regles phantom et/ou relgle standarts? +...

Discussion in 'LnS French Forum' started by ril31, Mar 17, 2006.

Thread Status:
Not open for further replies.
  1. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    Bonjour à tous,

    J'ai installé dernièrement LnS avec joie au vue de ses capacités et de sa flexibilité ainsi que de sa robustesse. j'ai importé les regles phantom v6 et j'ai réussi à configurer a peu prés tout ce dont j'avais pour l'instant besoin. toutefois une question naive me tracasse et je n'ai pas vu de reponses sur des posts:

    Faut-il ajouter les regles phantom à un jeu de regles préalables (style standart ou evolué) ou bien font elle office de jeu regles à part entière?
    Un indice aurait tendance à me dire que c'est un jeu de regles à part entiere au vue de l'extension (.rls), mais aussi de leur réputation, mais j'ai un doute...

    enfin j'aurais aimé savoir quelle est la regle qui separerait les connexions serveurs de celle clientes... si je dis pas de bétises...car j'ai trouvé autant "syn rcvd" pour cette regle (que je n'ai pas dans mes regles phantom) que "+tcp block incoming connections (que j'ai par contre dans mes regles), et ce sur différents posts.

    Merci d'avance!

    (config: firewall Lns; antivirus Mcafee; routeur neuf, windows sp2)
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Oui, les jeux de règles .rls, sont censés être complets, seuls les .rie sont des ajouts par dessus un jeu de règles déjà existant.
    C'est donc le cas du jeu de règles de Phant0m.

    Un autre indice, est le fait qu'un jeu de règles (bien formé) contient à la fin une règle de type "Tout le reste" qui bloque tout ce qui n'a pas été autorisé auparavant (les règles étant examinées dans l'ordre haut => bas).

    Je ne sais pas répondre précisément à la 2ème question. C'est vrai que dans le jeu de règles évolué, toute règle qui va autoriser une connexion entrante doit être placée avant la règle "Bloquer les connexions entrantes" et donc effectivement ça fait une sorte de délimitation. Cette règle existe sûrement aussi dans le jeu de règles de Phant0m, mais je ne sais pas précisément laquelle c'est.

    Cordialement,

    Frédéric
     
  3. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    ok merci beaucoup pour les infos surement a+ tard!!
     
  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
  5. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    merci mille fois.
    pour les regles p2p faut que je me penche un peu plus sérieusement dessus car les règles clientes en udp me pose quelques soucis, faut que j'approfondisse. je risque donc de refaire surface sous peu.:p :D
    i'll be back
     
  6. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    en fait me trouvant derriere un routeur NAT et ayant changé de port, je ne saisis pas trop certains des réglages des ports dans les regles clients/udp.
    Dans la partie source, j'ai mis les ports que j'ai ouvert dans mon routeur qui correspond au port udp de la mule soit

    source :
    equals my@
    equals / 8468-0
    destination :
    rien sinon ca bloque kad

    le fait de faire deux regles pour la partie cliente, ca je pige pas trop?...
    une seulement en "udp", puis une autre en "tcp or udp" avec des changements de ports en destination qui varie largement...
    peut etre une explication?
    pour l'instant je reste sur la regle que j'ai faite, qui marche, mais qui est surement "faible".
     
  7. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    Bon apres mettre penché sur tout ceci un bon moment, j'ai réussi à configurer tout ceci comme il fallait. bien le tuto sur les règles de la mule.
    J'ai fait tout comme le tuto, juste changer les ports locaux et c bon.
    Merci.a+
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    C'est pourtant expliqué là:
    https://www.wilderssecurity.com/showthread.php?t=122398https://www.wilderssecurity.com/showthread.php?t=122398


    1-

    Tu as besoin d'une règle pour la partie "client" de ton machin afin :
    a) d'obtenir la liste des serveurs
    b) de te connecter au serveur eDonkey

    [TCP/UDP] /client + liste serveurs
    ports locaux (ceux de ton PC) 1024 à 5000 / ports distants 4661-4665
    Cette règles est comme n'importe quelle règles d'application tel qu'un navigateur, un courrielleur, un machin de messagerie, etc.
    ET
    doit se placer APRÈS la règle bloquer les connexions réseau
    c'est-à-dire la règle qui bloque les tentatives de connexions
    en provenance d'internet en TCP avec le flag SYN.

    2- une règle pour la partie SERVEUR de ton machin de P2P:

    En TCP
    Ports locaux (ceux de ton PC) 4661-4665 EDonkey
    port distants : Tous...

    Comme sur l'image jointe...

    Cette règle doit être placée AVANT la règle bloquer les connexions entrantes.
    Si bien que les connexions entrantes avec entre autre le flag Syn de positionnés seront acceptées ou non selon qu'elles font partie des connexions gérées par ton machin de P2P alors que les autres connexions entrantes pas destinées à ton machin p2p seront bloquées tel que les trucs visant les ports 135, 139, 445, etc.

    Ceci étant dit tu utilise aussi en plus du bidule eDonkey le réseau décentralisé KAD. Cela suppose que tu crée une ou des règles supplémentaires pour cette chose...

