Raw rules + OR

Discussion in 'LnS French Forum' started by Climenole, Mar 10, 2009.

Thread Status:
Not open for further replies.
  1. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour

    L'édition des règles brutes permet de choisir l'"Operator with the next field" soit AND soit OR.

    Se pourrait-il que le nombre maximum de champs avec l'opérateur OR soit limité à deux champs? J'ai essayé d'en "enchaîner" plus de deux et le troisième champ n'est pas pris en compte...

    Par exemple une règle pour filtrer des paquets TCP avec les flags "ack" OU "ack-Syn" marche très bien par contre si j'ajoute un troisième champ OU "Syn", ce dernier n'est pas pris en compte...

    Avec un max de 15 champs je croyais pouvoir enchaîner une suite de conditions avec l'operateur OR mais je dois m'y prendre de travers ...

    Ai-je loupé qq chose? o_O

    Merci de votre attention.

    :)
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour Climenole,

    Oui, c'est bien censé marcher comme cela.
    C'est ce qui permet à Phant0m de proposer le plugin Muli-IP banlist qui bloque jusqu'à 45 IP différentes (https://www.wilderssecurity.com/showthread.php?t=222608 ).

    Peux-tu poster ou m'envoyer le .rie d'une règle qui semble ne pas marcher, je vais y jeter un oeil.

    Merci,

    Frederic
     
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Frédéric :)


    Je te joints 4 règles "test":

    la première et la quatrième ne marchent pas comme prévu.

    La 2 ième et 3 ième par contre marchent très bien.
    (2 et 3 fields avec "or"...)

    L'Idée générale est de filtrer des paquets qui ne sont pas conformes
    à telle ou telle combinaison de flags avec un NotMaskValue1 ...

    Par exemple dans le handshake syn / syn-ack / ack tout ce qui n'est pas = à l'une de ces combinaisons.

    Je soupçonne que c'est plus le NotMaskValue1 que le "or" qui est en cause ici
    et probablement ma compréhension du NotMaskValue1 (je crois o_O )

    N.B. PluginEditRawRules.dll utilisé est le 2.0.0.3

    Merci de ton aide.

    :)
     

    Attached Files:

  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Je n'ai regardé que la 4ème règle pour l'instant.

    Si j'ai bien compris tu voulais bloquer les paquets avec la condition non["ACK seul" ou "ACK+SYN" ou "SYN seul].
    Alors que la règle créée bloque [non"ACK seul"] ou [non"ACK+SYN"] ou [non"SYN seul"] (ce qui en fait bloque tous les paquets car cette condition est toujours vérifiée, c'est comme une condition du style "((x<>A) || (x<>B))", si A et B sont différents, c'est toujours vrai).

    En fait pas besoin du OR pour cette règle, non["ACK seul" ou "ACK+SYN" ou "SYN seul] se développe en [non "ACK seul"] et [non "ACK+SYN"] et [non "SYN seul"].

    Le OR serait utile pour la règle opposée qui autoriserait juste les bons paquets: "autoriser ["ACK seul"] ou ["ACK+SYN"] ou ["SYN seul]".

    Frédéric
     
  5. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Frédéric :)

    ...la condition est toujours vérifiée... :rolleyes:

    J'y avais bien pensé mais je refusais de le croire. :D

    OK, j'ai compris la méthode je crois.

    Merci de ton aide.

    :)
     
Thread Status:
Not open for further replies.