Filtrage des paquets ICMP

Desinstalle tes logiciels de P2P et tu verras que tes packets auront disparu
de tes logs.


"Stephane Faure" <mysterion@alussinan.org> a écrit dans le message de
news:MPG.19d7c21ade6c3b298a652@news.free.fr...

Bonjour,

J'ai configuré Kerio PF de la façon suivante pour les paquets ICMP :

Autorisation dans les deux sens pour :

- [0] Echo Reply et [8] Echo Request pour autoriser le ping dans les
deux sens (utile pour le p2p)
- [4] Source Quench, qui d'après ce que j'ai pu lire, sert aux hôtes à
signaler que l'expéditeur des données va trop vite (je pense aussi que
c'est utile pour le p2p)
- [11] Time Exceeded : je pense qu'il peut servir dans les 2 sens avec
le p2p
- [10] Router Solicitation : apparemment il faut l'autoriser dans les
deux sens, l'une pour la requête, l'autre pour la réponse. Mais est-il
vraiment utile ? J'ai vu quand je le bloquais que ça se trouvait
souvent dans mes logs en début de connexion.

Autorisation dans le sens entrant :
- [3] Destination Unreachable

Et je bloque tout le reste. Or mon log est plein de paquets Destination
Unreachable sortants. Qu'est-ce que ça signifie ? Est-il utile de le
bloquer ?

Plus généralement, ma configuration vous paraît-elle correcte ?

--
L'ennui dans ce monde, c'est que les idiots sont sûr d'eux et les gens
sensés pleins de doutes. (Bertrand Russell)

Stephane Faure <mysterion@alussinan.org> wrote in message news:<MPG.19d7c21ade6c3b298a652@news.free.fr>...

Bonjour,

J'ai configuré Kerio PF de la façon suivante pour les paquets ICMP :

Autorisation dans les deux sens pour :

- [0] Echo Reply et [8] Echo Request pour autoriser le ping dans les
deux sens (utile pour le p2p)
- [4] Source Quench, qui d'après ce que j'ai pu lire, sert aux hôtes à
signaler que l'expéditeur des données va trop vite (je pense aussi que
c'est utile pour le p2p)
- [11] Time Exceeded : je pense qu'il peut servir dans les 2 sens avec
le p2p
- [10] Router Solicitation : apparemment il faut l'autoriser dans les
deux sens, l'une pour la requête, l'autre pour la réponse. Mais est-il
vraiment utile ? J'ai vu quand je le bloquais que ça se trouvait
souvent dans mes logs en début de connexion.

Autorisation dans le sens entrant :
- [3] Destination Unreachable

Fais gaffe au p2p.
Perso j'en faisais avec un deny complet d'icmp.

Et je bloque tout le reste. Or mon log est plein de paquets Destination
Unreachable sortants. Qu'est-ce que ça signifie ? Est-il utile de le
bloquer ?

Oui.
Mais si tu as ce type de paquet dans tes logs ton fw ne doit pas être
très bien configuré.
Ne fais pas de "reject" des services non autorisés en entrée, préfère
un "deny".
Reject envoie un destination unreachable à l'émetteur de la requête
non autorisée.
Deny n'envoie rien.

Plus généralement, ma configuration vous paraît-elle correcte ?

Il nous faudrait la liste complète de tes règles pour juger.

ddevil, in <180d162b.0309220247.2d348f1d@posting.google.com> :

Fais gaffe au p2p.

J'ai jamais constaté de problème avec.

Perso j'en faisais avec un deny complet d'icmp.

Et comment ta machine fait pour
- savoir qu'une IP/un port n'est pas accessible ?
- faire et recevoir des pings (utile pour trouver la source la plus
rapide) ?
- savoir et faire savoir que le délai de connexion est dépassé ?
- savoir et faire savoir que le débit est trop élevé ?

Mais si tu as ce type de paquet dans tes logs ton fw ne doit pas être
très bien configuré.
Ne fais pas de "reject" des services non autorisés en entrée, préfère
un "deny".

J'ai pas la possibilité de le configurer. Mais il me semble, d'après des
tests en ligne que j'ai fait, que Kerio PF est en mode 'stealth", et
donc ne renvoie rien quand il refuse un paquet. Je pense que les
'destination unreachable' sortants que j'ai dans mon log, trop peu
nombreux pour être des refus du firewall, viennent en fait de réponses
de mon poste à des demandes de connexion p2p, qui parviennent un temps
encore après la fermeture de l'application. En effet, ces paquets
servent aussi à signaler qu'un port n'est pas ouvert. Je vais donc les
autoriser en sortie également.

Plus généralement, ma configuration vous paraît-elle correcte ?

Il nous faudrait la liste complète de tes règles pour juger.

Je parlais de ma config pour ICMP, et elle est toute là.

