Ordre des regles ? nieme version

Discussion in 'LnS French Forum' started by rab68, Jul 26, 2008.

Thread Status:
Not open for further replies.
  1. rab68

    rab68 Registered Member

    Joined:
    Jul 26, 2008
    Posts:
    5
    Bonjour,

    Je suis nouveau sur le forum et aussi sur LnS (avant j'étais sur Zone ALARM ou l'ordre des regles n'est pas si important )

    après des recherches sur ce forum j'ai découvert ça
    voila et je voulais savoir si j'avais bien fais mes devoirs
    j'ai joint mes règles si une âme charitable pouvais corriger au cas ou et m'expliquer si besoin.

    Cependant j'ai un problème Limewire m'indique que je suis derrière un pare feu ??! (sinon azureus et emule fonctionnent sans problèmes
    je comprend pas ce qui bloque.

    voila
    merci d'avance
    cordialement
    rab68
     

    Attached Files:

  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour, et bienvenu sur ce forum,

    Si c'est juste pour vérifier l'ordre des règles, ce serait plus rapide (pour la verif) de faire 1 ou 2 copies d'écran de la fenêtre du filtrage internet.

    En ce qui concerne Limwire, n'avez-vous pas des blocages dans le journal ?
    Une règle est disponible pour ce logiciel ici:
    http://looknstop.soft4ever.com/Rules/Fr/

    Cordialement,

    Frédéric
     
  3. rab68

    rab68 Registered Member

    Joined:
    Jul 26, 2008
    Posts:
    5
    Merci
    voila je joint la capture

    ps: Source(PC>>Net)/Destination(Net>>PC) signifie que le pc fait office de serveur ??
     

    Attached Files:

  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    L'ordre des règles n'est pas correct.

    Vous avez mis toutes les règles qui autorisent devant, et toutes les règles qui bloquent à la fin.

    Comme indiqué dans le post que vous mentionnez, l'ordre doit être, pour TCP principalement:
    1-Bloquer les paquets illégaux (règles du genre Land Attack, Win Nuke, Flags TCP illégaux).
    2-autorisation des logiciels servers autorisés (P2P en général, mais aussi par exemple server Web, FTP...)
    3-La règle "Bloquer les connexions entrantes" (règle pivot importante)
    4-Autorisation des logiciels clients (en général il s'agit juste de la règle "TCP : Autorise les services Internet Standards."
    5-Blocage de tous les autres paquets (la règle "TCP : Bloque tous les autres paquets.").

    Bref il y a une alternance de règles qui autorisent et qui bloquent, ce qui n'est pas le cas de votre jeu de règles.

    Le jeu de règle évolué est construit sur ce principe, et vous n'auriez pas du changer la position relative des règle initiales du jeu, mais juste insérer vos nouvelles règles au bon endroit (principalement les règles serveurs/P2P qui doivent être devant la règle "Bloquer les connexions entrantes").

    Oui, quand un port spécifique est précisé dans la partie "Source(PC>>Net)/Destination(Net>>PC)", et notamment si le port est < 1024, cela signifie en gérénal qu'il s'agit d'un port à autoriser en mode serveur. Le cas typique (dans les jeux de règle standard est "TCP : Autoriser l'identification").
    Cependant cette partie de la règle sert aussi à identifier les ports locaux des connexions clientes comme dans le cas de la règle "TCP : Autorise les services Internet Standards.".
    En résumé, la valeur du port et aussi la position de la règle (avant ou après la règle pivot du blocage des connexions) permet aussi d'apprécier si la partie "Source(PC>>Net)/Destination(Net>>PC)" est utilisée dans un cas server ou client.

    Cordialement,

    Frédéric
     
  5. rab68

    rab68 Registered Member

    Joined:
    Jul 26, 2008
    Posts:
    5
    Ok merci

    j'avais cru comprendre que les règles autorisant XY étaient à mettre avant (cad au dessus dans la liste) les règles bloquer le reste ?

    je pensais que mettre toute les règles autoriser X en haut et bloquer tout le reste en bas de la liste marcherais hors c'est plus compliquer que ça :doubt:

    sans toucher aux règles avancées j'ai positionner les règles pour azureus tout en haut sa fonctionne (cependant j'ai de temps en temps un blocage ICMP o_O quand azureus tourne)

    j'ai fait de même avec emule et la aussi pas de soucis ni de blocages particulier

    concernant limewire je n'y comprend rien bien que j'ai une connexion turbo, il m'indique toujours que je suis derrière un pare feux (chose qu'il ne fait pas quand j'éteins LnS il qu'il n'indiquer pas avec zone alarme fin bon c'est pas grave)


    est ce que les règles sont bien positionnées cette fois ci

    encore merci pour votre aide
    cordialement
    rab68
     

    Attached Files:

