J'ai un réseau perso composé de 3 machines debian et 1 W$
Pour quelques jours encore je suis connecté (orange) par un route ur
speedtouch 510 et mon réseau est protégé en aval du rou teur par une
soekris net4801 sur lequel j'ai installé un bridge firewa ll
transparent (à l'aide de shorewall et d'une petite distro basà ©e sur
debian sarge trouvée à :
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).
Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections car il va fallo ir
que je revoie toutes mes adresses IP en interne et c'est difficile Ã
maintenir (j'ai installé ç il y a +ieurs années et c dur de s'y
replonger)
RENSEIGNEMENT UTILE :
JE NE PROPOSE POUR L'INSTANT AUCUN SERVICE (PAS DE SITE WEB ETC...)
POUR L'EXTÃRIEUR.
J'ai un réseau perso composé de 3 machines debian et 1 W$
Pour quelques jours encore je suis connecté (orange) par un route ur
speedtouch 510 et mon réseau est protégé en aval du rou teur par une
soekris net4801 sur lequel j'ai installé un bridge firewa ll
transparent (à l'aide de shorewall et d'une petite distro basà ©e sur
debian sarge trouvée à :
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).
Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections car il va fallo ir
que je revoie toutes mes adresses IP en interne et c'est difficile Ã
maintenir (j'ai installé ç il y a +ieurs années et c dur de s'y
replonger)
RENSEIGNEMENT UTILE :
JE NE PROPOSE POUR L'INSTANT AUCUN SERVICE (PAS DE SITE WEB ETC...)
POUR L'EXTÃRIEUR.
J'ai un réseau perso composé de 3 machines debian et 1 W$
Pour quelques jours encore je suis connecté (orange) par un route ur
speedtouch 510 et mon réseau est protégé en aval du rou teur par une
soekris net4801 sur lequel j'ai installé un bridge firewa ll
transparent (à l'aide de shorewall et d'une petite distro basà ©e sur
debian sarge trouvée à :
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).
Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections car il va fallo ir
que je revoie toutes mes adresses IP en interne et c'est difficile Ã
maintenir (j'ai installé ç il y a +ieurs années et c dur de s'y
replonger)
RENSEIGNEMENT UTILE :
JE NE PROPOSE POUR L'INSTANT AUCUN SERVICE (PAS DE SITE WEB ETC...)
POUR L'EXTÃRIEUR.
> Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas
faire les choses suivantes:
* l'appelant laisse un msg,
* tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route,
* tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été
effacé.
Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la box :(
Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full
disclosure comme celui de la v1 si tu veux t'amuser.
> s'il est nécessaire de garder toutes ces protections car il va falloir
> blah blah
(Très) mauvaise excuse: c'est justement le moment de t'y replonger...
Pourquoi changer une équipe qui fonctionne bien?
(ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1):
* --soit tu changes l'adresse de la box (il me semble que les routers pourris
de ft se mettaient en 192.168.0.1),
* ++soit, pour éviter une rupture de comm lors d'un incident, tu changes tes
adresses IP internes:
* ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW),
* ~20s pour effectuer la même manip qu'au boot manuellement pour mettre en
place les modifs:
* ifconfig eth0 192.168.1.10
* route add default gw 192.168.1.1
Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te
faire jeter des SMTPs, profites-en pour établir ton propre serveur
DNS interne.
> Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas
faire les choses suivantes:
* l'appelant laisse un msg,
* tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route,
* tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été
effacé.
Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la box :(
Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full
disclosure comme celui de la v1 si tu veux t'amuser.
> s'il est nécessaire de garder toutes ces protections car il va falloir
> blah blah
(Très) mauvaise excuse: c'est justement le moment de t'y replonger...
Pourquoi changer une équipe qui fonctionne bien?
(ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1):
* --soit tu changes l'adresse de la box (il me semble que les routers pourris
de ft se mettaient en 192.168.0.1),
* ++soit, pour éviter une rupture de comm lors d'un incident, tu changes tes
adresses IP internes:
* ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW),
* ~20s pour effectuer la même manip qu'au boot manuellement pour mettre en
place les modifs:
* ifconfig eth0 192.168.1.10
* route add default gw 192.168.1.1
Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te
faire jeter des SMTPs, profites-en pour établir ton propre serveur
DNS interne.
> Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas
faire les choses suivantes:
* l'appelant laisse un msg,
* tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route,
* tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été
effacé.
Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la box :(
Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full
disclosure comme celui de la v1 si tu veux t'amuser.
> s'il est nécessaire de garder toutes ces protections car il va falloir
> blah blah
(Très) mauvaise excuse: c'est justement le moment de t'y replonger...
Pourquoi changer une équipe qui fonctionne bien?
(ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1):
* --soit tu changes l'adresse de la box (il me semble que les routers pourris
de ft se mettaient en 192.168.0.1),
* ++soit, pour éviter une rupture de comm lors d'un incident, tu changes tes
adresses IP internes:
* ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW),
* ~20s pour effectuer la même manip qu'au boot manuellement pour mettre en
place les modifs:
* ifconfig eth0 192.168.1.10
* route add default gw 192.168.1.1
Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te
faire jeter des SMTPs, profites-en pour établir ton propre serveur
DNS interne.
Pour quelques jours encore je suis connecté (orange) par un routeur
speedtouch 510 et mon réseau est protégé en aval du routeur par une
soekris net4801 sur lequel j'ai installé un bridge firewall
transparent (à l'aide de shorewall et d'une petite distro basée sur
debian sarge trouvée à:
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).
Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections
Pour quelques jours encore je suis connecté (orange) par un routeur
speedtouch 510 et mon réseau est protégé en aval du routeur par une
soekris net4801 sur lequel j'ai installé un bridge firewall
transparent (à l'aide de shorewall et d'une petite distro basée sur
debian sarge trouvée à:
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).
Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections
Pour quelques jours encore je suis connecté (orange) par un routeur
speedtouch 510 et mon réseau est protégé en aval du routeur par une
soekris net4801 sur lequel j'ai installé un bridge firewall
transparent (à l'aide de shorewall et d'une petite distro basée sur
debian sarge trouvée à:
http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ).
Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais
s'il est nécessaire de garder toutes ces protections
La réponse dépend de la confiance que tu accordes à la box. En ce qui me
concerne, je ne fais confiance à aucune box de FAI pour assurer la
sécurité de mon réseau local : soit elles ont des backdoors permettant
une mise à jour du firmware à distance, soit elles sont carrément sous
le contrôle total et permanent du FAI, et je refuse que la sécurité de
mon réseau dépende des action d'un tiers qui peut être compromis (ça
s'est déjà vu).
La réponse dépend de la confiance que tu accordes à la box. En ce qui me
concerne, je ne fais confiance à aucune box de FAI pour assurer la
sécurité de mon réseau local : soit elles ont des backdoors permettant
une mise à jour du firmware à distance, soit elles sont carrément sous
le contrôle total et permanent du FAI, et je refuse que la sécurité de
mon réseau dépende des action d'un tiers qui peut être compromis (ça
s'est déjà vu).
La réponse dépend de la confiance que tu accordes à la box. En ce qui me
concerne, je ne fais confiance à aucune box de FAI pour assurer la
sécurité de mon réseau local : soit elles ont des backdoors permettant
une mise à jour du firmware à distance, soit elles sont carrément sous
le contrôle total et permanent du FAI, et je refuse que la sécurité de
mon réseau dépende des action d'un tiers qui peut être compromis (ça
s'est déjà vu).
De (from) (von) :
> La réponse dépend de la confiance que tu accordes à la b ox. En ce qui me
> concerne, je ne fais confiance à aucune box de FAI pour assurer la
> sécurité de mon réseau local : soit elles ont des backdo ors permettant
> une mise à jour du firmware à distance, soit elles sont carr ément sous
> le contrôle total et permanent du FAI, et je refuse que la sé curité de
> mon réseau dépende des action d'un tiers qui peut être c ompromis (ça
> s'est déjà vu).
