9box 4 v2 et protection réseau sous debian (et W$)

Le
philippe monroux
Bonjour,

J'ai un réseau perso composé de 3 machines debian et 1 W$

Pour quelques jours encore je suis connecté (orange) par un routeur
speedtouch 510 et mon réseau est protégé en aval du routeur par une
soekris net4801 sur lequel j'ai installé un bridge firewall
transparent (à l'aide de shorewall et d'une petite distro basée sur
debian sarge trouvée à:
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).

Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections car il va falloir
que je revoie toutes mes adresses IP en interne et c'est difficile à
maintenir (j'ai installé ç il y a +ieurs années et c dur de s'y
replonger)

RENSEIGNEMENT UTILE :
JE NE PROPOSE POUR L'INSTANT AUCUN SERVICE (PAS DE SITE WEB ETC)
POUR L'EXTÉRIEUR.

Merci pour vos conseils.


--
Philippe Monroux

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20101227071020.GA18162@mondomaine
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #22961231
On Mon, 27 Dec 2010 11:10:20 +0400, philippe monroux

J'ai un réseau perso composé de 3 machines debian et 1 W$

Pour quelques jours encore je suis connecté (orange) par un route ur
speedtouch 510 et mon réseau est protégé en aval du rou teur par une
soekris net4801 sur lequel j'ai installé un bridge firewa ll
transparent (à l'aide de shorewall et d'une petite distro basà ©e sur
debian sarge trouvée à:
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).



Bonne ch'tite install (encore meilleure si la Soekris a un daemon uPnP
installé.)

Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais



Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas
faire les choses suivantes:
* l'appelant laisse un msg,
* tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route,
* tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été
effacé.
Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la bo x :(

Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full
disclosure comme celui de la v1 si tu veux t'amuser.

s'il est nécessaire de garder toutes ces protections car il va fallo ir
que je revoie toutes mes adresses IP en interne et c'est difficile à  
maintenir (j'ai installé ç il y a +ieurs années et c dur de s'y
replonger)



(Très) mauvaise excuse: c'est justement le moment de t'y replonger...

Pourquoi changer une équipe qui fonctionne bien?
(ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1):
* --soit tu changes l'adresse de la box (il me semble que les routers pourr is
de ft se mettaient en 192.168.0.1),
* ++soit, pour éviter une rupture de comm lors d'un incident, tu chang es tes
adresses IP internes:
* ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW),
* ~20s pour effectuer la même manip qu'au boot manuellement pour met tre en
place les modifs:
* ifconfig eth0 192.168.1.10
* route add default gw 192.168.1.1

Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te
faire jeter des SMTPs, profites-en pour établir ton propre serveur DNS interne.

RENSEIGNEMENT UTILE :
JE NE PROPOSE POUR L'INSTANT AUCUN SERVICE (PAS DE SITE WEB ETC...)
POUR L'EXTÉRIEUR.



ha, je croyais que http://my-name-is-junk--junk-bond.007 c'était toi :)

--
What is comedy? Comedy is the art of making people laugh without making
them puke.
-- Steve Martin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
philippe monroux
Le #22961321
De (from) (von)
> Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais

Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas
faire les choses suivantes:
* l'appelant laisse un msg,
* tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route,
* tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été
effacé.
Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la box :(



ok

Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full
disclosure comme celui de la v1 si tu veux t'amuser.



oui mais là il faudrait que j'en sois propriétaire ce qui n'est pas le
cas (On ne peut pas à la Réunion:()

> s'il est nécessaire de garder toutes ces protections car il va falloir
> blah blah
(Très) mauvaise excuse: c'est justement le moment de t'y replonger...



pour sûr mais je suis sous debian depuis une douzaine (je sais ça se
vois pas) et j'avoue que j'ai levé le pied...

Pourquoi changer une équipe qui fonctionne bien?
(ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1):



exact

* --soit tu changes l'adresse de la box (il me semble que les routers pourris
de ft se mettaient en 192.168.0.1),



je préfère pas.

* ++soit, pour éviter une rupture de comm lors d'un incident, tu changes tes
adresses IP internes:
* ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW),
* ~20s pour effectuer la même manip qu'au boot manuellement pour mettre en
place les modifs:
* ifconfig eth0 192.168.1.10
* route add default gw 192.168.1.1



Mmmmouais. Mais ma Soekris est une machine sans écran. Je m'y connecte
par ssh. J'ai bien essayé de changer tout ça (/etc/network/interfaces
et la config de shorewall) dans un terminal sur mon desktop et
évidemment la connection ssh se coupe (normal). Mais après je ne peux
pas me reconnecter à ma soekris (après avoir changé
/etc/network/interfaces de mon desktop). Ni la pinguer d'ailleurs.

Je ne sais pas où exactement je fais une erreur. Sûrement pas dans
/etc/network/interfaces. À priori non plus ds la config de shorewall en
bridge transparent puis qu'il suffit de changer mes anciennes adresses
IP (10.0.0.* en 192.168.1.*). Dans l'ordre de relance des 2
(/etc/init.d/networking restart et shorewall) donc...

