Reprise du message précédent :

 
Non, rien à voir à mon avis. N'oublie pas que Kerio applique les règles de haut en bas. Tes règles DNS sont en premier, donc ça doit passer!
 
Ahhhh, yep!! Je pense à un truc. Remonte ta règle Internet Explorer pour la mettre juste en dessous des règles DNS, juste pour voir....

moi chez Tele2 j'ai mis que le range IP du 130...161 au 130...169 et pas l'autre et ça roule ( de temps en temps des pages non trouvées mais très rare)

Au fait, quand tu crées tes règles, par exemple les DNS 3 et 4, tu les mets bien au bon en droit, en les insérant??    Tu ne les mets pas à la fin bien sur!!

Bon, alors Inek, vraiment je vois pas....  C'est complètement fou ce truc!!
 
Et tu dis que losque tu les deux règles DNS pour toutes les aplications, ça marche très bien??

 
je suis sur OVH, et je confirme que la connexion se fait bien
j'ai le massage de bienvenue du FTP dans Filezilla  
ce n'est que l'ors du LIST qu ca merde un max    !
avec le firewal desactivé le resultat du LIST est presque immediat
 
gargl

 
Tu pourrais mettre un screen de tes règles?

 
ail !!!  
oui je veux bien  
juste un truc... comment faire pour mettre une image ici ????????
 
sinon pour info j'ai Kerio Personal Firewall 4.0

 
Aiiiiie, à mon tour. Je connais pas, et je veux pas connaitre. J'ai essayé une fois, et bof...Trop compliqué, trop habillé, trop "d'options" destinés à des professionnels ( La VRAIE 4.0 est payante!!) pour finalement peut-être etre pas mieux que  notre bonne vieille 2.1.5.
 
Pour info, un screen se fait en appuyant sur la touche Impr.écran de ton clavier. Et tu vas dans un soft d'image (genre le Paint de Windows suffit largement..), un Crtl+V, et tu enregistre là-chose au format que tu veux (ou que le soft peux... )
 
 

Inek, une autre idée.
(ça pourrait au moins tenter d'isoler le problème)
 
En relisant tes posts je m'aperçois d'un truc: lorsque tu as décoché les règles Deny, le Svchost.exe tentait de se connecter sur l'IP serveur au port 53.
Essaie ça.
-Tu mets les règles DNS 1 et 2 comme d'hab.
-En-dessous tu crées deux autres règles avec le processus svchost.exe, en remote 212.151.136.254:53 pour la première, et
230.244.127.161:53 pour la deuxième. Dans un premier temps t'as qu'à mettre tous type de protocole, en both, et sur tous les ports.
 
Fais tourner, et fais moi signe.
 
   

*****************************
Une MAJ a été faite:
 

• Remis le topic dans "Sécurité"

• Lien vers le patch pour la "francisation"

• Résumé des failles sécunia, dans la partie failles et limites(finalement, c'est moins grave que ce que je m'imaginais) et vous devriez être rassuré à la lecture. Les autres failles que j'ai lues concernaient la version 4..

*****************************
 je fais une copie de la MAJ sur la traduction  résumée des failles secunia:

• Faille n°SA12468: (peu critique)

Concerne un "bypass" sur le système de protection de démarrage d'applications définis dans Kerio. Cette faille a été vérifiée pour la version 4, mais pourrait exister sur les précédentes versions.

Pour exploiter cette faille, il faut le privilège administrateur. bref, un attaquant doit d'abord convaincre l'utilisateur d'executer un programme malicieux comme administrateur!!! (genre l'admin qui clique sur "superrousse.exe"    )
pour en savoir plus: http://www.security.org.sg/vuln/kerio4016.html
 

• Faille n°SA10746: (peu critique)

Elle concerne la version 2.1.5 mais a été indiquée plus haut avec la soluce! ( Elle concerne la manière dont Kerio charge le jeu de règle en nécessitant le privilège "system" ). Conseil supplémentaire: En plus du mot de passe, ne pas prêter son ordinateur a des utilisateurs peu digne de confiance (généralement une grosse faille dans la sécurité).
 

• Faille n°SA8682: (très critique)

Ne concerne que la version 2.1.4 et antérieure.. donc on n'est pas concerné! Cependant, pour expliquer brièvement, il s'agissait d'une faille lié à la fonction d'administration à distance de Kerio. Il fallait se connecter à l'interface de contrôle a distance ( c'était faisable à condition d'être en mesure de "monitorer" les paquets entre l'admin et le firewall afin de pouvoir executer un "replay" de ces paquets et il fallait le monitorer à une session où l'admin désactive ses règles!! (bref dans les semaines de 4 jeudis ) . La soluce consiste à désactiver l'admin à distance de Kerio pour ces versions.
 

