Utiliser l'émulateur VMWare avec LnS, est-ce possible ?

Discussion in 'LnS French Forum' started by subut3x, Jul 9, 2008.

Thread Status:
Not open for further replies.
  1. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    Bonsoir à tous

    Je cherche a utiliser l'émulateur d'OS "VMWare" sur mon pc, mais à cause de LnS, je n'arrive pas à "ping" la moindre adresse du Terminal d'Ubuntu que j'émule donc via mon Windows XP grâce à ce logiciel, car je vois que dans les journaux si par exemple je tente un ping free.fr, l'adresse apparait, et est bloquée automatiquement par LnS. Que dois-je activer pour pouvoir surfer via VMWare dans mon Ubuntu émulé svp ?

    Merci à vous

    Cordialement
     
  2. Bloom

    Bloom Registered Member

    Joined:
    Jul 9, 2008
    Posts:
    2
    Il va falloir que tu adaptes deux régles dans looknstop.

    Commence de préférence par dupliquer les regles "TCP : Autoriser les services internet standards" et "UDP : autoriser la résolution des noms (DNS)" et met les duplicatas juste au dessus des originales.

    Ensuite pour chaque duplicata tu vas éditer la règle et en particulier la partie inférieur gauche et remplacer le champ "Egale mon @" par "Egale" et tu indiqueras l'adresse IP de ta machine virtuelle.

    Si tu utilises plusieurs machines virtuelles tu pourras adapter tes nouvelles règles en conséquences en indiquant une plage d'adresse par exemple.
     
  3. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour subut3x,

    Pour répondre à la question du titre du post: oui c'est possible et c'est même avec VMWare que sont réalisés la plupart des tests multi-OS de Look 'n' Stop (de Win95 à Vista-x64).

    La manip indiquée par Bloom est correcte pour les connexions habituelles (web...).

    En ce qui concerne le ping, il faut aussi dupliquer les 2 règles du ping car elles contiennent "egale mon @", et remplacer dans les nouvelles règles ce champ par les adresses IP des machines virtuelles utilisées.

    Il est possible de faire une règle unique qui laisse passer tout le trafic IP qui contient une adresse IP source correspondant à l'une des machines virtuelles, mais elle apporte moins de protection que des règles sur mesure (notamment si les machines virtuelles ne sont pas elles-même équipées d'un firewall).

    Cordialement,

    Frédéric
     
  4. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    Merci pour vos réponses.
    Je viens d'essayer et de suivre scrupuleusement vos consignes mais apparemment il y a toujours un problème de résolution des noms de domaines, car lorsque je ping par exemple google.fr je n'ai aucune réponse mais lorsque je rentre manuellement l'adresse IP du serveur de google, j'arrive à ping.

    Auriez-vous une solution svp ?

    Merci à vous
    Cordialement
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Pour la règle "UDP : Autoriser la résolution des noms (DNS)", il faut sans doute agir aussi sur la plage des ports locaux.
    Le journal de Look 'n' Stop doit contenir des alertes sur les requêtes DNS qui ont été bloquées. Ceci permet de savoir dans quelle plage le port local est alloué par la machine virtuelle (soit 1024-5000 ou 49152-65535, ou peut être autre chose pour une VM sous Linux), et il faut modifier la règle DNS de la VM en conséquence.

    Frédéric
     
  6. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    Je n'arrive pas à voir les ports car c'est de l'ICMP du coup je n'arrive pas en cliquant sur Examiner, à voir un quelquonque port. Je viens d’essayer plein de choses différentes, d’élargir la plage de ports, ajouter une autre règle pour les anciens ports, etc, mais rien n’y fait, ça ping toujours que par IP. Je suis désespéré, j’avais essayé aussi sous VirtualBox, mais j’arrivais à me connecter au net dessus sans le moindre problème, mais je préfère VMWare car il plante moins chez moi.

    Auriez-vous une dernière solution de recours ultime ?
    Celle-ci m’intéresserait et j’aimerais en savoir d’avantage comment procéder svp :


    Merci
    Cordialement
     
  7. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Dans votre précédent post vous disiez que le problème était au niveau des requêtes DNS, et qu'en faisant un ping avec l'adresse IP directement ça marchait.
    C'est pour cela que je vous proposais d'agir sur la règle DNS.

    Est-ce que la situation c'est en fait aggravée et maintenant en pingant avec l'adresse IP directement ça ne marche plus ?
    Sinon, si c'est toujours un problème pour juste résoudre les adresses IP, alors le journal devrait contenir autre chose que de l'ICMP ?

    Pourriez-vous poster les alertes que vous voyez, avec la règle censée autoriser ces paquets.

    Pour la règle plus générale, il suffit de créer une règle de toute pièce, d'indiquer IP dans "Ethernet Type", dans l'adresse "IP source" (dans la partie gauche de la règle), pour l'adresse IP, 2 possibilités:
    - soit il y a une seule adresse IP utilisée par la machine virtuelle et vous choisissez "égale à" et juste dessous vous entrez cette adresse IP
    - soit plusieurs adresses IP sont possible et vous utilisez alors le critère "Entre A-B" et 2 adresses IP (par exemple 192.16.0.2 et 192.168.0.15) selon ce qui est utilisé.
    Vous faites Ok, et vous enlevez le sens interdit pour cette règle (par défaut une nouvelle règle bloque).

    Cordialement,

    Frédéric
     
  8. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    Voila en faite je viens de me rendre compte qu'en faite j'arrive à ping google.fr par exemple, et le DNS semble bien fonctionner, la preuve ici :

    http://subut3x.free.fr/pics/vmware_1.PNG

    Seulement voila, pour avoir cet affichage que je viens de capturer, ça m'a prit beaucoup de temps avant d'obtenir les résultats de chaque lignes, alors que lorsque je ping par IP, c'est parfait: aucune attente.