Bref tout ça me prend 1 peu (beaucoup en fait) le coco. Peut-être que
j'essaierai de configurer tout ça par le port com avec un câble
null-modem au moins je n'aurai pas les coupures dues aux changement
d'IP.

Je suis également tenté d'essayer la version testing

http://gate-bunker.p6.msu.ru/~berk/debian-router/etch-router-0.5.1.tar.gz

Mais marche-t-elle ? Bref beaucoup de prise de tête (j'ai plus 20 ans)

Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te
faire jeter des SMTPs, profites-en pour établir ton propre serveur
DNS interne.



Sur quelle machine installer le dns. La soekris ? Car je suppose qu'il
n'y en a pas sur la 9B4.

Autre question : j'ai pris la 9B4 d'SFR pour augmenter ma bande
passante de 512kb (on ne rigole pas svp) à 8 Mb (j'en vois encore qui
s'esclaffent au fond) donc est-ce que ma machine soekris ne va pas m'en
bouffer un peu. Oui je sais avant c'était déjà le cas mais bon ça fait
partie de mes contradictions qui finalement on fait déguerpir ma femme
et me faire retrouver mon OS chéri.


En tout cas merci de m'aider :)

--
Dans l'enfer topologique, la bière est contenue dans des bouteilles de Klein.
ph

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #22963081
Salut,

philippe monroux a écrit :

Pour quelques jours encore je suis connecté (orange) par un routeur
speedtouch 510 et mon réseau est protégé en aval du routeur par une
soekris net4801 sur lequel j'ai installé un bridge firewall
transparent (à l'aide de shorewall et d'une petite distro basée sur
debian sarge trouvée à:
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).

Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections



La réponse dépend de la confiance que tu accordes à la box. En ce qui me
concerne, je ne fais confiance à aucune box de FAI pour assurer la
sécurité de mon réseau local : soit elles ont des backdoors permettant
une mise à jour du firmware à distance, soit elles sont carrément sous
le contrôle total et permanent du FAI, et je refuse que la sécurité de
mon réseau dépende des action d'un tiers qui peut être compromis (ça
s'est déjà vu).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
philippe monroux
Le #22963361
De (from) (von)
La réponse dépend de la confiance que tu accordes à la box. En ce qui me
concerne, je ne fais confiance à aucune box de FAI pour assurer la
sécurité de mon réseau local : soit elles ont des backdoors permettant
une mise à jour du firmware à distance, soit elles sont carrément sous
le contrôle total et permanent du FAI, et je refuse que la sécurité de
mon réseau dépende des action d'un tiers qui peut être compromis (ça
s'est déjà vu).



Une chose est certaine : tous les ports sont fermés pour l'extérieur.
Et la conversation située à :

http://forum.ubuntu-fr.org/viewtopic.php?id99418

semble indiquer qu'un pare-feu n'est pas vraiment utile.

Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.

Peu être mettrai-je un pare-feu directement sur chaque machine
(seulement si j'en voie l'utilité mais rien n'est moins sûr...).

En tout cas je vais d'abord fouiller dans le 9B4 pour voir.

Au fait pour info : le disque d'install d'SFR (qui ne sert certes
à rien) est un casper livecd ubuntu qui marche sous W$ mais qui est
inutilisable sous Linux. Un comble.

--
Philippe Monroux

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22963421
On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux



De (from) (von)
> La réponse dépend de la confiance que tu accordes à la b ox. En ce qui me
> concerne, je ne fais confiance à aucune box de FAI pour assurer la
> sécurité de mon réseau local : soit elles ont des backdo ors permettant
> une mise à jour du firmware à distance, soit elles sont carr ément sous
> le contrôle total et permanent du FAI, et je refuse que la sé curité de
> mon réseau dépende des action d'un tiers qui peut être c ompromis (ça
> s'est déjà vu).



+10

N'oublies pas le nombre impressionnant de backdoors implantées dans les
cellulaires: pourquoi une box y échapperait-elle?

Une chose est certaine : tous les ports sont fermés pour l'exté rieur.
Et la conversation située à :

http://forum.ubuntu-fr.org/viewtopic.php?id99418

semble indiquer qu'un pare-feu n'est pas vraiment utile.



Sans rentrer dans une polémique (quoique...) Trudububu n'est pas la r éférence
de sécurité; c'est plutôt Debian la référence en q uestion.

Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.



Sauf que pour une majorité de box en mode bridge, ladite box devient
totalement transparente.

Peu être mettrai-je un pare-feu directement sur chaque machine
(seulement si j'en voie l'utilité mais rien n'est moins sûr...).