• Faille n°SA8663 : (pas critique)

N'est pas considéré comme critique par sécunia, mais perso, je la trouve gênante pour plusieurs raisons:
- la première est qu'elle concerne notre version 2.1.5 puisque toute les versions avant la 4.1.0 sont concernés et que le fix (patch) n'a été que pour cette version et les versions postérieures.
- Qu'on apprend qu'il serait possible à une personne malveillante de "spoofer" le port 53 pour communiquer avec des services 'systèmes' en écoute sur le protocole UDP (nécessite quand même de faire un scan des ports, mais la règle par défaut de Kerio permettait TOUT traffic UDP entrant sur le port 53)  - nota : d'où à priori l'importance de ne pas mettre "toute appli" dans les règles pour les DNS -
Le fix de la société a été d'appliquer un "stateful inspection" (analyse dynamique) sur les paquets UDP et d'autres protocoles IP, pour corriger le problème!  
> D'où tout a coup un doute m'assaille pour notre version 2.1.5, car dans le fichier help, il est juste écrit que la méthode principale est le "stateful inspection", mais ne précise pas sur quels paquets s'effectue l'analyse dynamique. Si cela s'averrait qu'ils n'ont implémenté l'analyse dynamique (c'est à dire d'effectuer un suivi des trames)  sur l'UDP qu'a partir de la 4.1, alors cela pourrait expliquer pourquoi il y a une lenteur d'affichage des pages web à cause d'un moins bon suivi des retours DNS..(?)
 
*****************************
 
Ramkin et merci pour ton aide.. je regardais les posts hier soir pendant que je faisais les tests et ça m'aide pas mal( non, non, on ne vous as pas abandonné.. ) .  
 
Pour répondre a plusieurs des questions:
> Concernant les règles DNS, c'est bien celles-là que j'utilise (wifi et boulot, celle du provider adsl était celui d'un fournisseur finlandais que j'ai laissé à titre d'exemple), mais je sais qu'il y a justement là quelquechose à améliorer: parceque j'ai le même problême que vous. C'est à dire que  si je n'ai quand même pas l'erreur de page introuvable (certainement dû à un délai d'expiration trop long), j'ai tout de même un ralentissement conséquent dans l'affichage des pages par rapport à un surf normal sans firewall, et si je commence à avoir des éléments de réponses (voir l'hypothèse du doute qui m'assaille en faille 4 sécunia de la MAJ ainsi que les tests ci-dessous), il me reste encore à comprendre si c'est lié au moteur d'analyse de Kerio, aux retours des DNS FAI, de la nécessité d'accepter l'accès aux DLL, ou autre chose..
 
>le loopback ne servirait, je pense, que dans le cas où tu aurais préalablement configuré un fichier localhost avec des adresses IP > noms de domaines et cela accélerait la recherche. Mais effectivement, en désactivant la règle, ça ne va pas plus vite , ni moins vite. Si le navigateur tente de verifier le localhost, c'est dans ce but il me semble.
 
>Concernant le DHCP.
Un FAI possède normalement un serveur DHCP pour t'attribuer dynamiquement une adresse IP. Cependant dans mes logs, sur une heure de surf wifi, il n'y a pas d'autres tentatives de connexions sur le port 68 en UDP.. (faudrait que je teste sur un réseau non wifi pour voir si c'est également le cas), mais peut-être ton FAI communique t'il au 'service.exe' à effectuer ces connexions répétés au cas où ton adresse IP attribuée change ? ou bien est-ce le service XP qui est différent de 2000 ? Là je ne sais pas trop. Tu as décoché la règle avant de te connecter, ou l'as tu fait après connexion ?  
 
 
 
J'ai fait les tests suivants sur le reseau wifi meteor:
 
- passage des règles DNS en "toute application"  (donc "no-owner" accepté !).
même observation que minipouss. Ca ne va pas plus vite.
 
- Activation de la règle INBOUND du navigateur. Même chose. Pas plus rapide.
 
- Désactivation du firewall (en gardant la connexion), bah pareil! même vitesse que précédemment. (Il faut que je refasse ce test sur une nouvelle connexion)
 
 
En analysant mes logs , je remarquai les tentatives continue d'un autre serveur sur le port 2313. J'ai découvert un protocole que je ne connaissais pas : l'IAPP.
C'est propre aux réseaux Wifi avec plusieurs bornes:

 
- cependant, même en créant une règle DNS inbound spécifique sur ce port en UDP, cela n'amena rien en terme de vitesse de surf.  
 
Je suis donc toujours au point mort, mais avec d'autres recherches a faire.  
 
 
 
>El muchacho. merci pour les applis.. je vais regarder ça ce week-end.

 
 
ça marche comment si tu autorises "generic host process" en "out" ?
 
 

un forum consacré a kerio :
 
http://www.dslreports.com/forum/kerio
 
 

 
Actuellement cette règle est décochée en permanence. Je n'ai pas eu de demande depuis un moment. Par contre je l'ai déjà laissé passer au tout début. Mais depuis une semaine, c'est décochée et pas de demande. Donc c'est peut-être pas utile pour une connexion ADSL, ou alors juste une fois..?    
Et oui je suis sous 2000 Pro, donc là aussi, suivant les système, doit y avoir des différences de fonctionnement.
 
 
Inek. Quand tu dis: Quand jautorise il me demande sans cesse pour chaque nouveau site une regle pour le programme svchost.exe sur le port 53 avec differentes IP.
Ca veut dire qu'en authorisant à chaque fois tu arrives à naviguer?

