Bonjour L'édition des règles brutes permet de choisir l'"Operator with the next field" soit AND soit OR. Se pourrait-il que le nombre maximum de champs avec l'opérateur OR soit limité à deux champs? J'ai essayé d'en "enchaîner" plus de deux et le troisième champ n'est pas pris en compte... Par exemple une règle pour filtrer des paquets TCP avec les flags "ack" OU "ack-Syn" marche très bien par contre si j'ajoute un troisième champ OU "Syn", ce dernier n'est pas pris en compte... Avec un max de 15 champs je croyais pouvoir enchaîner une suite de conditions avec l'operateur OR mais je dois m'y prendre de travers ... Ai-je loupé qq chose? Merci de votre attention.
Bonjour Climenole, Oui, c'est bien censé marcher comme cela. C'est ce qui permet à Phant0m de proposer le plugin Muli-IP banlist qui bloque jusqu'à 45 IP différentes (https://www.wilderssecurity.com/showthread.php?t=222608 ). Peux-tu poster ou m'envoyer le .rie d'une règle qui semble ne pas marcher, je vais y jeter un oeil. Merci, Frederic
Bonjour Frédéric Je te joints 4 règles "test": la première et la quatrième ne marchent pas comme prévu. La 2 ième et 3 ième par contre marchent très bien. (2 et 3 fields avec "or"...) L'Idée générale est de filtrer des paquets qui ne sont pas conformes à telle ou telle combinaison de flags avec un NotMaskValue1 ... Par exemple dans le handshake syn / syn-ack / ack tout ce qui n'est pas = à l'une de ces combinaisons. Je soupçonne que c'est plus le NotMaskValue1 que le "or" qui est en cause ici et probablement ma compréhension du NotMaskValue1 (je crois ) N.B. PluginEditRawRules.dll utilisé est le 2.0.0.3 Merci de ton aide.
Je n'ai regardé que la 4ème règle pour l'instant. Si j'ai bien compris tu voulais bloquer les paquets avec la condition non["ACK seul" ou "ACK+SYN" ou "SYN seul]. Alors que la règle créée bloque [non"ACK seul"] ou [non"ACK+SYN"] ou [non"SYN seul"] (ce qui en fait bloque tous les paquets car cette condition est toujours vérifiée, c'est comme une condition du style "((x<>A) || (x<>B))", si A et B sont différents, c'est toujours vrai). En fait pas besoin du OR pour cette règle, non["ACK seul" ou "ACK+SYN" ou "SYN seul] se développe en [non "ACK seul"] et [non "ACK+SYN"] et [non "SYN seul"]. Le OR serait utile pour la règle opposée qui autoriserait juste les bons paquets: "autoriser ["ACK seul"] ou ["ACK+SYN"] ou ["SYN seul]". Frédéric
Bonjour Frédéric ...la condition est toujours vérifiée... J'y avais bien pensé mais je refusais de le croire. OK, j'ai compris la méthode je crois. Merci de ton aide.