Wahoo, tu supprimes une protection générale ayant vraisemblableme nt fait ses
preuves et administrable en un seul point au profit d'une multitude de
protections locales!?
Tu dois travailler dans l'administration française pour géné rer une telle
efficacité et des idées de génie multipliant la quantità © de travail par 3
(au hasard ministère du budget, celui qui déclare presque 3x moin s de
fonctionnaires qu'en réalité?)

--
A stunning blonde, but probably all bean dip above the eyebrows.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #22964791
philippe monroux a écrit :

Une chose est certaine : tous les ports sont fermés pour l'extérieur.



Cela ne signifie pas qu'il n'y a pas de backdoor.

Et la conversation située à :

http://forum.ubuntu-fr.org/viewtopic.php?id99418

semble indiquer qu'un pare-feu n'est pas vraiment utile.



Ah çà, en situation normale un pare-feu n'est pas vraiment utile. En
effet, à quoi bon bloquer l'accès à un port sur lequel rien n'écoute (ou
plutôt rien n'est censé écouter) ? C'est comme le pare-choc, les airbags
sur une automobile. On peut s'en passer tant qu'on n'a pas d'accident.

Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.



Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Freebox. Et
en bridge, elle ne filtre pas.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22964781
On Tue, 28 Dec 2010 20:12:06 +0100, Pascal Hambourg

...
Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Fr eebox. Et
en bridge, elle ne filtre pas.



La neufbox donne aussi le choix; mais s'il est en mode BRIDGE, terminé l'I/F
de contrôle (du moins jusqu'au box-reset suivant.)

--
Ego sum ens omnipotens.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
philippe monroux
Le #22965281
De (from) (von)
On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux

Sans rentrer dans une polémique (quoique...)



quoique...

Tu dois travailler dans l'administration française pour générer une telle
efficacité et des idées de génie multipliant la quantité de travail par 3
(au hasard ministère du budget, celui qui déclare presque 3x moins de
fonctionnaires qu'en réalité?)



Ahhhhhh là je ne savais pas que l'objet de la liste était la
stigmatisation d'une catégorie par une autre. J'en connais quelques
uns qui savent très bien user de ce ressort.

Adiou

--
Ce dont nous faisons l'expérience est, dans un sens métaphorique, une
inversion de la trajectoire de civilisation : nous évoluons de
cultivateur de la connaissance personnelle en cueilleurs de la forêt
de données électroniques. Dans ce processus, il semble que nous soyons
voués à sacrifier une grande partie de ce qui rend nos esprits si
intéressants. Carr Nicholas : about internet.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #22966161
Jean-Yves F. Barbier a écrit :
On Tue, 28 Dec 2010 20:12:06 +0100, Pascal Hambourg
...
Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Freebox. Et
en bridge, elle ne filtre pas.



La neufbox donne aussi le choix; mais s'il est en mode BRIDGE, terminé l'I/F
de contrôle (du moins jusqu'au box-reset suivant.)



En effet, par le plus grand des hasards je viens de mettre la main sur
une Neufbox v4 et j'ai pu examiner son interface de configuration. Je
suppose qu'en mode bridge elle se contente de relayer les trames
ethernet ou PPPoE entre ses interfaces ADSL et ethernet sans faire de
filtrage, et donc qu'il faut un équipement derrière pour établir la
session PPP et effectuer un éventuel filtrage. A noter que c'est très
différent du fonctionnement en mode non routeur (appelé familièrement
"bridge") de la Freebox.

Mon FAI n'est pas SFR mais apparemment le firmware de la Neufbox est
basé sur GNU/Linux et on peut le bricoler, il y a peut-être moyen d'en
faire quelque chose...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22966751
On Wed, 29 Dec 2010 11:18:02 +0100, Pascal Hambourg

...
En effet, par le plus grand des hasards je viens de mettre la main sur
une Neufbox v4 et j'ai pu examiner son interface de configuration. Je
suppose qu'en mode bridge elle se contente de relayer les trames
ethernet ou PPPoE entre ses interfaces ADSL et ethernet sans faire de
filtrage, et donc qu'il faut un équipement derrière pour é tablir la
session PPP et effectuer un éventuel filtrage. A noter que c'est tr ès



Farpaitement, en mode BRIDGE, elle ne se comporte plus qu'en simple MODEM
(et ça n'est même pas indiqué dans la doc, mais juste dans l eurs forums, en
fouillant bien.)

différent du fonctionnement en mode non routeur (appelé famili èrement
"bridge") de la Freebox.

Mon FAI n'est pas SFR mais apparemment le firmware de la Neufbox est
basé sur GNU/Linux et on peut le bricoler, il y a peut-être moy en d'en
faire quelque chose...



J'ai découvert cela récemment (mais ça date de 2007): il exi ste des tas de
docs, et le source est fourni directement par la Sté qui développ e le FW
officiel.

http://fr.wikipedia.org/wiki/Neufbox_de_SFR
http://www.neufbox4.org/blog/

--
DISCLAIMER:
Use of this advanced computing technology does not imply an endorsement
of Western industrial civilization.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme