all other TCP packets disabled
    Le journal indique que maintenant, les paquets qui étaient auparavant bloqués par la règle TCP le sont maintenant à la fin par la dernière règle "Tout le reste" :
    The log said that now the packets that were previously blocked by the rule TCP are now blocked at the end by the last rule "Everything else"
    U-180 'Tout le reste' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49251
    U-181 'Tout le reste' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49273
    U-182 'Tout le reste' 2001:470:1:18::2 TCPV6 Ports Dest:www-http=80 Src:49274
    U-183 'Tout le reste' 2001:470:1:18::114 TCPV6 Ports Dest:www-http=80 Src:49277
    U-184 'Tout le reste' 2001:470:1:18::114 TCPV6 Ports Dest:www-http=80 Src:49278
    U-185 'Tout le reste' 2001:470:1:18::114 TCPV6 Ports Dest:www-http=80 Src:49277

    Les essais -1- et -5- montrent bien que le paramètrage IPv6 de mon système est correct et que le problème provient bien d'un blocage intempestif du protocole TCPV6 par LNS, même si aucune règle de blocage TCP n'est active (Point -7-).
    Tests -1- and -5- show that the IPv6 setup of my system is correct and that the problem is a unwanted blocking protocol TCPv6 by LNS, although no blocking TCP rule is active TCP (Point -7-).

    Il reste donc à faire (It remains to be done) :
    - Définir une règle autorisant explicitement les trames TCPV6. Et, malgré des essais nombreux pendant plus de quatre heures, je n'y suis pas arrivé.
    Define a rule explicitly authorizing frames TCPv6. And despite many trials for more than four hours, I did not come.
    - Modifier LNS pour que ces trames TCPV6 ne soient pas bloquées par défaut. Mais ce n'est pas de mes compétences.
    Modify LNS for these TCPv6 frames are not blocked by default. But it's not my skills.
     
  14. Spiedbot

    Spiedbot Guest

    Je n'ai plus LNS, je prends le problème autrement, je t'ai déjà dit qu'un autre pare feu ratait ton test mais voyait la tortue, j'en ai essayé un autre, il rate le test mais ne voit pas la tortue, voici le message créé à propos du blocage :

    2011/09/11 16:21:02.239 [BDFW] [FILTER] Blocked packet because of rule 24. Direction: Outbound, Local Address: 192.168.1.12:60533, Remote Address: 94.245.121.253:3544, Protocol: 17, Local Packet: 0, PID: 150, Process: c:\windows\system32\svchost.exe, Cmd. Line: -k netsvcs.



    Tranche le noeud gordien, c'est peut être pas un problème TCPV6, protocole 17 c'est de l'UDP... sortant de svchost.

    Ce qui m'étonne chez toi, c'est que le port 80 s'affiche dans LNS, mais pas chez moi dans Currports en cas de connexion réussie, en IPV6 ça devrait pas, on ne voit pas les ports qui sont inclus dans l'adresse.
     
    Last edited by a moderator: Sep 12, 2011
  15. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
    Mon FAI ne prend pas en charge le protocole IPv6.

    Faire TCPv6 connexion, il n'ya pas de problèmes pour moi.


    TCPv6.png
    TCPv6Rule.png
     
  16. Spiedbot

    Spiedbot Guest

    Une règle TCPV4&TCPV6 (dual stack-double pile) ça devrait marcher, maintenant si c'est chez FREE il faut voir.

    Mais moi je dis problème UDP bloqué en sortie sur svchost > DNS.
    A tester...
     
  17. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
    Mon accent est mis sur l'exploitation forestière montrant l'bloqués sortants TCPv6 paquets à destination du port 80.
    Les jeux de règles pré-emballés utilise 'IP' (IPv4 & IPv6) sur la règle autorisant maître TCP, non?
     
  18. Spiedbot

    Spiedbot Guest

    http://translate.google.com/translate?u=http%3A%2F%2Ftest-ipv6.com%2Fipv6day.html&hl=fr&langpair=auto|fr&tbb=1&ie=utf-8

    Lire tout en bas, utilisateur "brisé"..
     
  19. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
    pré-emballés maître TCP règle autorisant devrait attraper et de permettre
     

    Attached Files:

  20. Spiedbot

    Spiedbot Guest

    "Les jeux de règles pré-emballés utilise 'IP' (IPv4 & IPv6) sur la règle autorisant maître TCP, non?"


    Salut,

    Moi j'ai compris que c'était une solution de transition.

    I realized that I was a transitional solution
     
  21. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Je suis chez Free, en IPv6 (
    N'ayant pas de possibilité de tester avec un autre FAI, je peux pas voir si le problème est chez lui. Néanmoins, avec le filtrage internet désactivé, tout fonctionne et il n'y a aucun problème.
    La solution de filtrage donnée par*Phantom ne fonctionne pas, les paquets TCPV6 sont toujours bloqués.

    Pour le moment, ça ne me pose aucun problème, mais je continue d'investiguer tranquillement.
    Il semblerait d'ailleurs, d'après tout ce que j'ai pu lire ici et là, que ce problème concerne aussi plusieurs parefeux autres que LNS.

    Je vais remettre en marche (Après mise à jour) quelques outils de contrôle et de filtrage des paquets.

    À moins d'une réponse ou solution « merveilleuse », je vais en rester là pour le moment.

    Merci à tous.
     
  22. Spiedbot

    Spiedbot Guest

    Ca m'ennuie de réinstaller LNS, tu ne peux pas stp autoriser temporairement UDP en sortie? et tester pour voir.

    As tu lu mon lien? des problèmes en pur IPV6 (c'est ce que tu veux il me semble) il n'y en a pas qu'un peu.


    Moi je suis chez Orange, ça passe avec un pare feu mais pas avec un autre qui bloque UDP, mais celui qui passe c'est du pur IPV6, d'après ce je vois dans Currports, mais ton test n'est pas d'accord, compliqué.
     
    Last edited by a moderator: Sep 12, 2011
  23. Phant0m

    Phant0m Registered Member

    Joined:
    Jun 7, 2003
    Posts:
    3,684
    Location:
    Canada
    Mon "UDPv6« tests a fonctionné à merveille trop
     

    Attached Files:

  24. Spiedbot

    Spiedbot Guest

    Trouvé ça,

    "Configurez votre pare-feu
    Ensure that your firewalls allow through ICMPv6 types 1-4 and 128/129 as per NIST recommendation. Vérifiez que votre pare-feu autorisent travers ICMPv6 types 1-4 et 128/129 selon la recommandation du NIST. In particular if you inadvertantly block type 2 (Packet too big), you may find that users behind tunnels can connect to a web site but not get any content back. En particulier si vous inadvertantly bloc de type 2 (Paquet trop grand), vous pouvez constater que les utilisateurs derrière les tunnels peuvent se connecter à un site web, mais pas n'importe quel contenu en arrière.

    If you are using tunnels intentionally, permit protocol 41 traffic. Si vous utilisez les tunnels intentionnellement, permettent protocole 41 de la circulation. "
     
  25. Otomatic

    Otomatic Registered Member

    Joined:
    Mar 28, 2005
    Posts:
    98
    Location:
    Paris - France
    Bonjour,

    J'ai commencé à investiguer les paquets avec Wireshark (Anciennement Ethereal), mais il faut que je dompte la bête, surtout pour voir quels sont les trames qui sont bloquées par LNS et qui ne le devraient pas.
     
Thread Status:
Not open for further replies.