    Last edited: Jul 27, 2008
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Oui, c'est bien cela.
    Comme la plupart de ces règles sont sans doute des règles client et server, la seule contrainte est de les mettre avant la règle "bloquer les connexions entrantes", ce qui est le cas.
    Toutefois les règles TCP pourraient être placées après la règle "Bloquer Land-Attack", les règles UDP pourraient être regoupées, juste au dessus de la règle DNS.
    Les règles ICMP et ARP sont dupliquées, et vous pouvez laisser celles du bas du jeu de règles d'origine (en général les règles sont rangées dans l'ordre: TCP / UDP / ICMP / Autres / (puis à la fin la règle qui bloque tout ce qui n'a pas été autorisé).

    Mais bon, si marche en l'état c'est peut être plus prudent de laisser comme ça (ou si vous modifiez, gardez ce jeu de règles de coté, sauvez les modif sous un nouveau nom).

    Cordialement,

    Frédéric
     
  7. rab68

    rab68 Registered Member

    Joined:
    Jul 26, 2008
    Posts:
    5
    encore merci

    j'ai fait comme vous avez dis TCP / UDP / ICMP / Autres (et ça fonctionne)

    cependant, la je ne comprend pas pourquoi mettre les règles tcp après land attack , y a t il une raison spéciale??
     
    Last edited: Jul 27, 2008
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est juste par ce que c'est la dernière du groupe de règles bloquantes "1-Bloquer les paquets illégaux".
    Ce n'est pas lié à cette règle en particulier.

    Frédéric
     
  9. rab68

    rab68 Registered Member

    Joined:
    Jul 26, 2008
    Posts:
    5
    J'ai un doute la , vous voulez dire que je garde l'ordre des regles standard et j'intercale mes regles TCP entre Land ATTACK et autoriser l'identification.

    Car j'ai du mal à comprendre l'ordre AVANT=EN HAUT sur la liste
    et APRES=EN BAS sur la liste

    autre question que signifient ces blocages dans mon journal

    -Stateful Packet Inspection: La table est remplie.
    Il y a trop de connexions et je dois modifier cette règles ??
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw]
    pourtant dans le journal il me propose d'ouvrir des ports...

    -Stateful Packet Inspection: Pas de connection trouvée.
    j'ai rien trouver dessus

    -J'ai aussi des blocages ICMP de type 3 de mon PC vers Internet
    y'a t il un lien avec les connections non trouvés

    je crois avoir compris mais je ne maitrise pas le protocole ICMP donc je ne suis pas sur
    Quand j'eteint AZUREUS les autres clients essaye de me contacter donc mon pc au client un code ICMP type 3 (le port est fermés)
    si j'autorise le code 3 ICMP les clients auront la réponse que le port est fermé ,mais si qq'un fais un scan IP la mienne répondra
    et je vois pas comment faire une règle qui répondrais juste aux clients d'azureus une fois celui ci fermé .

    Bon je pense que le reste est indépendant de LnS
    en tout cas c'est un super logiciel simple et complet
    et super forum

    encore merci à vous
    cordialement
    rab68
     

    Attached Files:

    Last edited: Jul 28, 2008
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Oui, pour les règles de type server (P2P et autres).
    Il me semble que c'était bien le cas sur le copie d'écran donc tout était Ok.
    C'est toujours bon sur la nouvelle copie d'écran.

    Cela signifie que le trafic P2P est très important et que la fonction TCP Stateful Inspection n'arrive pas à suivre.
    Oui, dans la clef indiquée vous pouvez ajouter la valeur DWORD MaxSPIEntries pour augmenter le nombre d'entrées de la table (par défaut 256, vous pouvez mettre 512, ou plus jusqu'à 1024 max). Il faut redémarrer l'ordinateur pour que cela prenne effet.
    La création de règle automatique ne convient pas à ce type d'alertes.
    Ca arrive souvent lors de l'utilisation de logiciels P2P. Et ça peut être aussi une conséquence du premier problème.
    Non, ce n'est pas lié au problème précédent, c'est toujours lié à l'utilisation du logiciel P2P. Certains ports sont inaccessibles (non ouverts par le logiciel P2P, de manière normale) et certains PC distants essayent quand même de contacter votre PC sur ces ports. Cela génère des ICMP Type 3 (pour justement prévenir le site distant que le port n'est pas accessible).
    Quand vous quittez le logiciel P2P, le phénoméne est plus flagant car tous les ports deviennent inaccessibles, donc toutes les tentatives des PCs distants se terminent par un ICMP Type 3.
    Merci bien ;)

    Frédéric
     
Thread Status:
Not open for further replies.