--
L'ennui dans ce monde, c'est que les idiots sont sûr d'eux et les gens
sensés pleins de doutes. (Bertrand Russell)

Stephane Faure <mysterion@alussinan.org> wrote in message news:<MPG.19e00cb39ef3121698a65b@news.free.fr>...

ddevil, in <180d162b.0309220247.2d348f1d@posting.google.com> :

Fais gaffe au p2p.

J'ai jamais constaté de problème avec.

Généralement quand on constate c'est déjà trop tard.

Perso j'en faisais avec un deny complet d'icmp.

Et comment ta machine fait pour
- savoir qu'une IP/un port n'est pas accessible ?
- faire et recevoir des pings (utile pour trouver la source la plus
rapide) ?
- savoir et faire savoir que le délai de connexion est dépassé ?
- savoir et faire savoir que le débit est trop élevé ?

Elle ne faisait pas.
Je sais, monsieur RFC va surement me fouetter et me faire subir les
pires tortures pour ces manquements.

Mais si tu as ce type de paquet dans tes logs ton fw ne doit pas être
très bien configuré.
Ne fais pas de "reject" des services non autorisés en entrée, préfère
un "deny".

J'ai pas la possibilité de le configurer. Mais il me semble, d'après des
tests en ligne que j'ai fait, que Kerio PF est en mode 'stealth", et
donc ne renvoie rien quand il refuse un paquet. Je pense que les
'destination unreachable' sortants que j'ai dans mon log, trop peu
nombreux pour être des refus du firewall, viennent en fait de réponses
de mon poste à des demandes de connexion p2p, qui parviennent un temps
encore après la fermeture de l'application.

Possible. A vérifier

En effet, ces paquets
servent aussi à signaler qu'un port n'est pas ouvert.

Toutafait.
Et tu ne conclus rien de cette affirmation ?

Je vais donc les autoriser en sortie également.

A toi de voir.

Plus généralement, ma configuration vous paraît-elle correcte ?

Il nous faudrait la liste complète de tes règles pour juger.

Je parlais de ma config pour ICMP, et elle est toute là.

Perso je ne l'installerai pas chez moi.

ddevil nous disait récement dans fr.comp.securite
<news:180d162b.0309290217.7786e29b@posting.google.com> :

Stephane Faure <mysterion@alussinan.org> wrote in message

Perso j'en faisais avec un deny complet d'icmp.
Et comment ta machine fait pour

- savoir qu'une IP/un port n'est pas accessible ?
- faire et recevoir des pings (utile pour trouver la source la
plus rapide) ?
- savoir et faire savoir que le délai de connexion est dépassé ?
- savoir et faire savoir que le débit est trop élevé ?

Elle ne faisait pas.
Je sais, monsieur RFC va surement me fouetter et me faire subir
les pires tortures pour ces manquements.

Ce n'est pas que monsieur RFC ne sera pas content, mais en filtrant
les messages ICMP d'erreurs, ton navigateur (et en fait tout tes
clients réseau) vont pédaler dans le vide à la moindre erreur, et tu ne
sauras pas pourquoi. Maintenant, si tu préfères "surfer" à
l'aveuglette, cela reste ton choix.


--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry

ddevil, in <180d162b.0309290217.7786e29b@posting.google.com> :

Généralement quand on constate c'est déjà trop tard.

Très rarement, quand on est prudent, ou qu'on a un firewall bien
configuré ou un antivirus (même non permanent). En 5 ans d'Internet par
RTC, les seuls problèmes que j'ai connus ont été les spywares, et les
virus, que je n'ai jamais ouverts. Et les lenteurs...

Et comment ta machine fait pour
- savoir qu'une IP/un port n'est pas accessible ?
- faire et recevoir des pings (utile pour trouver la source la plus
rapide) ?
- savoir et faire savoir que le délai de connexion est dépassé ?
- savoir et faire savoir que le débit est trop élevé ?

Elle ne faisait pas.
Je sais, monsieur RFC va surement me fouetter et me faire subir les
pires tortures pour ces manquements.

C'est surtout que tu devais y perdre en performances, vu que ta machine
devait attendre son propre timeout plutôt que d'apprendre par ICMP
qu'une connexion était impossible. Et réciproquement.

Je pense que les
'destination unreachable' sortants que j'ai dans mon log, trop peu
nombreux pour être des refus du firewall, viennent en fait de réponses
de mon poste à des demandes de connexion p2p, qui parviennent un temps
encore après la fermeture de l'application.

Possible. A vérifier

Ca n'est pas ça en fait, je viens de remarquer que presque tous ces
paquets sont envoyés à mes DNS. A quoi cela sert-il ?
Par ailleurs, Kerio est sensé bloquer les paquets qui arrivent sur un
port non ouvert, donc ne pas générer de réponse.

