SP2 et ICS -> ya du changement?

Discussion in 'LnS French Forum' started by Sil, Aug 19, 2004.

Thread Status:
Not open for further replies.
  1. Sil

    Sil Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    3
    Bonjour, je suis sous win xp pro SP2
    mon autre pc est sous linux
    sous le sp1 j'avais ajouter la reglez ICS Server sur le PC WinXP et tout allé bien, les packets venant de 192.168.0.2(linux) passaient nikel , j'avais acces au net et a tout le reste...
    Maintenant j'ai installé le sp2 et j'ai remarqué dans les logs que LnS ne detecte plus un packet venant de 192.168.0.x mais d'autre part... une sorte de cache... (voila sur le screen)
    http://silounet.free.fr/LnS.jpg

    Sur le screen on voit que je tape l'url google.fr sur le pc linux
    pour que ca marche je dois forward port 53/udp et 80/tcp

    Dans les details : on peut voir que la requete part du PC WinXP.... (va savoir pkoi)

    Voila donc ca serait cool un pti peu d'aide merci -_-
     
  2. Mazz

    Mazz Guest

    Salut Sil,

    Je vois qu'on a exactement le même problème...
    Depuis que j'ai installé le SP2 sur ma machine serveur, je suis obligé de forwarder le port 53 et 80 pour que mes machines clientes puissent accéder au net alors qu'auparavant je n'avais aucun problème lorsque j'étais en SP1...Pareil pour les mails ou IRC, je suis obligé de forwarder les ports 110 et 6667 en l'occurrence alors qu'avant tout marchait bien !
    Le problème ne peut venir que du SP2 mais alors à quel niveau...
    P.S : je connais un Sil qui est chez Free, c'est peut-être toi :)
     
  3. Sil

    Sil Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    3
    j'ai forwardé 53/udp et 80/tcp mais j'arrive pas a dl sur l'autre pc... je dois desactiver le filtrage pour ca :| faut forwardé koi ?

    ( si tu parles du Sil de quakenet, ui c'est moi -> /msg Sil)
     
  4. Mazz

    Mazz Guest

    Bah si je forwarde ces deux ports, je peux dl sans problème sur les autres machines mais bon, c'est du bricolage ça :(
    Je sens qu'on a pas fini avec le SP2...

    P.S : xxx@hotmail.com c'est toi ?
     
    Last edited by a moderator: Aug 25, 2004
  5. Dalba

    Dalba Guest

    Exactement la meme chose ici ! Si on est plusieurs dans ce cas ce n'est donc pas dû au hasard ! Vilain crosoft....
     
  6. Sil

    Sil Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    3
    oui c'est moi Mazz mais edit ton post et enleve mon mail please thx, pv moi sur msn :)
     
  7. Mazz

    Mazz Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    7
    Ok ça marche Sil !
    Je vois qu'on est pas les seuls à être dans la panade, c'est bien de se sentir soutenu :)
    J'arrive pas à éditer mon post par contre puisque j'étais encore Guest, si un modo pouvait éditer l'adresse mail, ce serait gentil à lui :)
     
  8. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    je ne vois pas de gros problèmes, c'est simplement le contact de serveurs DNS vers le port 53 (domain).
    Il faut donc creer une règle qui autorise l'UDP sortant vers le port 53 des IP en questions (pt etre 2 IP).

    gkweb.
     
  9. Mazz

    Mazz Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    7
    Bonjour,

    Le problème est qu'il faut faire la même chose pour TOUS les services que l'on veut lancer sur les autres machines, ce qui est plutôt ennuyeux...
    Je veux bien forwarder les ports 53/udp et 80/tcp, le problème est qu'il faudra faire la même chose pour les mails, IRC, Emule...sur les machines clientes :-(
    Et c'est bien une nouveauté SP2 ça, avant tout marchait au poil, je pense que les développeurs de LnS vont avoir du boulot :)
    Evidemment, je tiens à préciser que j'ai désactivé le pare-feu activé pare défaut chez tous mes clients...

    Mazz
     
  10. Mazz

    Mazz Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    7
    Si quelqu'un a du nouveau concernant ce problème, je suis preneur parce qu'apparemment c'est loin d'être réglé :(
     
  11. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    je ne suis pas sur de saisir, avant les paquets etaient routés parfaitement par ton PC qui ne faisait que les redistribuer, et maintenant c'est lui qui fait les requetes DNS et tout le reste a la place de router ?

    En gros ton routeur se transforme en proxy ?

    Essai de nous donner un exemple simple (on va prendre le port DNS 53) d'avant et apres.
    Il est possible qu'il y ai eu du changement et que la règle ai besoin d'une révision.

    gkweb.
     