Ramkin> euh non, je suis aussi sous 2000pro donc pas de différence avec moi. Je vais faire un test ce soir en restaurant une Image DD pour être sûr que l'info n'est pas écrite dans le registre ou une DLL, et  décocher cette règle pour voir si on peut être attribué une adresse IP via l'UDP sur un autre port. Sinon il va falloir que j'approfondisse mon sujet sur l'attribution des IP par les FAI .
 
Van Lock> merci pour le lien, car j'ai l'impression que le forum sur le site officiel est en train de mourir  

 
Tiens, moi aussi, je compte reformater proprement d'ici une semaine, et faire une image bien propre avant toute connexion.  
 
Je "crois" quand même me rappeller que cette connexion UDP du services.exe sur le local 67 et en remote 68 (la règle DHCP, donc...) était réclamée assez souvent. Du genre tellement souvent que je l'ai laissé passer.
 
Donc ça pourrait être ça: néscessité d'une première connexion en UDP sur ces ports, genre pour vérification, et après basta...  
 
A suivre...
 
 

Inek, tu voudrais pas répondre à la question que je t'ai posé? Je veux bien essayer de t'aider mais tu zappes pas mal de choses dans les posts que j'écris...

Inek:
 
Bon, à priori, c'est nescessaire pour toi d'authoriser le processus svchost.exe. Laisse moi deviner, tu serais pas sous Windows XP par hasard??  
 
Donc ça va être prise de tête au début mais il faut que tu y passes...
 
Donc tu vas effacer toutes tes règles, et tu vas en créer seulement :
- les 2 règles DNS déjà écrites:
- la règle IE déjà écrite
 
Tu laisses en Ask me first et tu te connectes:
1) Lorsque le svchost.exe tente de se connecter sur le port 53 tu customises la règle (le bouton customize, en bas de la fenêtre d'alerte) en choisissant:
-tous les ports locaux
-juste l'adresse IP indiquée
-uniquement le port distant 53
Tu fais OK, tu coches customiser, et clic sur Permit
 
2) Pour le reste, tu refuses simplement. Si certains t'ennuient vraiment trop (je pense à SYSTEM, mstask...) crée carrément une règle de refus, pour qu'ils ne t'ennuie plus le temps de peaufiner tout ça
 
Fais ça un moment, pour avoir une petite dizaine de règle sur le svchost.
Si ça marche comme ça, tu regardes ensuite les règles que tu as créé

pour les ports distants tu peux restreindre à
 
80 http
443 https
 
et 20,21 FTP

Ah beh voilà, nondidju!!! Enfin ça marche!    
 
T'as encore pas répondu à ma question Inek, je vais me facher!!    
C'est quoi ton système d'exploitation??
 
Parce que ce que je vois de très intéressant, c'est que comparé à mes règles de bases:
 

 
on voit que mes règles DNS 3 et 4 correspondent à tes règles Generic Host Process, avec cette même IP qui est l'IP des serveurs tele2 sauf les 3 derniers chiffres . Sauf que moi cest le services.exe et toi svchost.exe.
Donc c'est pour ça que j'aimerais bien savoir si tu es sous XP!!    
 
DONC, mon esprit affuté et vif me laisse à penser que tu pourrais peut-être restreindre ces 4 règles aux seuls ports locaux 1024-5000, comme pour les règles DNS. C'est toujours ça de pris.
Par contre, au lieu de faire ces 4 règles, tu pourrais peut-être n'en faire que deux en les mettant en Both..Ca fera du ménage.
 
Pout Firefox aussi tu peux (tu dois...) te limiter au port distant 80

Ca navigue?

Bon beh, voilà...  Je trouve ça pas mal effectivement.
 
En plus on vient d'apprendre une différence de fonctionnement entre 2000 et XP.
 
Alors maintenant je crois qu'on en est au même stade. En gros je ne laisse rien d'autre passer. Il n'y a que Filezilla qui a certaines permissions.
Par contre tu as du remarquer que Firefox (ainsi que Thunderbird) faisait assez souvent des requètes TCP sur le port 127.0.0.1, ce qui correspond à la fameuse règle du Loopback. Jusqu'à présent j'ai toujours refuser en attendant d'en savoir plus...( serveur?? ).
 
De même le services.exe fait toujours de temps en temps une demande de sortie vers 255.255.255.255: [68] sur le port local 67. (une requète DHCP???). Moi je refuse, mais c'est par esprit de contrariété uniquement.  

 
Moi tout ce qui est SYSTEM je refuse.  

Non, j'ai rajouté des Deny à chaque fois pour ce genre de processus windows. En fait le "Bloque tout" est décochée car je regarde ce qui se passe pour l'instant.

 
Inek!!! Tu lis pas les posts!!  Regarde au tout début du post ce qu'a écrit serveur. C'est pour le ping.
 
Pour faire court, si tu sais pas ce que c'est, t'en as pas besoin. Tu peux bloquer tout ce qui est protocole ICMP.