parefeu pour IPv6 sous Windows 2000

Discussion in 'LnS French Forum' started by Czerno, Aug 16, 2009.

Thread Status:
Not open for further replies.
  1. Czerno

    Czerno Registered Member

    Joined:
    May 16, 2005
    Posts:
    37
    Bonjour ! J'ai installé le support d' IPv6 (MS technological preview - marche très bien d'ailleurs) sous Windows 2000 Pro. Il me reste à trouver un firewall capable d'inspecter le trafic v6 (et v4 aussi, naturellement).

    Est-ce que LnS peut être celui-là ?
    Si oui, quel est le prix de la license pour usage perso ?
    Y a-t-il un site web avec des détails techniques ?

    Je suis conscient que les réponses doivent se trouver déjà dans le forum, mais il serait bien long de tout feuilleter depuis le début, et je ne trouve pas mon bonheur dans les "sticky" o_O
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Look 'n' Stop est bien compatible IPV6, cependant avec Windows 2000, ce n'est pas le cas d'usage le plus fréquent (c'est plutôt XP/Vista/Win7).

    Pour la licence voir sur le site:
    http://www.looknstop.com/Fr/index2.htm

    Pour les détails techniques:
    - le fichier d'aide
    - la FAQ: http://www.looknstop.com/Fr/faq.htm
    - le forum (en recherche, ou pour poser des questions)

    Cordialement,

    Frédéric
     
  3. Czerno

    Czerno Registered Member

    Joined:
    May 16, 2005
    Posts:
    37
    Vous confirmez cependant que LnS intercepte et inspecte les paquets IPv6 sous Windows 2000 ? (XP et suivants incluent un FW de Microsoft je crois).

    Je précise davantage ma question : LnS inspecte-t-il bien les paquets IPv6 transportés dans un tunnel 6-in-4 (IP protocole n° 41) ? Les règles de filtrage, pour TCP par exemple, s'appliquent-elles à la fois aux connexions TCP/IPv4 et TCP/IPv6 (à l'intérieur du "tunnel") ?

    Bien vu, merci !
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Oui, je viens de faire un essai et les paquets IPV6 sont bien vus sous Win2000.
    Non, malheureusement Look 'n' Stop, verra des paquets IP avec le protocole 41, qu'il sera juste possible d'autoriser/bloquer globalement.
    Avec des règles brutes, en calculant manuellement les offsets dans la trame, il est peut être possible de faire des règles qui vont aller "pêcher" les bonnes infos plus loin dans la trame (les règles brutes permettent de vérifier n'importe quel octet à une position fixe, par rapport au début du payload IP).

    Cordialement,

    Frédéric
     
  5. Czerno

    Czerno Registered Member

    Joined:
    May 16, 2005
    Posts:
    37
    Ouh, là, là! Ce produit ne peut donc pas satisfaire ma demande. Vous n'êtes pas sérieux lorqsue vous m'envoyez à la pêche aux octets ;=)

    Ne croyez-vous pas qu'il est temps de s'intéresser sérieusement à IPv6 (en tunnel, car à ce jour, qui a accès à l'IPv6 'natif' ?

    Il suffirait peut-être de permettre au parefeu d'inspecter simultanément deux (ou plus) adaptateurs de réseau : en l'occurrence, le pseudo-adaptateur utilisé par MS pour les tunnels en sus de l'adaptateur physique. Est-ce possible avec les API d'interception que vous employez ?
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok, désolé.
    C'était juste pour vous aider que j'ai passé du temps à installer IPV6 sur un Win2000.
    Si ça ne convient pas, j'en suis désolé.

    Cordialement,

    Frédéric.
     
  7. Czerno

    Czerno Registered Member

    Joined:
    May 16, 2005
    Posts:
    37
    Au contraire, c'est moi qui suis désolé si je vous ai fait perdre votre temps.

    Pouvez-vous répondre à ma question, concernant la possibilité de faire opérer le pare-feu simultanément sur plusieurs interfaces de réseau ?
     
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    De manière générale, c'est possible en lançant plusieurs instance de Look 'n' Stop.
    Cependant il faut que l'interface réseau correspondant à la connexion IPV6 montée dans le Tunnel soit présente dans les options de Look 'n' Stop. Apparemment ce n'est pas le cas pour le tunnel qui n'est pas vu comme une interface IP/IPV6 standard.

    C'est le cas par exemple pour une connexion PPPoE où Look 'n' Stop détecte la connexion ethernet sur laquelle passe le protocole PPPoE, mais aussi la connexion IP montée sur PPPoE qui est détectée via l'interface "(IP) - Look 'n' Stop driver" ou "Miniport (IP) - Look 'n' Stop Driver".

    Cordialement,

    Frédéric
     
  9. Czerno

    Czerno Registered Member

    Joined:
    May 16, 2005
    Posts:
    37
    Merci Frédéric! Il me reste à espérer que vous pourrez bientôt ajouter à cet excellent logiciel la possibilité de filtrer IPv6 encapsulé dans les datagrammes du proto 41 - et si possible, avant que des chevaux de Troie utilisant cette voie de sortie ne soient répandus par les malfaisants (je suppose que ce n'est pas encore le cas, mais je suis peut-être trop naïf).

    Très intéressant ! Et avec PPPoA, on peut jouer aussi ?
     
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Je ne sais pas dire, je n'ai jamais expérimenté ce cas.
    Ca dépend de la manière dont Windows présente la connexion IP au travers de cette interface.
    Si dans ce cas, elle est aussi vue, au travers de l'interface de type "(IP) Miniport", "Wan Miniport (IP)",... alors ça doit marcher dans Look 'n' Stop.

    Cordialement,

    Frédéric
     
  11. Czerno

    Czerno Registered Member

    Joined:
    May 16, 2005
    Posts:
    37
    Alors non, ça ne peut pas; je m'en doutais un peu. En pppoA, il n'y a ni interface particulière ni pilote spécial. Le modem (ou le modem routeur) est un simple périphérique ethernet du réseau local. C'est plus efficace que pppoE : une encapsulation en moins (et pas de problèmes de MTU réduit!)

    C'est une question idiote que j'ai posée en somme :-(
     
Thread Status:
Not open for further replies.