  12. Mazz

    Mazz Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    7
    Bonsoir,

    Mon PC qui me sert de serveur et sur lequel est installé LnS routait parfaitement les requêtes des machines clientes de façon transparente sans intervention de ma part.
    Le client se connecte tout à fait normalement vu que j'autorise les services internet standards.
    Par contre avec le SP2 installé sur le serveur, les clients font leurs requêtes DNS que je vois bloquées par LnS, si j'autorise le port 53/udp c'est le port 80 qui cette fois pose problème en TCP et comme le dit Sil la requête part du PC serveur ?!?
    Il y a un problème de routage des paquets quelque part par LnS, il suffit que je l'enlève pour que les clients aient accès au net...
    D'ailleurs, le même problème survient pour TOUS les services (mail,IRC, p2p...) du côté client, je suis obligé de forwarder tous ces portset comme on peut voir sur les screens de Sil, mes requêtes viennent de ports au-delà de 60000, ça ne m'était jamais arrivé auparavant...
    D'ailleurs c'est mon seul problème, RAS au niveau du LAN sinon, tout se passe bien, c'est juste ce problème de routage qui est bizarre, pourtant le pare-feu de Windows est la première chose que j'ai désactivé :)
    Bref, pour moi c'est un problème de routage que le SP2 interprète différemment puisqu'apparemment on es tua moins 3 à observer le même problème...
    En espérant avoir été un peu plus clair.
    Mazz
     
  13. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    désolé de te reposer des questions, mais c'est pour essayer de cerner le pb au plus pres :)

    On va dire que tu as ta carte réseau (1) et ton modem (2).
    Si tu ne touche a rien et qu'il y a un problème avec Look'n'Stop, les paquets sont bloqués à l'entrée du 1 ? ou a la sortie du 2 ? ou bien a l'entrée du 2 ? (retour d'internet).
    Ta solution consiste à ouvrir des ports dans Look'n'Stop ou à router (forward) des ports avec XP ? en 1 ou en 2 pour les deux cas ?

    Le problème c'est que qd on connait son problème on se comprend, mais pour qq d'exterieur "je bloque" ou "j'autorise" ca donne pas le sens ni l'interface, information importante pour la résolution ;)

    A mon avis une simple modification de règle pourrait suffir, pt etre le pb est il lié aux ports superieur à 60000, et qui serait bloqués par defaut dans Look'n'Stop ?

    gkweb.
     
  14. Mazz

    Mazz Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    7
    Bonjour,

    Je vais essayer de représenter mon réseau local, ce sera plus simple.
    Donc j'ai 3 machines sous XP Pro SP2, une de ces machines fait office de "serveur", c'est elle qui reçoit le modem et qui partage donc par conséquent la connexion aux autres machines, c'est également ce PC qui a LnS.
    Pour que les clients puissent accéder au net, je dois ouvrir le port 53 en UDP puis le port 80 en TCP, je ne touche à rien avec XP mais ce qui est le plus étrange, c'est que ces requêtes semblent venir du serveur et non des clients pour LnS. La règle que j'ai crée me permet de me connecter
    à d'autres ordinateurs en utilisant le port TCP 80, ce qui fait que je garde le contrôle sur les données entrantes mais plus sur les données sortantes :(
    Sans l'ajout de cette règle ça ne passe pas du tout. C'est assez étrange comme problème j'avoue, j'aimerais bien garder le contrôle des données sortantes mais bon, c'est plutôt curieux que mes clients passent directement par le port 80 du serveur :)
    Pour moi en tout cas le problème ne vient pas de 1 mais plutôt de 2 mais alors à quel niveau :)
    Je vais retourner tester tout ça encore ce soir pour voir...
    Merci en tout cas de te pencher sur ce problème ;)
     
  15. Dalba

    Dalba Guest

    Bon je vais aussi essayer d'etre le plus clair possible :) J'ai mon pc serveur xp sp2 sur lequel est branché le modem adsl avec la connexion de partagé, et LnS. Mon pc client est sous win2000 et n'avait jusqu'a l'install du sp2, aucun probleme. Pour que mon client puisse maintenant avoir du web, j'ai du créer une regle LnS sur le serveur qui autorise le serveur a se connecter a d'autres machines en utilisant le port 53. Idem pour le port 80. Ceci fait mon pc client pouvait a nouveau surfer sur le net. Pour que le client puisse utiliser son logiciel de messagerie, j'ai du ajouter encore une autre règle sur le serveur pour que ce dernier puisse se connecter a d'autres machines en utilisant le port 110.
    Voila le probleme en gros... Il faut systematiquement creer ce type de regles sur le serveur pour chaque service web que le client veut utiliser.
     
  16. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    donc au final, il faut ajouter des règles au serveur comme s'il etait lui meme client ? Comme si depuis le serveur vous alliez sur le web et lisiez vos mails ?

    Juste pour etre sur, Look'n'Stop protège le modem du serveur ou bien vous l'avez mis sur la carte réseau coté réseau local ? (onglet option, interfaces réseau).

    gkweb.
     