Autre curiosités, j'ai eu quelques tentatives de connexion par le port
1214 (utilisé normalement par Kazaa) sur mon proxy local, qui écoute sur
un autre port (et uniquement en provenance de 127.0.0.1). J'ai aussi eu
des tentatives de connexion sur son véritable port d'écoute, venant de
mailgate.pegasus-internet.net et de 216.82.127.46. Un testeur de proxy
ouvert ? Une tentative de détournement ?

En effet, ces paquets
servent aussi à signaler qu'un port n'est pas ouvert.

Toutafait.
Et tu ne conclus rien de cette affirmation ?

Qu'il faut les autoriser pour éviter des ralentissements et l'envoi
d'autres paquets inutiles ?

Je parlais de ma config pour ICMP, et elle est toute là.

Perso je ne l'installerai pas chez moi.

J'espère que vous ne reprochez pas à Sarkozy sa politique
(pseudo-)sécuritaire...

--
Pour moi Dieu c'est les hommes, et un jour ils le sauront.
Jacques Brel

Stephane Catteau <steph.nospam@sc4x.net> wrote in message news:<bl9rp6.3vv3n5d.1@sc4x.org>...

ddevil nous disait récement dans fr.comp.securite
<news:180d162b.0309290217.7786e29b@posting.google.com> :

Stephane Faure <mysterion@alussinan.org> wrote in message

Perso j'en faisais avec un deny complet d'icmp.
Et comment ta machine fait pour

- savoir qu'une IP/un port n'est pas accessible ?
- faire et recevoir des pings (utile pour trouver la source la
plus rapide) ?
- savoir et faire savoir que le délai de connexion est dépassé ?
- savoir et faire savoir que le débit est trop élevé ?

Elle ne faisait pas.
Je sais, monsieur RFC va surement me fouetter et me faire subir
les pires tortures pour ces manquements.

Ce n'est pas que monsieur RFC ne sera pas content, mais en filtrant
les messages ICMP d'erreurs, ton navigateur (et en fait tout tes
clients réseau) vont pédaler dans le vide à la moindre erreur, et tu ne
sauras pas pourquoi. Maintenant, si tu préfères "surfer" à
l'aveuglette, cela reste ton choix.

Je sais bien.
Mais à l'époque je découvrais tfn et du coup j'avais très très peur d'icmp.
Maintenant ça va beaucoup mieux, j'ai appris à maitriser mes craintes.

Stephane Faure <mysterion@alussinan.org> wrote in message news:<MPG.19e293507ec1f5fb98a679@news.free.fr>...

ddevil, in <180d162b.0309290217.7786e29b@posting.google.com> :

Généralement quand on constate c'est déjà trop tard.

Très rarement, quand on est prudent, ou qu'on a un firewall bien
configuré ou un antivirus (même non permanent). En 5 ans d'Internet par
RTC, les seuls problèmes que j'ai connus ont été les spywares, et les
virus, que je n'ai jamais ouverts. Et les lenteurs...

Et comment ta machine fait pour
- savoir qu'une IP/un port n'est pas accessible ?
- faire et recevoir des pings (utile pour trouver la source la plus
rapide) ?
- savoir et faire savoir que le délai de connexion est dépassé ?
- savoir et faire savoir que le débit est trop élevé ?

Elle ne faisait pas.
Je sais, monsieur RFC va surement me fouetter et me faire subir les
pires tortures pour ces manquements.

C'est surtout que tu devais y perdre en performances, vu que ta machine
devait attendre son propre timeout plutôt que d'apprendre par ICMP
qu'une connexion était impossible. Et réciproquement.

C'est sûr !

Je pense que les
'destination unreachable' sortants que j'ai dans mon log, trop peu
nombreux pour être des refus du firewall, viennent en fait de réponses
de mon poste à des demandes de connexion p2p, qui parviennent un temps
encore après la fermeture de l'application.

Possible. A vérifier

Ca n'est pas ça en fait, je viens de remarquer que presque tous ces
paquets sont envoyés à mes DNS. A quoi cela sert-il ?

Je ne saurais te dire.
Quand tu dis "mes DNS" tu veux parler des DNS de ton provider ?
Quel est le port précisé dans les messages "destination unreachable" ?
A moins que ce ne soient pas des "port unreachable".
Le plus simplement est peut-être que tu copies ici quelques lignes de
ton log.

Par ailleurs, Kerio est sensé bloquer les paquets qui arrivent sur un
port non ouvert, donc ne pas générer de réponse.

Oui donc tout laisse à penser que la requête est bien autorisée en
entrée, arrive sur ton pc, il la refuse et renvoie un icmp qui lui est
bloqué par ton fw.

Autre curiosités, j'ai eu quelques tentatives de connexion par le port
1214 (utilisé normalement par Kazaa) sur mon proxy local, qui écoute sur
un autre port (et uniquement en provenance de 127.0.0.1). J'ai aussi eu
des tentatives de connexion sur son véritable port d'écoute, venant de
mailgate.pegasus-internet.net et de 216.82.127.46. Un testeur de proxy
ouvert ? Une tentative de détournement ?