    Vous pensez que cela peut venir d'ou ? je pense qu'on y est presque.

    Sinon voici ma table de règles :

    http://subut3x.free.fr/pics/config.PNG

    Merci
    Cordialement

    *edit* je vient d'essayer votre technique par l'IP direct, et ça marche niquel, mais j'avoue que je préfèrerait donc résoudre ce problème, car je préfère être un minimum sécurisé car ma MV ne possède pas de firewall.
     
    Last edited: Jul 10, 2008
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    A priori la règle VMWare DNS doit autoriser juste 1024-5000 comme port source, alors que dans le journal on voit des 38552, 45315...
    Ce qui doit se passer c'est que la requête DNS met un certain à marcher (elle marche quand le port local tombe par hasard dans la plage définie par la règle).
    Essayez juste de mettre 1024-65535 pour la plage des ports locaux pour la règle DNS VMWare.
    Vérifiez ensuite le journal de Look 'n' Stop pour contrôler qu'il n'y a plus de paquets UDP-DNS (Domain).

    Frédéric
     
  10. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    Je viens donc d'essayer, et en effet je n'ai plus de paquet udp-dns dans le journal désormais. Le problème semble s'être très légèrement amélioré niveau rapidité de temps d'affichage des lignes de ping, mais ça reste encore anormal comparé au mode IP direct.
    Que me conseilleriez-vous finalement de faire svp ?

    Merci beaucoup pour votre aide et votre temps
    Cordialement
     
  11. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Est-ce que vous parlez bien du temps de réponse du ping ?
    Si oui, normalement, seul l'affichage de la première ligne de la série de ping doit prendre du temps (pour récupérer l'adresse IP), ce qui est normal.
    Avec la règle générale, vous constatez une différence sur ce point ?

    Si je journal ne contient plus rien concernant les requêtes de ping, ni les requêtes DNS, normalement tout devrait être Ok.

    Frédéric
     
  12. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    Non en faite je parle du temps d'affichage des lignes de ping, pas du temps de réponse car a en voir l'image, tout a l'air de bien fonctionner, hors, pas du tout car je n'ai pas accès au net sur le navigateur de l'émulateur, même si je ping visuellement. En effet avec la règle générale je vois une sacré différence, et surtout notable vu qu'avec elle j'arrive à surfer sur le navigateur de l'émulateur.
     
  13. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Dans ce cas il est possible que pour la 2ème règle il faille aussi étendre la plage de ports à 1024-65535 comme pour le règle UDP-DNS.

    Pour confirmer cela, il faudrait consulter le journal de Look 'n' Stop quand vous constatez ces difficultés avec le navigateur dans la VM.

    Si c'est bien cela, en final, on se rapproche de plus en plus de la règle générale (et ce n'est plus forcément très intéressant de vouloir spécialiser les règles).
    Il se peut aussi que d'autres paquets ICMP (code 3 type 3 notamment) soient utiles (là encore il faut surveiller le journal pour voir s'il y en a, vous pouvez aussi créer une règle spéciale pour bloquer les paquets 5353 mais sans les afficher, de manière à ce que le journal ne contienne que des choses intéressantes).

    Cordialement,

    Frédéric
     
    Last edited: Jul 11, 2008
  14. subut3x

    subut3x Registered Member

    Joined:
    Dec 14, 2007
    Posts:
    26
    En effet, le problème c'est qu'on se rapproche trop de la méthode de la règle générale. Du coup j'ai préféré opté pour celle-ci lorsque j’utiliserais VMWare et que j'aurais occasionnellement besoin d'y connecter internet sur la VM pour une mise à jour ou installe de logiciel.
    En tout cas je vous remercie infiniment de vos précieuses réponses et le temps que vous m’avez accordé pour essayer de résoudre mon problème.

    Bonne fin de journée à vous et encore merci.

    Cordialement
    /Jérôme
     
  15. bruno2007

    bruno2007 Registered Member

    Joined:
    Apr 8, 2007
    Posts:
    2
    Pour Subut3X :
    Quel mode de connexion internet avez vous pour la carte réseau virtuelle ?
    Bridge je pense ?
    Car moi, en bridge, rien à faire avec LNS.
    Pour faire des essais de VMware workstation, je suis sous vista pour le pc hôte et sous XP pour le client.
    En mode NAT, aucun pb avec LNS mais dans ce cas, la machine virtuelle ne peut être vue de l'extérieure.
    En bridge, blocage dans tous les cas avec LNS. Si on désactive LNS, tout marche comme en mode NAT.
    Pouvez vous me faire une copie d'écran de votre nouvelle règle (celle qui déclare la connection IP de la machine virtuelle qui accepte les échange dans les deux sens ) ?
    Thanks.
     
  16. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Selon les types d'OS utilisés sur le hote et la machine virtuelle, les règles peuvent être un peu différentes (car la plage des ports locaux n'est pas la même pour des OS différents). Et le patch Microsoft n'arrange rien si l'une des machines est sous XP.
    Il faut donc consulter le journal pour voir ce qui est bloqué exactement.

    Sinon 2 suggestions:
    - dans les règles ajoutées, ne précisez pas les ports locaux: dans la partie gauche de la règles sélectionnez "Tous" pour les ports (au lieu de Entre A-B, 1024-5000 ou au lieu de "Dans Local")
    ou
    - créez juste une règle qui va autoriser tout IP pour la machine virtuelle comme indiqué dans un post plus haut

    Frédéric
     
Thread Status:
Not open for further replies.