Principe de la "Sélection des ports et adresses IP"

Bonjour tout le monde,

Bon, j'ai fait une petite recherche sur le forum : pas de réponse à ma question.

Donc :
En mode avancé, dans le filtrage logiciel, la Sélection des ports et adresse IP a-t-elle un principe exclusif ou inclusif (j'ai pas d'autres mots ) ? Je m'explique :
Les ports et adresses sélectionnés sont-ils les seuls autorisés/interdis ?
Par exemple, j'interdis à un logiciel d'accéder à la plage d'adresses !65.12.34.56-65.12.255.255.
Alors je dois quand même préciser que toutes les autres adresses sont autorisées ?
Même question pour la gestion des ports ?

Le cas échéant : une option ne pourrait-elle pas être disponible dans la nouvelle v. 2.06 ??

Merci !

 

Salut zisworg

Extrait de la documentation (looknstop.chm)

« Le ; sert de séparateur, le - permet de définir une plage, et le ! permet d'interdire.
Par exemple pour interdire la plage d'adresse 192.168.0.1 à 192.168.0.100 et aussi 192.168.100.100 entrez: !192.168.0.1-192.168.0.100;!192.168.100.100 »

Pour interdire une plage d'adresses le plus simple est d'utiliser une règle dans le filtrage internet:

http://www.looknstop.com/Fr/rules/rules.htm#BloquerAdresseIP

 

Bonjour,

Non, et en fait ce n'est même pas possible de préciser en plus les adresses autorisées. La seule syntaxe possible est celle que vous proposez, une option ne changerait rien.

Frédéric

 

Merci Climenole .
Mais en fait tu ne m'as pas vraiment compris... J'ai dû mal m'exprimer. Désolé.
(sinon, j'ai déjà bien lu l'aide, vu les ressources dispos sur le site, etc.)

Frederic est plus dans le sujet. Je réexplique (avec exemple concret) :
J'ai un logiciel, disons de partage de fichiers en réseau privé, donc il se connecte sur Internet, un peu partout (dans le sens différentes adresses).
Comment puis-je faire pour autoriser ce logiciel à accéder à toutes les adresses SAUF à une certaine plage ?
Même question si problème avec les ports (tous les autoriser au logiciel, à part 1 ou 2) ?

Car dans mon cas, j'interdis à mon logiciel d'accéder à certaines plages d'IP, mais il n'accède pas non plus au reste (des IP)

Merci.
Bonne nuit
Zis

 

La syntaxe !65.12.34.56-65.12.255.255 est bien correcte.
Si ça ne marche pas il doit y avoir un autre problème.
Est-ce que sans rien mettre ça marche bien ?

Car avant de régler les adresses dans le filtrage logiciel, il faut déjà s'assurer que juste autoriser l'appli sans mettre des ports et IP cela marche.
Et si ça ne marche pas, c'est qu'il faut regarder du coté du filtrage internet.

Pour interdire deux ports, c'est simplement !port1;!port2
Mais là encore, il faut que le port3 qui sera utilisé soit déjà bien autorisé du coté du filtrage internet.

Frédéric

 

Salut zisworg

Non, tu t'es très bien exprimé. C'est moi qui suis "dans les patates" !

Dans le filtrage logiciel, lorsque tu bloques une plage d'adresses IP pour un programme, ce n'est QUE cette plage qui est bloqué ET uniquement pour ce programme. Les autres adresses IP restent accessibles. Idem pour les ports.

Or ils semble que la plage que tu utilises bloque aussi le programme...
(il n'accède à aucune autre adresse IP...).

Se pourrait-il que le programme dont tu parles ait justement besoin d'accéder à des adresses de cette plage pour s'exécuter normalement ? Par exemple en Http (port 80) ou Https (port 443) pour des mises à jours ou quelque chose du genre ?

Serait-il possible de nous préciser de quel programme il s'agit et à quoi correspond cette plage d'adresses IP ?

Pour expérimenter, ne bloque pas la plage en question et vérifie dans le journal vers quel(s) port(s) se fait la connexion avec cette gamme...

Ça pourrait être une bonne piste.

A+

 

Lol non, c'est pas du piratage de logiciel

Bon j'explique : je suis étudiant en informatique.
Donc question paramétrage de logiciels ou compréhension technique, réseau, j'ai pas trop trop de souci. (Quoique les règles du filtrage internet reste encore complexes pour moi )

Le logiciel c'est un projet d'étude. Pas le mien -> justement, c'est pour le tester. Voir un peu ses capacités. Il n'a pas vraiment de nom donc
Il a à se connecter à une adresse IP (puis d'autres si la 1ère ne fonctionne pas) à l'occasion pour tester la validité/disponibilité de serveurs qui peuvent servir à faire un intermédiaire pour l'échange de fichiers. Donc grosso-modo : de l'upload vers cette IP, ou du down pour celui qui reçoit mon fichier.
Cet intermédiaire par serveur n'est utilisé que si des routeurs/firewall bloquent les autres ports que ceux classiques autorisés pour la navigation Internet (cas en entreprise).