Une chose est certaine : tous les ports sont fermés pour l'exté rieur.
Et la conversation située à :
http://forum.ubuntu-fr.org/viewtopic.php?id99418
semble indiquer qu'un pare-feu n'est pas vraiment utile.
Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.
Peu être mettrai-je un pare-feu directement sur chaque machine
(seulement si j'en voie l'utilité mais rien n'est moins sûr...).
De (from) (von) <pascal.mail@plouf.fr.eu.org> :
> La réponse dépend de la confiance que tu accordes à la b ox. En ce qui me
> concerne, je ne fais confiance à aucune box de FAI pour assurer la
> sécurité de mon réseau local : soit elles ont des backdo ors permettant
> une mise à jour du firmware à distance, soit elles sont carr ément sous
> le contrôle total et permanent du FAI, et je refuse que la sé curité de
> mon réseau dépende des action d'un tiers qui peut être c ompromis (ça
> s'est déjà vu).
Une chose est certaine : tous les ports sont fermés pour l'exté rieur.
Et la conversation située à :
http://forum.ubuntu-fr.org/viewtopic.php?id=399418
semble indiquer qu'un pare-feu n'est pas vraiment utile.
Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.
Peu être mettrai-je un pare-feu directement sur chaque machine
(seulement si j'en voie l'utilité mais rien n'est moins sûr...).
De (from) (von) :
> La réponse dépend de la confiance que tu accordes à la b ox. En ce qui me
> concerne, je ne fais confiance à aucune box de FAI pour assurer la
> sécurité de mon réseau local : soit elles ont des backdo ors permettant
> une mise à jour du firmware à distance, soit elles sont carr ément sous
> le contrôle total et permanent du FAI, et je refuse que la sé curité de
> mon réseau dépende des action d'un tiers qui peut être c ompromis (ça
> s'est déjà vu).
Une chose est certaine : tous les ports sont fermés pour l'exté rieur.
Et la conversation située à :
http://forum.ubuntu-fr.org/viewtopic.php?id99418
semble indiquer qu'un pare-feu n'est pas vraiment utile.
Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.
Peu être mettrai-je un pare-feu directement sur chaque machine
(seulement si j'en voie l'utilité mais rien n'est moins sûr...).
Une chose est certaine : tous les ports sont fermés pour l'extérieur.
Et la conversation située à :
http://forum.ubuntu-fr.org/viewtopic.php?id99418
semble indiquer qu'un pare-feu n'est pas vraiment utile.
Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.
Une chose est certaine : tous les ports sont fermés pour l'extérieur.
Et la conversation située à :
http://forum.ubuntu-fr.org/viewtopic.php?id99418
semble indiquer qu'un pare-feu n'est pas vraiment utile.
Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.
Une chose est certaine : tous les ports sont fermés pour l'extérieur.
Et la conversation située à :
http://forum.ubuntu-fr.org/viewtopic.php?id99418
semble indiquer qu'un pare-feu n'est pas vraiment utile.
Je ne sais pas exactement ce que je vais faire au niveau
filtrage. Par contre je vais retirer bon bridge firewallant car cela
fait double emploi puisque la box est déjà un bridge.
Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Fr eebox. Et
en bridge, elle ne filtre pas.
Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Fr eebox. Et
en bridge, elle ne filtre pas.
Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Fr eebox. Et
en bridge, elle ne filtre pas.
On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux
wrote:
Sans rentrer dans une polémique (quoique...)
Tu dois travailler dans l'administration française pour générer une telle
efficacité et des idées de génie multipliant la quantité de travail par 3
(au hasard ministère du budget, celui qui déclare presque 3x moins de
fonctionnaires qu'en réalité?)