Si toutes ses connexions arrivent c'est bien qu'elles sont autorisés.
Essaie d'être plus restrictif sur ton fw.

En effet, ces paquets
servent aussi à signaler qu'un port n'est pas ouvert.

Toutafait.
Et tu ne conclus rien de cette affirmation ?

Qu'il faut les autoriser pour éviter des ralentissements et l'envoi
d'autres paquets inutiles ?

Oui, ou qu'il faut les refuser pour éviter de se faire scanner
correctement.

Je parlais de ma config pour ICMP, et elle est toute là.

Perso je ne l'installerai pas chez moi.

J'espère que vous ne reprochez pas à Sarkozy sa politique
(pseudo-)sécuritaire...

Non, d'ailleurs je me suis installé un petit Sarkowall personnel il y
a quelques mois. Il me fait de belles stats avec pleins de chiffres et
en plus son éditeur prévoit pleins de nouvelles fonctions bientôt.

ddevil, in <180d162b.0309300447.2bd68e28@posting.google.com> :

Quand tu dis "mes DNS" tu veux parler des DNS de ton provider ?

Oui, ceux de Free en RTC. Mais ça change quoi ?

Quel est le port précisé dans les messages "destination unreachable" ?
A moins que ce ne soient pas des "port unreachable".

Rien n'est précisé.

Le plus simplement est peut-être que tu copies ici quelques lignes de
ton log.

En voici quelques extraits :

======================================================================= 1,[03/Aug/2003 03:19:34] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [212.27.32.5], Owner: Tcpip
Kernel Driver
1,[03/Aug/2003 03:21:04] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [212.27.32.5], Owner: Tcpip
Kernel Driver
1,[03/Aug/2003 03:21:42] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [212.27.32.5], Owner: Tcpip
Kernel Driver
[...]
1,[22/Aug/2003 02:53:42] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [213.228.0.168], Owner: Tcpip
Kernel Driver
1,[22/Aug/2003 02:55:26] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [212.27.32.5], Owner: Tcpip
Kernel Driver
1,[22/Aug/2003 02:55:26] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [213.228.0.168], Owner: Tcpip
Kernel Driver
[...]
1,[20/Sep/2003 22:19:34] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [212.27.33.19], Owner: Tcpip
Kernel Driver
1,[21/Sep/2003 01:37:12] Rule 'Other ICMP': Blocked: Out ICMP [3]
Destination Unreachable, localhost->(null) [66.218.70.34], Owner: Tcpip
Kernel Driver
=======================================================================
212.27.32.5 et 213.228.0.168 sont respectivement les DNS primaire et
secondaire de Free en RTC. 212.27.33.19 est la machine avec laquelle le
numéroteur de Free met sa liste de numéros à jour. Et 66.218.70.34 est
v13.vc.scd.yahoo.com, et j'ignore exactement à quoi ça correspond, même
si je surfe souvent sur les groupes Yahoo. Rien de méchant, en
apparence.

Je viens d'essayer d'analyser les trames avec Ethereal 0.9.12, mais il
plante très fréquemment avec le pilote de ma carte graphique, et je ne
sais pas comment configurer les filtres.

Autre curiosités, j'ai eu quelques tentatives de connexion par le port
1214 (utilisé normalement par Kazaa) sur mon proxy local, qui écoute sur
un autre port (et uniquement en provenance de 127.0.0.1). J'ai aussi eu
des tentatives de connexion sur son véritable port d'écoute, venant de
mailgate.pegasus-internet.net et de 216.82.127.46. Un testeur de proxy
ouvert ? Une tentative de détournement ?

Si toutes ses connexions arrivent c'est bien qu'elles sont autorisés.

Non, elles sont juste enregistrées dans le log comme étant bloquées.

En effet, ces paquets
servent aussi à signaler qu'un port n'est pas ouvert.

Toutafait.
Et tu ne conclus rien de cette affirmation ?

Qu'il faut les autoriser pour éviter des ralentissements et l'envoi
d'autres paquets inutiles ?

Oui, ou qu'il faut les refuser pour éviter de se faire scanner
correctement.

S'il s'agit de dire qu'un port n'est PAS ouvert, je ne vois pas où est
le problème.

Non, d'ailleurs je me suis installé un petit Sarkowall personnel il y
a quelques mois. Il me fait de belles stats avec pleins de chiffres et
en plus son éditeur prévoit pleins de nouvelles fonctions bientôt.

Y a-t-il au moins une icône Sarko dans le tray qui clignote quand un
sauvageon attaque la machine ?

--
Pour moi Dieu c'est les hommes, et un jour ils le sauront.
Jacques Brel