Samba et ssh serveurs : Limiter l'usage

Le Thu, 05 Oct 2017 16:12:16 +0200, Sergio a écrit :

Soit une machine nomade.
Je voudrais faire l'équivalent sous Windows de la distinction réseau
privé / réseau public.
cad :
- Quand on est sur le réseau local (à la maison...) les partages samba
et accès ssh (ou tout autre accès distant) sont actifs.
- Quand on est sur un réseau public (liaison directe à internet), tous
les partages sont inactifs.

Et si la machine est connectée aux deux types de réseau, que ces
serveurs ne soient actifs que sur le réseau privé.

Tu peux prendre le problème autrement, interdire au grand ternette
l'accès à ta machine, et l'autoriser dans ton /very/ réseau et ça
marchera partout ; comme je suis un danger-public je ne saurais te
conseiller plus si ce n'est que mascarade est peut-être ton ami.



--
Archevêque : Dignitaire ecclésiastique plus sacré d'un cran qu'un
évêque.
-+- Ambrose Bierce -+-

Le 05-10-2017, Sergio nous expliquait dans
fr.comp.os.linux.configuration
(<59d63dc0$0$8943$426a74cc@news.free.fr>) :

Soit une machine nomade.
Je voudrais faire l'équivalent sous Windows de la distinction réseau privé / réseau public.
cad :
- Quand on est sur le réseau local (à la maison...) les partages samba et accès ssh (ou tout autre accès distant) sont actifs.
- Quand on est sur un réseau public (liaison directe à internet), tous les partages sont inactifs.

Et si la machine est connectée aux deux types de réseau, que ces serveurs ne soient actifs que sur le réseau privé.

En fonction du besoin iptables devrait pouvoir régler tout ça.

Si j'ai bien compris tu veux autoriser l'accès à SSH et aux partages
Samba uniquement pour les adresses IP de ton réseau local.

En supposant que ton réseau local soit en 192.168.1.0/24 et que ton
routeur qui donne l'accès à internet (la passerelle) ait
pour adresse IP 192.168.1.1, et que ta machine ait l'adresse IP
192.168.1.42, les règles iptables pourraient ressembler
à quelque chose comme ça:

# Autoriser les connexions en cours sur l'adresse IP de la machine
iptables -A INPUT -d 192.168.1.42/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Dropper toute nouvelle connexion en provenance du routeur et à
# destination du port TCP/22
iptables -A INPUT -s 192.168.1.1 -p tcp --dport 22 -m state --state NEW -j DROP

# Autoriser les connexions sur TCP/22 à partir des adresses IP du réseau local
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -m state --state NEW -j ACCEPT

[Ajouter ici toutes les autres règles dont tu as besoin]

# Refuser tous le reste quelqu'en soit l'origine
-A INPUT -d 89.234.156.223/32 -j REJECT --reject-with icmp-port-unreachable

Attention l'ordre des règles à une importance. La première règle qui
matche est appliquée. Ainsi ici pour le routeur, la première règle qui
matche est celle qui dit de dropper toutes les connexions entrante sur
le port TCP/22. On peut donc autoriser tout le réseau 192.168.122.1.0/24
sur ce même port dans la ligne d'après sans soucis.

Il faut ensuite sauvegarder ces règles et les faire charger automatiquement
au démarrage. Cette étape dépendra de ta distribution.

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Le 05-10-2017, Sergio nous expliquait dans
fr.comp.os.linux.configuration
(<59d63dc0$0$8943$426a74cc@news.free.fr>) :

Soit une machine nomade.
Je voudrais faire l'équivalent sous Windows de la distinction réseau privé / réseau public.
cad :
- Quand on est sur le réseau local (à la maison...) les partages samba et accès ssh (ou tout autre accès distant) sont actifs.
- Quand on est sur un réseau public (liaison directe à internet), tous les partages sont inactifs.

Et si la machine est connectée aux deux types de réseau, que ces serveurs ne soient actifs que sur le réseau privé.