  17. Dalba

    Dalba Guest

    Je pense que lorsque un pc client a besoin du port 110 pour un logiciel de messagerie, le serveur route les donnees vers le client en utilisant son port 110. Apparement il faut autoriser le serveur a se connecter au client avec son port 110... Je sais po si je suis clair :p
     
  18. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Comme gkweb, j'ai un peu de mal à comprendre le problème :doubt:
    Sur le serveur normalement il doit bien y avoir un jeu de règles avec la règle "UDP : Autoriser la résolution des noms (DNS)", donc en définitive pourquoi cette règle ne s'applique pas ? En quoi celle que vous rajoutez diffère de celle là ?

    Serait-ce à cause de l'adresse IP ?
    Dans le paquet bloqué (avant d'ajouter la règle), quelle est l'adresse IP source ? celle du PC serveur ou du PC client ?

    Confirmez vous que tout est Ok pour le PC serveur ? lui il arrive bien à faire ses requêtes DNS ?

    Merci d'avance (et désolé si les réponses étaient enfouies dans les posts plus haut :oops: ).

    Frédéric
     
  19. Mazz

    Mazz Registered Member

    Joined:
    Aug 19, 2004
    Posts:
    7
    Bonjour,

    Je vois que Dalba a exactement le même problème que moi :)
    Bon, résumons la situation.
    Le problème vient du fait que je dois autoriser tous les services Web sur les machines clientes (pop, www, IRC...) avec le serveur qui doir ouvrir les ports correspondants à ces services Web.
    Concernant la règle "UDP : Autoriser la résolution des noms (DNS)" par exemple, je la laisse tel quel côté serveur et ça marched très bien, par contre ça donne quelque chose dans ce genre-là pour que les clients se connectent au net :
    http://takashi.miike.free.fr/lns.jpg

    Je dois laisser passer toutes les IP pour que ça marche, si j'essaye autre chose les paquets sont bloqués et en les regardant de plus près on constate que les requêtes viennent du serveur alors qu'elles viennent des clients !
    Le port source est souvent exotique (supérieur à 60000) mais le port de destination reste le 80 mais la requête reste vue comme venant du serveur :(

    J'ai un peu tout essayé mais rien ne marche, i need somebody's help...
     
  20. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Dans ce cas, le problème n'est-il pas juste d'autoriser ces fameux ports source (>60000) ?
    Ca semble être la différence introduite par le SP2 (une translation de ports).

    Pour autoriser cela, il suffit de modifier les règles qui précisent le Range [1024-5000], comme pour les règles "UDP : Autoriser la résolution des noms (DNS)" et "TCP : Autorise les services Internet Standards." (les 2 principales qui servent).
    Remplacer le 1024-5000 par un 1024-65535.
    Si l'adresse IP de l'émetteur reste celle du serveur alors pas de problème à laisser le "Egale mon @" dans la partie gauche de la règle.

    Frédéric
     
    Last edited: Aug 28, 2004
  21. grouiiik

    grouiiik Registered Member

    Joined:
    Jun 15, 2004
    Posts:
    13
    Location:
    France
    Merci Frédéric et gkweb pour cette solution, car j'avais le même soucis et la modification de ces 2 règles a résolu le problème du partage de connexion.

    J'en profite pour remercier toute l'équipe lns pour leur travail et leur réactivité face aux problèmes rencontrés, ainsi que la commnauté lns qui est toujours là pour poser les bonnes questions et souvent y répondre.

    Merci à tous ;)

    Grouiiik
     
  22. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    content qu'on soit parvenu à une solution !
    Frédéric, pt etre qu'il faudrai sur le site rajouter la règle "SP2" ?

    @grouiiik
    Pour qu'il n'y ai pas d'ambiguité, peut tu poster ici en pièce jointe ta ou tes règles modifiées, pour que tout le monde puisse s'en servir, en precisant bien si tu as modifié sur le client ou le serveur ?

    gkweb.
     
  23. St4tiC

    St4tiC Registered Member

    Joined:
    Aug 29, 2004
    Posts:
    3
    Ce seré tro sympa de poster la règle modifié!! :D
    Car moi je suis pas expert en réseau et je pige rien aux modifications de la règle o_O

    merci d'avance
     
  24. grouiiik

    grouiiik Registered Member

    Joined:
    Jun 15, 2004
    Posts:
    13
    Location:
    France
    Bonjour,

    J'ai bêtement fait ce que Frédéric a conseillé :

    règle "TCP : Autorise les services Internet Standards"
    http://grouiiik20.free.fr/Lns/lns1.JPG

    règle "UDP : Autoriser la résolution des noms (DNS)"
    http://grouiiik20.free.fr/Lns/lns2.JPG

    Le fichier de règles est disponible plus bas.

    Ces règles sont appliquées sur l'ordinateur relié au modem (serveur).
    Je n'ai rien modifié sur le client, mais il a le firewall XP, je ne sais pas si ça change quelque chose.

    Cordialement,

    Grouiiik
     

    Attached Files:

    Last edited: Aug 31, 2004
  25. St4tiC

    St4tiC Registered Member

    Joined:
    Aug 29, 2004
    Posts:
    3
    MERCI!!! :D
     
Thread Status:
Not open for further replies.