Voilà tout.

Donc pour terminer, si j'autorise le logiciel sans sélection de port ou adresse : aucun problème ! Si sélection d'une plage d'IP interdites -> plus rien ne marche.

 

Salut zisworg

P2P ? Ce n'est pas ce que je pensais mais à qq chose d'un peu plus bizarre que j'aurais pû essayer sur mon PC...

(Pour dépanner les "p2pistes" avec LNS, j'ai une collection complète de bidule de "pompage": il y a au moins 1000 "éMulards" qui sont passés ici avec un LowID et qui en sont ressortis avec la "pompe au max" et le sourire! )

Pour le programme "XYZ", le problème semble donc être qu'il ne faire un "resume" après une première tentative de connexion sur l'adresse IP 12.234.678 par ex. ou sur le port 80...

Étant donné que la dernière fois que j'ai programmé qq chose remonte à la "préhistoire" je vais te proposer quelques pistes (qui te feront au moins rigoler):


Si tu fais l'essai de blocage d'une plage d'adresse IP dans le filtrage logiciel,
par exemple la gamme d'adresses IP de Google News et que tu utilises un navigateur pour y accéder, la connexion à ces adresses IP sera bloqué mais pas le navigateur. Dans ce cas-ci je peux continuer à utiliser le navigateur et me connecter à Yahoo. Ce que je fais manuellement ne se fait pas avec le programme "XYZ"...

Problème de "timeout": le signal que le port ou adresse IP est inaccessible et l'appel à la fonction/procédure/subroutine pour un "retry" vers un autre port/adresse est trop long. Le programme gèle ou se termine...

Problème de conditions: la validation pour faire appel à une fonction/procédure/subroutine dans le cas de blocage ne marche pas.:la condition pour l'appel au "retry" n'est pas valide ou incomplète.

Ok... c'est peut-être de conneries.

Si Frédéric passe dans le coin il pourra de donner des pistes plus valables.

A+

 

Je vais essayer de voir du côté timeout...
Enfin, j'en parlerai au développeurs quoi

 

Quelle version utilisez-vous ?
Il y a eu une correction dans la 2.05p3 sur la gestion des plages de ports d'IP et de ports, extrait du fichier d'aide:
Filtrage Logiciel (Win2000/XP seulement): gestion des plages de ports et d'adresse IP incorrecte.

Frédéric

 

J'avais la p2

 

Salut zisworg

J'ai eu un problème un peu similaire à celui dont tu parlais.

J'ai essayé de trouver un moyen pour limiter les tentatives de connexions anarchiques de Skype pour les limiter à certains ports en TCP et UDP.

L'essai fait en blocant ces ports au niveau du filtrage logiciel n'a pas été concluant: Skype était incapable de se connecter à n'importe quel port...

Si je comprend ce qui se passe, c'est que le programme détecte pas de signal lui indiquant qu'un blocage a été effectué si bien qu'il ne passe pas à d'autres ports pour réitérer ses tentatives de connexions...

Par contre si je fais le même blocage au niveau du filtrage internet, Skype essai de se connecter aux ports bloqués au niveau du filtrage internet puis passe à d'autres ports qui sont, eux, autorisés par le filtrage internet.

Je suppose qu'ici Skype a reçu un tel signal contrairement au premier cas.

Je crois comprendre ici que la réaction du programme à un blocage logiciel ou internet est différente d'un programme à l'autre...

Peut-être que le programme que tu testes aurait un comportement similaire à celui de Skype...

Essai un blocage de ports au niveau du filtrage internet (sans blocage au niveau logiciel) et donne-nous les résultats.

A+

 

Bonjour,

Le problème initial venait bien je pense d'un bug dans la version 2.05p2 qui gérait mal la syntaxe des ranges IP et Ports dans le filtrage logiciel.
Ceci a été corrigé dans la 2.05p3 et 2.06.

Frédéric

 

Salut !

Ouai, je crois bien que c'est exactement ça !
Bon, comme j'en parlai un peu plus haut, je comprends à peu près tout ce qu'il y a dans les fenêtres de LnS, par exemple dans la fenêtre d'ajout d'une règle de filtrage internet, mais je sais pas comment l'utiliser par rapport à mon(mes) application(s)


Frederic > c'est quand même très dommage que nul part sur le site on puisse savoir quelle est la dernière version de LnS (pourquoi pas Stable / Bêta), de quand elle date.
J'ai la 2.0.5p2 du 5 oct. 2004 P ) et LnS ne m'a pas prévenu d'une p3...

Merci

EDIT : pour les règles, j'ai bien lu le fichier d'aide et tes articles Climenole : je savais déjà l'utilité de chacun des champs, mais je sais toujours pas comment les utiliser. Où puis-je mieux comprendre ?

 

Pour la 2.0.5p3, début de réponse ici : https://www.wilderssecurity.com/showpost.php?p=955063&postcount=2



En bref, je vais définitivement passer à la 2.0.6.

 

Oui, le site ne parle que de 2.05, qui est la 2.05p2, car la version était jugée suffisament stable, et seuls quelques utilisateurs expérimentés et faisant des expériences utilisent ce genre de fonction (filtrage appli avec sélection de ranges), et en général ils atterrissent ici, ils se rendent compte qu'il y a une version plus à jour, et ils l'installent...
La 2.05p3 était assez expérimentale, c'est pour cela que seul le forum en parle.
Idem les versions beta, on n'en parle pas non plus sur le site, pour ne pas "perturber" les utilisateurs standards, qui pourraient l'installer et avoir des soucis.

Par contre dès que la 2.06 sera officielle, bien sûr elle sera mentionée sur le site et le système de mise à jour automatique proposera la version depuis la 2.05.

Frédéric

 

Salut zisworg

Dans le cas du programme que tu testes une règle simple pour bloquer l'accès à certains ports doit être comme ceci:

Protocole(s): TCP ou UDP
paquets: entrants et sortants

Côté gauche de la fenêtre d'édition:
adresse: Mon @IP
ports: entre 1024 et 5000

Côté droit de la fenêtre d'édition:
adresses: (toutes=champ vide) ou une adresse IP oi une plage...
port(s): égal un port, entre port a - port x, etc

Applications...: ici il faut entrer le programme qui sera examiné par la règle.

La fenêtre qui est affichée avec le bouton "applications..." montre une liste à droite avec les programmes autorisés par le filtrage logiciel et à gauche une liste vide.

Si cette liste de gauche est vide alors la règle est générale et est activée pour tous les programmes...

Si la règles est spécifique(valable pour 1 à 10 programmes inclusivement) alors il faut ajouter ce ou ces programme(s) dans la liste de gauche.

Cette règle spécifique ne sera activé que par ce ou ces programmes.

Exemple plus précis:

Règle pour bloquer le programme ABC sur le port 80

Protocoles: TCP ou UDP
Paquets: entrants et sortants
adresse: Mon @IP
ports (locaux): entre 1024 - 5000
port distant: égal 80
applications... : ABC

simple comme ça.

 

Coool !! mon 1er essai fonctionne ! Génial
Merci !

Euh un dernier truc :
Pourquoi faut-il autoriser les plages d'IPs dans le filtrage logiciel ET internet ?
Bon, d'accord c'est beaucoup plus poussé, précis, comme paramétrage.
Mais pour les utilisateurs (comme moi par exemple ) c'est toujours plus difficile.

Et comme me le disait Frédéric, les utilisateurs se retrouvent sur le forum.
Moi c'est pas un problème : j'apprends plein de choses ^^
Mais est-ce l'avis de tout le monde ? Tout le monde apprécie-t-il ?

Certes, changer ça, c'est peut-être refaire le coeur de LnS.

 

Salut zisworg

Justement: ce n'est pas nécessaire. Si tu fais l'un, ne fais pas l'autre...

 

La plupart du temps les utilisateurs ne "jouent" pas avec les options de sélection des ports et IP au niveau du filtrage logiciel (c'est d'ailleurs pour cela que le bug du range est passé inaperçu pendant longtemps et que seule la version privée 2.05p3 ne contenait la correction).

Cette option (ports et IP dans le filtrage logiciel) a été demandée par des utilisateurs expérimentés il y a quelques versions, car ça permet de contrôler exactement ce que fait chaque application (en mode client uniquement).
Notre philo initiale était de juste demander à l'utilisateur d'autoriser/interdire une application globalement sans l'embêter avec les ports et IP.

Si une appli est malicieuse, ce n'est pas parce qu'on va lui autoriser juste un port que ça va la rendre moins malicieuse, le moindre port ouvert pour une application malicieuse peut être fatal. Soit on la croit sure et on peut l'autoriser, soit on ne la pense pas sûre et il faut l'interdire complètement.

Cependant j'admets que d'un point de vue privacy/confidentialité, ça a un intérêt de contrôler les ports, j'aime bien mettre par exemple des !80 dans les clients emails ou de messagerie instantanée ce qui évite les pubs et autres pages html affichées, mais comme je le dis ce n'est pas de la sécurité, mais plus de la confidentialité.

Les 2 filtrages sont assez indépendants et agissent à 2 niveaux différents dans Windows (avec des drivers de type différent). Il n'est effectivement pas prévu de chambouler tout cela

Tout le monde y trouve son compte les utilisateurs peu expérimentés se contentent d'autoriser ou non les applis (et d'ailleurs en mode non avancé, la sélection Port/IP dans les applis n'est même pas proposée), alors que les utilisateurs plus expérimentés, ou ceux qui cherchent à comprendre peuvent aller plus loin dans la configuration.

Frédéric