Question de Noob :D

Discussion in 'LnS French Forum' started by sim_, Sep 28, 2006.

Thread Status:
Not open for further replies.
  1. sim_

    sim_ Registered Member

    Joined:
    Sep 28, 2006
    Posts:
    4
    Salut,
    J'essaye de bien configurer LnS sur mon PC et je remercie les mecs qui ont realises d'excellents tutos (j'ai plein de TEST bidules ds mes regles :D )

    Bon le truc que j'ai du mal a piger, c'est quand je cree un regle du type:

    Type Ethernet: IP
    Direction(s): Entrante
    Protocole IP: TCP
    Source Adresse(s) IP: @IP
    Source Port(s): 7000
    Destination Adresse(s) IP: Toutes
    Destination Port: Toutes

    Je me melange les pinceaux avec la notion de source et destination, dans ce cas j'ai considere que la source etait mon PC alors qu'il s'agit d'une connexion entrante donc ca devrait etre le pC distant, non?

    L'erreur que je fait est de penser qu'a gauche c'est tj mes ports locaux et a droite les ports distants d'un autre PC?!

    C'est bateau comme question je sais :oops:
     
    Last edited: Sep 28, 2006
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut sim :)

    Tu te mélange car c'est mélangeant!

    Il y a un flottement terminologique avec les notion de source/destination ET local/distant...

    Je crois que la meilleure façon de comprendre c'est avec une règle pour un navigateur web...

    Quand tu te connecte à un site web, le navigateur utilise le premier port local entre 1024 et 5000 et se connecte au port distant 80 du serveur où est le site web.

    Ou

    Port local: entre 1024 et 5000 / port distant 80

    C'est toi qui commence cette connection (c'est pas le site qui se connecte de lui même chez toi: dac? )

    Si bien que depuis un port local, mettons 3124 vers le distant 80,
    la source c'est ton PC et la destination c'est le serveur web
    ou
    port local 3124 ET source vers le port distant 80 ET destination...

    PUIS le serveur te répond...

    Le serveur port distant 80 ET (cette fois-ci) source te répond sur ton port local 3124 ET destination...

    Dans les échanges entre ton PC et le serveur web c'est toujours entre un
    des ports distants entre 1024 et 5000 (3124 dans l'exemple) ET le port distant 80

    MAIS

    ils sont source et destination tour à tour...

    Dans LNS, lorsque la règle permet les paquets entrants et sortants
    la "convention" veut que tu mette les ports locaux à gauche et les ports distants à droite. Mais dans tous les cas ils sont tour à tour source et destination comme c'est signalé par le titre des champs de la règle.
    Voir image 1

    Par contre lorsque, par exemple, la règle n'autorise QUE des paquets sortants
    alors les ports locaux ET source sont toujours à gauche et les distants à droite. (D'où la "convention" gauche/droite)
    Voir image 2

    Remarque:: dans les images en exemple les ports locaux sont de 1024 à 20000 car j'ai changé des paramètres de W xp pour avoir + de ports pour Tor (The onion router). Mes règles reflètent ça.
    Normalement c'est toujours 1024 à 5000 sauf exceptions....

    Est-ce plus clair ainsi ou je t'ai encore plus mélangé ?

    Dit-nous!
     
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Image 1
     

    Attached Files:

  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Image 2
     

    Attached Files:

  5. sim_

    sim_ Registered Member

    Joined:
    Sep 28, 2006
    Posts:
    4
    Si j'ai bien compris, je prend l'exemple inverse comme ds mon 1er thred :

    Une regle qui autorise que les paquets entrants :
    Les ports distants ET source sont a gauche et les ports locaux ET destination sont a droites.

    CAD => si je veux ouvrir mon port local 7000 a toutes les Ips et ports en connexion entrante, je dois faire une regle du type :

    Source Adresse(s) IP: Toutes
    Source Port(s): Tous
    Destination Adresse(s) IP: Mon @IP
    Destination Port: 7000

    Ca doit etre ca?

    - 2e question (j'en profite :cool: ) : J'ai une regle TEST pr mon serveur FTP qui me fait n'importe quoi. J'ai fait comme dans ton tut :
    - Creation d'une regle avant la regle pivot SYN (c un serveur)
    Type Ethernet: IP
    Direction(s): Entrante/Sortante
    Protocole IP: TCP
    Source Adresse(s) IP: Toutes
    Source Port(s): Tous
    Destination Adresse(s) IP: Toutes
    Destination Port: Tous
    Application => l'exe de mon serveur

    Mais lorsque j'active le journal pour cette regles, elle me prend en compte tous les paquets, meme ceux du navigateur (emule,ect..), et meme quand le serveur ne tourne pas (g verifie le service) :blink: !!!

    La seule solution que j'ai trouve est de tout couper sauf le serveur pour avoir a peu pres que les paquets destines à mon serveur FTP o_O
    C'est bizarre quoi!

    des screens :
    http://oliviier.martin.neuf.fr/tof1.png

    http://oliviier.martin.neuf.fr/tof2.png
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut sim_ :)

    Halte-là! As-tu ajouté le programme concerné par cette règle dans la liste des applications surveillées par cette règle? Huuum ?

    Exemple d'un serveur:

    Le port local de ton serveur est placé à gauche + @IP
    Tous les ports distants sont autorisés
    Paquets entrants et sortants
    ET
    Ajoute l'application dans la règle: bouton "applications..."

    Rappel:

    les règles sans programme ajouté avec l'édition des règles, bouton "applications..." sont des règles qui s'appliquent pour TOUS les paquets

    les règles avec programme(s) ajouté(s) dans l'édition des règles, bouton "applications..." NE s'appliquent QUE pour ce(s) programme(s)

    les règles sont examinées depuis la première de la liste: la première règle qui correspond au paquet examiné est appliqué et aucune autre par la suite.

    :)
     

    Attached Files:

  7. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Re-Salut sim_ :)

    Pour répondre plus précisément à tes 2 questions:

    1-le port du serveur sur ton PC est placé en "source" comme dans l'image précédente.

    2- les problèmes que tu as même avec la règle TEST prouvent que quelques chose cloche dans ton jeu de règles...

    Les règles de Phant0m sont des règles générales pour tous les paquets et c'est très bien comme ça. Ceci n'a pas à être modifié. Dac ?

    Le problème se situe au niveau des règles spécifiques aux applications.
    Toutes les règles spécifiques aux applications: navigateur, courielleur, messagerie instantanée, etc.
    doivent:

    1-être après la règle blocant les paquets TCP SYN entrants:
    dans les règles de Phant0m = "+TCP: block incomming connections"
    (ce que tu sais déjà)

    2- le filtrage logiciel doit être activé

    3- les programmes doivent être listés dans le filtrage logiciel

    4- les programmes autorisés précédemments doivent être inclus dans leurs règles spécifiques

    SINON il y aura des fuites... (et des prises de têtes).

    En bref le jeu de règles ressemble à ceci:

    A- Règles générales de blocages des paquest anormaux/illégaux
    B- Règles générales pour des trucs tels que le DNS

    C- Règles pour serveurs: règles spécifiques à telles ou telle application serveur

    D- Blocage des TCP SYN entrants

    E- Règles spécifiques pour les applications
    La plus simple possible c'est:

    Ports locaux de 1024 à 65535 de @IP
    Ports distants : tous
    TCP ou UDP
    Paquets entrants et sortants

    ET

    mettre dans cette règle au moins une application
    [maximum 10 applications par règle...]
    par exemple IE + OE + Msn Messenger ...

    Tu peux faire plus élaboré en ayant plus d'une règle spécifique:
    règles pour navigateur ( pour Http/Https + ftp)
    règle pour courielleur (smtp + pop3)
    ETC.

    F- Règles de blocages des paquets "restants" pour tcp, udp, icmp ...

    G- Règle finale et obligatoire :Bloquer tout le reste.

    N'oublie pas de sauver les modifications et redémarre le PC pour être certain.
    Faire des modifications lorsque l'application est en exécution conduit à des bizarreries et des prises de têtes... ;-)

    :)
     
    Last edited: Sep 28, 2006
  8. sim_

    sim_ Registered Member

    Joined:
    Sep 28, 2006
    Posts:
    4
    J'avais bien rajouté le programme a la regle (j'utilise FileZilla Serveur), c'est ce qui me gene un peu o_O
    Il devrait pas lister comme ca tous les paquets :cautious:

    Et la je viens de retester et il me liste pas tous les paquets!!

    J'avais deja vu que ce probleme etait comme cyclique :
    Au bout d'un moment il s'emballe et me liste tout puis si j'arrete et relance LnS, il remarche bien comme il refoire direct :blink:

    G quelques petits bugs comme ca (plus de navigation internet...), du surement a mauvaise gestion de mes regles! De toute facon je commence juste a m'interesser a LnS, je verrais bien dans la pratique, ds les tuts, ect.. :isay:

    Merci pour tes reponses! :thumb:
     
  9. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
  10. sim_

    sim_ Registered Member

    Joined:
    Sep 28, 2006
    Posts:
    4
    RE les gens :)

    Et 2 nouvelles questions :D ( a votre bon coeur, Messieurs Dames ;) )

    1. J'ai remarqué que pas mal de programmes utilisent les ports 1024-5000 en local et 80&443 en distant pour se logger,surfer... (ICQ,MSN Mess, NAv Web)
    Est-ce qu'il est nescessaire de creer une regles pour chaque application ou suffit-il d'en creer qu'une seule et d'y rajouter dedans tous les executables des applications concernees?

    2. Pour mon probleme de regle TEST qui prend en compte des paquets ne lui appartenants pas, il me semble que tu en parles (Climenole) dans ton tutorial :

     
  11. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut sim_ :)


    Réponse 1:

    Fait cela selon ta fantaisie.

    Réponse 2:

    Tout à fait. Dans le cas de tes règles tu as mis plusieurs règles "TEST".
    Erreur: une à la fois s.v.p. Sauf dans le cas des tests pour bidules p2p
    où il en faut 2 tel que mentionné là:
    Look'n'Stop 6

    «2- La méthode d’élaboration des règles et les applications P2P»

    :)
     
Thread Status:
Not open for further replies.