Placement des règles : demande conseil !

Discussion in 'LnS French Forum' started by Imothep, Feb 3, 2005.

Thread Status:
Not open for further replies.
  1. Imothep

    Imothep Registered Member

    Joined:
    Jan 4, 2005
    Posts:
    36
    Salut :)

    Comme indiqué sur l'image ci-dessous, j'ai mis la règle TCP d'Emule au tout début des en-têtes TCP.
    J'ai fait la même chose pour l'UDP et l'ICMP (pour l'USS d'Emule : ping sortant en 8 et ping entrant en 0,3 et 11).

    Je voudrais savoir si c'est correct ou au contraire faut-il que je regroupe toutes les règles d'Emule ensemble ?

    S'il faut regrouper, à quel endroit dois-je mettre précisément mes règles ?

    Merci pour vos tuyaux :)

    @pluche

    La capture :

    http://[IMG]http://img233.exs.cx/img233/9144/lnsemule3uf.jpg[/IMG]
     
  2. Julien

    Julien Registered Member

    Joined:
    Jan 15, 2004
    Posts:
    20
    ou as tu trouvé ces regles? je ne connaissais pas les icmp emule!
     
  3. Samsam

    Samsam Guest

    hum moi non plus .... sinon pour l'ordre tu ten fiches peu importe lol tant que c'est sauvegardé par look'n'stop! aussi je voulais savoir moi pour les regles evoluées pourquoi y'a d regles qui se chargent et qui sont pas cochées avec la case verte comme sur la photo qu'il a mis au dessus? Merci :)
     
  4. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Euh... ah mais si que l'ordre et le placement des regles est important :D Bon, quand on est pas sure vaut mieux mettre les regles importées au plus haut... sinon, pour les regles TCP par exemple, les mettre apres le filtrage des paquets TCP invalides/forgés et juste avant la regle qui exclut tous les autres paquets TCP. Meme parallele pour les regles en UDP. Enfin je dis ca, suis pas expert moi :p

    PS : pour les regles du jeu evolué qui ne sont pas activées, c'est parce qu'elles peuvent etre necessaires pour certains logiciels/FAI mais pas indispensable (peuvent te rendre visible aux scans, plus "sensible" aux attaques si activées).
     
    Last edited: Feb 3, 2005
  5. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour ou bonsoir,

    Pour rappel, il y a un système d'aide dans look 'n' stop avec des explications détaillées.

    Extrait :
    "Cet onglet affiche la liste des règles pour le filtrage Internet. Les règles sont appliquées dans l'ordre dans lequel elles sont affichées, du haut vers le bas. Grâce aux boutons 'haut' et ' bas' sur la droite, vous pouvez changer l'ordre des règles. ..."
     
  6. Imothep

    Imothep Registered Member

    Joined:
    Jan 4, 2005
    Posts:
    36
    Salut :)

    A ton avis, ce que j'ai mis sur ma capture, c'est bon ou pas ? (si non, tu les mettrais où précisément ?).

    Là, je dois dire que je suis complètement à la ramasse :(

    D'avance merci ;)

    @pluche

    PS : Julien, si tu te sers de l'USS dans eMule, il te faut des règles ICMP pour permettre les pings.
    Ensuite, dans eMule il faut autoriser tous les ports et dans n'importe quelle direction. Ce point m'a été confirmé par un membre de l'équipe officielle d'eMule.
    En effet, la Mule génère aléatoirement des ports pour désengorger les principaux : c'est ce qu'on appelle les "sources passives" (tu les trouveras dans les Statistiques sous le nom de "Via Passive") et celles-ci représentent au bas mot 60% de tes sources...
    Donc si tu te limites aux ports de base, eh bien de facto, tu limites énormément eMule...
     
  7. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Salut,

    Tu devrais jeter un coup d'oeil sur les 2 regles juste en dessous des tiennes : elle sont faites justement pour autoriser le ping en request/response, donc je crois qu'il y a redondance ;)
    Euh... t'as deja essayé BT? :D Je deconne, mais là dans ces conditions ton FW est une vraie passoire! Si tu autorises tout dans un sens comme dans l'autre ou est l'interet du firewall (filtrage)? :doubt:
     
  8. Samsam

    Samsam Guest

    mais non pas d'importance moi je les ai tjrs importées en haut celles que javais besoin et ca marche jamais eu de problèmes sinon un débutant pourrait pas s'e servir et c'est pas le but !
     
  9. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Ahhh? Et c'est si different de ce que je disais? :D
    Bien sur que l'ordre a son importance, au niveau sécurité, meme si tu ne vois pas la difference parce que les logiciels associés fonctionnent correctement... :rolleyes:
     
  10. Imothep

    Imothep Registered Member

    Joined:
    Jan 4, 2005
    Posts:
    36
    Salut :) ,

    Oui mais le ping autorisé dans cette règle n'est qu'en 0 alors qu'eMule se sert aussi du 11 et du 3.

    Et c'est bien ce que j'ai demandé au gars de l'équipe officielle de la mule !!!
    Il m'a répondu que jusqu'à ce jour, il n'y a jamais eu d'intrusion dans un système par l'intermédiaire d'eMule.

    Ensuite faudrait vraiment que le "pirate" n'ait rien à d'autre à foutre pour aller s'introduire dans une bécane comme la mienne :-*

    Sinon par curiosité, j'ai fait le test de Gibson ("Advanced Ports") : en temps normal, tous mes ports sont cachés.
    Avec la mule d'ouverte, tous mes ports sont fermés (ok pas cachés, mais pas ouverts non plus :) ) et ça me suffit.

    En tout cas ce que je peux dire, c'est qu'avec un ch'ti mod qui va bien (perso, les meilleurs modeurs son italiens) et les ports en voie passive autorisés, il tabasse grave de grave le mulet :):):)

    @+

    PS : D'ac Samsam, je vais essayer de les mettre tout en haut.
     
  11. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    ports fermés = visibilité aux scans = danger potentiel... bon, dit comme ca c'est sur que ca fait legerement parano mais y a du vrai mdrrr :D
     
  12. Samsam

    Samsam Guest

    bloodscourge alors ou mettre les règles a chaque fois si y'a un ordre? les UDP à la suite des UDP ? ainsi que les TCP pareil ? parce que on peut jamais savoir dans ce cas la si on les a bien placées !
     
  13. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Ben je m'expliquais plus haut... :rolleyes::D

    Pour clarifier, voila ma facon de voir l'action d'un FW rule-based:

    Pour chaque protocole (TCP,UDP,ICMP pour les principaux) :
    - on exclu d'abord les paquets/datagrammes invalides/interdits/forgés (en entrant),
    - on autorise ceux destinés aux logiciels reconnus et filtrés (en entrant/sortant), <= INSERT RULES HERE :)
    - puis on interdit tout le reste (en entrant).

    Puis a ca s'ajoute le SPI.

    Voilou :D
     
    Last edited: Feb 5, 2005
Thread Status:
Not open for further replies.