On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux
<junkbond07@gmail.comREMOVESPAM> wrote:
Sans rentrer dans une polémique (quoique...)
Tu dois travailler dans l'administration française pour générer une telle
efficacité et des idées de génie multipliant la quantité de travail par 3
(au hasard ministère du budget, celui qui déclare presque 3x moins de
fonctionnaires qu'en réalité?)
On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux
wrote:
Sans rentrer dans une polémique (quoique...)
Tu dois travailler dans l'administration française pour générer une telle
efficacité et des idées de génie multipliant la quantité de travail par 3
(au hasard ministère du budget, celui qui déclare presque 3x moins de
fonctionnaires qu'en réalité?)
On Tue, 28 Dec 2010 20:12:06 +0100, Pascal Hambourg
...Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Freebox. Et
en bridge, elle ne filtre pas.
La neufbox donne aussi le choix; mais s'il est en mode BRIDGE, terminé l'I/F
de contrôle (du moins jusqu'au box-reset suivant.)
On Tue, 28 Dec 2010 20:12:06 +0100, Pascal Hambourg
...
Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Freebox. Et
en bridge, elle ne filtre pas.
La neufbox donne aussi le choix; mais s'il est en mode BRIDGE, terminé l'I/F
de contrôle (du moins jusqu'au box-reset suivant.)
On Tue, 28 Dec 2010 20:12:06 +0100, Pascal Hambourg
...Tu es sûr que la box est en bridge ? A ma connaissance la plupart des
box fonctionnent plutôt en routeur NAT, l'exception étant la Freebox. Et
en bridge, elle ne filtre pas.
La neufbox donne aussi le choix; mais s'il est en mode BRIDGE, terminé l'I/F
de contrôle (du moins jusqu'au box-reset suivant.)
En effet, par le plus grand des hasards je viens de mettre la main sur
une Neufbox v4 et j'ai pu examiner son interface de configuration. Je
suppose qu'en mode bridge elle se contente de relayer les trames
ethernet ou PPPoE entre ses interfaces ADSL et ethernet sans faire de
filtrage, et donc qu'il faut un équipement derrière pour é tablir la
session PPP et effectuer un éventuel filtrage. A noter que c'est tr ès
différent du fonctionnement en mode non routeur (appelé famili èrement
"bridge") de la Freebox.
Mon FAI n'est pas SFR mais apparemment le firmware de la Neufbox est
basé sur GNU/Linux et on peut le bricoler, il y a peut-être moy en d'en
faire quelque chose...
En effet, par le plus grand des hasards je viens de mettre la main sur
une Neufbox v4 et j'ai pu examiner son interface de configuration. Je
suppose qu'en mode bridge elle se contente de relayer les trames
ethernet ou PPPoE entre ses interfaces ADSL et ethernet sans faire de
filtrage, et donc qu'il faut un équipement derrière pour é tablir la
session PPP et effectuer un éventuel filtrage. A noter que c'est tr ès
différent du fonctionnement en mode non routeur (appelé famili èrement
"bridge") de la Freebox.
Mon FAI n'est pas SFR mais apparemment le firmware de la Neufbox est
basé sur GNU/Linux et on peut le bricoler, il y a peut-être moy en d'en
faire quelque chose...
En effet, par le plus grand des hasards je viens de mettre la main sur
une Neufbox v4 et j'ai pu examiner son interface de configuration. Je
suppose qu'en mode bridge elle se contente de relayer les trames
ethernet ou PPPoE entre ses interfaces ADSL et ethernet sans faire de
filtrage, et donc qu'il faut un équipement derrière pour é tablir la
session PPP et effectuer un éventuel filtrage. A noter que c'est tr ès
différent du fonctionnement en mode non routeur (appelé famili èrement
"bridge") de la Freebox.
Mon FAI n'est pas SFR mais apparemment le firmware de la Neufbox est
basé sur GNU/Linux et on peut le bricoler, il y a peut-être moy en d'en
faire quelque chose...