    Je n'utilise pas eMule et pas le bidule KAD alors je ne sais pas.

    À toi de créer tes propres règles en utilisant les outils qui te sont fournis par Look'n'Stop à cette fin: à savoir l'édition des règles, le journal et la possibilité de traiter ce journal en format brut (raw) pour trouver comment bâtir ces règles.

    j'ai expliqué comment dans un post en donnant un exemple avec un machin nommé Gizmo. Inspire-toi de cela.


    https://www.wilderssecurity.com/showthread.php?t=122224&highlight=gizmo

    Tu devrais y arriver !

    :)
     

    Attached Files:

    • ex01.png
      ex01.png
      File size:
      38.1 KB
      Views:
      483
  9. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    hug,
    merci pour ce panorama détaillé. J'ai réussi à faire tout ceci je pense dans les "regles" de l'art..., même pour kad et tous l'merdi...
    forum rapidement réactif, c'est vraiment sympatico.
    Je vais me pencher sur le filtrage d'un peu plus pres quand j'aurais un peu plus de temps.
    merci!
     
  10. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Ça marche alors ? :thumb:

    Merci du retour d'expérience.

    :)
     
  11. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    ouais ca marche.
    ca bloque pas mal d'adresse dynamique en tcp et udp donc ca a l'air bon.
    c'est interressant l'edition de regle comme dans l'exemple avec gizmo mais faut s'y pencher dessus toutefois...
    je cherche pas la sécurité absolute.
    reste que quand je fais des tests sur différents sites, mes ports ne sont pas stealth mais closed.
    mais je suis derriere un routeur nat qui vaut ce qu'il vaut (neuf tel).
    alors je sais pas si c'est le routeur qui fait que mes ports sont closed et pas stealth, mais je m'inquiete pas trop. je pars bientot chez free et je verrai bien.
    :thumb:
     
  12. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Ton routeur est mal configuré sans doute...
    Remarque que si tu fais le test de "stealth" avec le programme p2p en marche ou pas va faire une différence... on peut pas être stealth et être en même temps un serveur...

    Pour mieux te protéger je te suggère d'utiliser PeerGuardian2
    pour éviter des connexions bidons ou plus "étranges"...

    http://phoenixlabs.org/pg2/

    Voir les copies d'écran qui suivent...

    :)
     
    Last edited: Mar 18, 2006
  13. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    1-écran principal.
    ne désactive pas le http !!!
     

    Attached Files:

    • pg1.png
      pg1.png
      File size:
      26 KB
      Views:
      475
  14. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    2- utilise ces setups + les différentes listes de blocages :
    anti-spywares et autres...
     

    Attached Files:

    • pg2.png
      pg2.png
      File size:
      21.6 KB
      Views:
      478
  15. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    3- enfin ceci:
     

    Attached Files:

    • pg3.png
      pg3.png
      File size:
      31.7 KB
      Views:
      477
  16. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    4- les listes de blocages des "bogons" IP et autres...
     

    Attached Files:

    • pg4.png
      pg4.png
      File size:
      46.1 KB
      Views:
      477
  17. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    merci,
    j'utilise pg2 depuis un bon moment avec les listes de bases mais aussi celles de bluetack security (une dizaine).
    Faudrait peut etre que je revoie mon routeur en effet, mais dans l'ensemble si je n'ouvre pas les ports, ca passe pas en inbound donc deja c qu'il fait son boulot.mais par contre je suis visible et c bizarre.
     
  18. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Sans le p2p en marche, qu'est-ce que le routeur balance sur internet?

    Ce ne serait pas parce qu'il répond aux "pings" par hasard o_O

    Vérifie avec les tests de PCFlank pour savoir à quoi le routeur répond:
    icmp, igmp, tcp, udp ou o_O

    http://www.pcflank.com/http://www.pcflank.com/

    Une bonne source d'information pour le port fowarding avec les routeurs:

    http://www.portforward.com/

    Voilà. Plus d'autre idée.

    :)
     
  19. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    voila une capture d'ecran, en sachant qu'il n'y avait pas de log de p2p en marche.
    bizarre. va falloir que j'aille fouiller dans mon routeur;
     

    Attached Files:

  20. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Re -salut :-/

    Ces paquets anormaux sont bloqués par le jeu de règles évoluées
    et par le jeu de règle de Phant0m (et par les miennes aussi en passant!)...

    1- utilise l'un de ces 2 jeu de règles
    2- place les règles de ton machin p2p au bon endroit

    et cela se fera si tu te donne la peine de lire ce que j'ai déjà écrit
    et expliqué en long, en large et en travers.

    Je me "récapète":

    «
    B) Comprendre la règle "Bloquer les paquets TCP entrants avec le flag SYN"

    Cette règle est celle qui correspond à:

    "Bloquer les connexions entrantes" dans le jeu de règles évoluées
    "+TCP:Block incoming connections" dans le jeu de règles Phant0m

    La raison de cette règle a été expliqué plus haut.

    Les paquets entrants avec le flag syn de positionné visent principalement
    les ports locaux(ceux de votre PC) :
    135 : Rpc Dcom (utilisé par le ver Blaster!)
    139 : imprimantes réseau et partage des fichiers
    445 : SMB message block
    etc.

    Toutes les règles de blocage de paquets anormaux doivent être placés
    avant cette règle sauf les règles de blocage des paquets non-bloqués
    par les règles précédentes.

    UDP Bloque le reste
    TCP Bloque le reste
    ICMP Bloque le reste
    ET sans oublier la dernière règle OBLIGATOIRE
    Bloquer tous le reste.(Verrouillage final du jeu de règles.)


    Nous avons donc : (voir le jeu de règles évoluées)

    1- Des règles de blocage de divers paquets anormaux
    2- La règle de blocage des paquets TCP entrants avec le flag SYN
    3- Des règles pour les applications (CLIENT)
    4- Des règles pour bloquer le reste (UDP, TCP, ICMP)
    5- La règle finale et obligatoire: Bloquer tous le reste.

    Dans le cas des programmes de P2P votre ordinateur
    est, comme pour les applications courantes, un CLIENT

    ET

    Il est aussi un SERVEUR ! ...


    C) Un programme P2P fait de votre ordinateur un client ET un serveur.

    La partie CLIENT de votre programme P2P
    qui permet de vous connecter aux serveurs, d'obtenir leur liste etc
    doit donc faire partie des règles pour les applications c'est-à-dire
    le # 3 (voir ci-haut) ou encore les règles "client" doivent être placées
    entre la règle #2: blocage des paquets TCP entrants avec le flag SYN
    et
    le #4:bloquer le reste (UDP, TCP, ICMP) ...

    Cela est exactement la même chose que pour n'importe quelle application.

    Les règles de la partie SERVEUR de ce type d'application doivent donc être placées
    après le #1: blocage de divers paquets anormaux
    ET
    avant le #2 blocage des paquets TCP entrants avec le flag SYN.

    Nous avons donc maintenant:

    1- Des règles de blocage de divers paquets anormaux

    [MOVE]Règle(s) pour la partie SERVEUR du programme P2P
    [/MOVE]
    2- La règle de blocage des paquets TCP entrants avec le flag SYN
    3- Des règles pour les applications (CLIENT)
    4- Des règles pour bloquer le reste (UDP, TCP, ICMP)
    5- La règle finale et obligatoire: Bloquer tous le reste.

    Il est très important de placer correctement la ou les règle(s)
    de la partie SERVEUR au bon endroit dans la liste des règles...
    »

    là:
    https://www.wilderssecurity.com/showthread.php?t=122398

    Le résultat du test PC Flank signifie:

    soit que les règles de blocage ne sont pas là (les as-tu effacées?)
    soit que ces règles ne sont pas actives(les as-tu désactivées?)
    soit que tes règles pour ton machin p2p ne sont pas placés au bon endroit dans la liste des règles...

    Les règles sont interprétées en commançant par la première en-haut...

    Dès qu'une règle correspond, elle est appliquée et les autres règles qui suivent ne sont pas appliquées. C'est comme ça pour tous les pare-feu à règles de L'UNIVERS!

    a) chaque règle est comme une proposition universelle ou une suite de AND
    condition A ET condition B et condition C et... etc.

    Si toutes les conditions de la règle correspondent à un paquet
    alors la règle s'applique

    Sinon la règle suivante est examinée...
    et comme ça jusqu'à la règle finale et obligatoire de verrouillage du jeu de règles:
    Bloquer tout le reste.

    b) la suite des règles lue depuis la première et ainsi de suite est comme une série de XOR : soit l'une , soit l'autre...

    Dans le cas de plus de deux règles cela correspond à une proposition
    Universelle singulière:

    Pour toutes les règles il existe une et une seule règle qui s'applique.

    Que puis-je dire de plus o_O

    Bien cordialement.
    :)
     
  21. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    il me semble avoir suivi le bon protocole, mais je peux me tromper. voici donc 2 capture d'ecran de mes filtres et de leurs positions, si tu vois qq chose d'anormal fais moi signe.
    merci quand même!
     

    Attached Files:

  22. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    fin des filtres
     

    Attached Files:

  23. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    certaines regles n'etaient pas activées par defaut dans les regles de phantom, je ne les ai pas activé, sauf les dhcp. touefois j'ai fais un test pcflanck en les activant toutes et mêmes resultats donc...:)
     
  24. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640

    Attached Files:

    • xyz.png
      xyz.png
      File size:
      157.5 KB
      Views:
      464
  25. ril31

    ril31 Registered Member

    Joined:
    Mar 17, 2006
    Posts:
    64
    grouper c'est un log de partage privée.
    "emule destinataire invalide" c'est la regle que j'ai trouvé dans ton tutos pour bloquer les connections entrantes avec le flag syn, mais la je crois que j'ai fais une erreur puisque elle doit etre redondante avec celle de "+ tcp block incoming connection". cependant cette regle de phantom met "frag offset" sur "all" ainsi que "frag lags" alors que toi tu les met sur "egale 0" et "df"; a moins que je sois a coté de la plaque...
     
Thread Status:
Not open for further replies.