En fonction du besoin iptables devrait pouvoir régler tout ça.

Si j'ai bien compris tu veux autoriser l'accès à SSH et aux partages
Samba uniquement pour les adresses IP de ton réseau local.

En supposant que ton réseau local soit en 192.168.1.0/24 et que ton
routeur qui donne l'accès à internet (la passerelle) ait
pour adresse IP 192.168.1.1, et que ta machine ait l'adresse IP
192.168.1.42, les règles iptables pourraient ressembler
à quelque chose comme ça:

# Autoriser les connexions en cours sur l'adresse IP de la machine
iptables -A INPUT -d 192.168.1.42/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Dropper toute nouvelle connexion en provenance du routeur et à
# destination du port TCP/22
iptables -A INPUT -s 192.168.1.1 -p tcp --dport 22 -m state --state NEW -j DROP

# Autoriser les connexions sur TCP/22 à partir des adresses IP du réseau local
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -m state --state NEW -j ACCEPT

[Ajouter ici toutes les autres règles dont tu as besoin]

# Refuser tous le reste quelqu'en soit l'origine
-A INPUT -d 192.168.1.42/32 -j REJECT --reject-with icmp-port-unreachable

Attention l'ordre des règles à une importance. La première règle qui
matche est appliquée. Ainsi ici pour le routeur, la première règle qui
matche est celle qui dit de dropper toutes les connexions entrante sur
le port TCP/22. On peut donc autoriser tout le réseau 192.168.122.1.0/24
sur ce même port dans la ligne d'après sans soucis.

Il faut ensuite sauvegarder ces règles et les faire charger automatiquement
au démarrage. Cette étape dépendra de ta distribution.

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Doug713705 , dans le message <or7aqa$omk$2@golgoth99.redatomik.org>, a
écrit :

En fonction du besoin iptables devrait pouvoir régler tout ça.

Si j'ai bien compris tu veux autoriser l'accès à SSH et aux partages
Samba uniquement pour les adresses IP de ton réseau local.

En supposant que ton réseau local soit en 192.168.1.0/24 et que ton
routeur qui donne l'accès à internet (la passerelle) ait
pour adresse IP 192.168.1.1, et que ta machine ait l'adresse IP
192.168.1.42, les règles iptables pourraient ressembler
à quelque chose comme ça:

<snip>

Et en appliquant cette méthode, il suffit qu'il se connecte au WiFi d'un
restau qui utilise le même bloc d'IP pour retrouver ses partages exposés
à tous les clients.

Le 06-10-2017, Nicolas George nous expliquait dans
fr.comp.os.linux.configuration
(<59d72fdf$0$31644$426a74cc@news.free.fr>) :

Doug713705 , dans le message <or7aqa$omk$2@golgoth99.redatomik.org>, a
écrit :

En fonction du besoin iptables devrait pouvoir régler tout ça.

Si j'ai bien compris tu veux autoriser l'accès à SSH et aux partages
Samba uniquement pour les adresses IP de ton réseau local.

En supposant que ton réseau local soit en 192.168.1.0/24 et que ton
routeur qui donne l'accès à internet (la passerelle) ait
pour adresse IP 192.168.1.1, et que ta machine ait l'adresse IP
192.168.1.42, les règles iptables pourraient ressembler
à quelque chose comme ça:

<snip>

Et en appliquant cette méthode, il suffit qu'il se connecte au WiFi d'un
restau qui utilise le même bloc d'IP pour retrouver ses partages exposés
à tous les clients.

Pas faux, d'où l'intérêt de bien choisir son réseau local et bien entendu d'effectuer
un filtrage plus précis, genre machine par machine.

Mais on peut supposer que le partge samba est protégé par mot de passe,
ce qui semble la moindre des choses quand on expose des données.

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Doug713705 , dans le message <or7c4b$omk$3@golgoth99.redatomik.org>, a
écrit :

Pas faux, d'où l'intérêt de bien choisir son réseau local et bien

Tu peux expliquer le critère de « bien », là ?

entendu d'effectuer un filtrage plus précis, genre machine par
machine.

Ça reste un filtrage par adresse IP, donc totalement inefficace quand on
est connecté à un réseau qu'on ne contrôle pas.

Mais on peut supposer que le partge samba est protégé par mot de passe,
ce qui semble la moindre des choses quand on expose des données.

Euh, non, on ne peut certainement pas supposer ça. Il me semble au
contraire évident que Sergio veut exposer son partage sur le réseau
local à toutes les machines qui y sont connectées. Après tout, elles ont
déjà prouvé qu'elles sont dignes de confiance par leur capacité à se
connecter audit réseau local.

Le 06/10/2017 à 09:25, Nicolas George a écrit :

Doug713705 , dans le message <or7aqa$omk$2@golgoth99.redatomik.org>, a
écrit :

En fonction du besoin iptables devrait pouvoir régler tout ça.

Si j'ai bien compris tu veux autoriser l'accès à SSH et aux partages
Samba uniquement pour les adresses IP de ton réseau local.

En supposant que ton réseau local soit en 192.168.1.0/24 et que ton
routeur qui donne l'accès à internet (la passerelle) ait
pour adresse IP 192.168.1.1, et que ta machine ait l'adresse IP
192.168.1.42, les règles iptables pourraient ressembler
à quelque chose comme ça:

<snip>

Et en appliquant cette méthode, il suffit qu'il se connecte au WiFi d'un
restau qui utilise le même bloc d'IP pour retrouver ses partages exposés
à tous les clients.

Comment fait Windows alors ?
- Mon Wifi local est "privé", et mon Windows accepte toutes les requêtes entrante.
- Le Wifi local du restau, même s'il est sur le même bloc d'IP, sera "public" et le Windows n'accepte plus les accès entrant au partage.

Même que parfois, c'est un peu gênant : Avec W10, tout nouveau réseau (même le premier, configuré à l'installation et en général devant être "privé") sera considéré comme "public.
Et il faudra aller trifouiller dans la config réseau pour le mettre "privé".

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org

Le 06/10/2017 à 10:29, zeLittle a écrit :

Le Thu, 05 Oct 2017 16:12:16 +0200, Sergio <serge.laposte@delbono.net.invalid> a écrit:

Soit une machine nomade.
Je voudrais faire l'équivalent sous Windows de la distinction réseau privé / réseau public.

Je ne sais pas si ça simplifierais ton problème, mais sur mon netBook nomade, j'ai le navigateur Opéra que j'utilise quand je me connecte sur un spot wifi publique: il a un VPN secure gratuit intégré:
http://www.opera.com/fr/computer/features/free-vpn.

Nan, rien à voir. C'est au niveau des accès distants à ma machine, qui doivent être autorisés chez moi, et interdit ailleurs.

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org

Sergio , dans le message <59d742dc$0$8946$426a34cc@news.free.fr>, a
écrit :

Comment fait Windows alors ?

J'ai une tête de commercial Microsoft, peut-être ?

De toute évidence, il se base sur autre chose que juste l'adresse IP.
C'est assez facile.

Le 06/10/2017 à 10:59, Nicolas George a écrit :

Sergio , dans le message <59d742dc$0$8946$426a34cc@news.free.fr>, a
écrit :

Comment fait Windows alors ?

J'ai une tête de commercial Microsoft, peut-être ?

De toute évidence, il se base sur autre chose que juste l'adresse IP.
C'est assez facile.

Si c'est du wifi, il peut se baser sur le SSID de la box, néanmoins, sur mon PC Windows, j'ai plusieurs réseaux avec le même nom :
- "gerard" : ma box en ethernet
- "gerard : ma box en wifi
- "gerard" : résidu d'essai de configuration du wifi

Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour accéder à internet et aux autres machines (imprimantes, PC sous Linux ou
Windows. Et, vue la fiabilité de l'internet via SFR-Numéricâble, utiliser en dépannage une clef 4G, reliée directement au réseau des réseaux.


--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org