C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les
serveurs...
Oui, dans ces conditions la machine est sécurisée tant que l'interface
chaise clavier n'est pas sur la chaise. Dès qu'elle est sur la chaise,
elle s'occupe activement de faire tout ce qui faut pour se retrouver
vérolée :-)
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
Un port ne peut être redirigé que vers *une* machine. Donc si on veut
accéder à 10 bécanes du réseau interne via ssh, il faudra en faire
tourner un sur le port 22, un autre sur le 23, etc etc etc. Ou, plus
simplement, on monte un VPN.
C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les
serveurs...
Oui, dans ces conditions la machine est sécurisée tant que l'interface
chaise clavier n'est pas sur la chaise. Dès qu'elle est sur la chaise,
elle s'occupe activement de faire tout ce qui faut pour se retrouver
vérolée :-)
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
Un port ne peut être redirigé que vers *une* machine. Donc si on veut
accéder à 10 bécanes du réseau interne via ssh, il faudra en faire
tourner un sur le port 22, un autre sur le 23, etc etc etc. Ou, plus
simplement, on monte un VPN.
C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les
serveurs...
Oui, dans ces conditions la machine est sécurisée tant que l'interface
chaise clavier n'est pas sur la chaise. Dès qu'elle est sur la chaise,
elle s'occupe activement de faire tout ce qui faut pour se retrouver
vérolée :-)
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
Un port ne peut être redirigé que vers *une* machine. Donc si on veut
accéder à 10 bécanes du réseau interne via ssh, il faudra en faire
tourner un sur le port 22, un autre sur le 23, etc etc etc. Ou, plus
simplement, on monte un VPN.
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
Non. Les FAI ne te fournissent usuellement qu'une seule adresse IP,
qui est prise par le modem routeur. Lequel remplace l'adresse IP
source des paquets sortants (en 192.168) par son adresse IP publique.
Il mémorise aussi les connexions ainsi initiée, et quand il reçoit un
paquet appartenant à l'une de ces connexions (lequel paquet a comme
IP cible l'adresse IP publique du routeur, puisque la machine
distante a reçu la demande de connexion avec cette adresse comme
source), il le retransmet à la machine intérieure qui a initié la
connexion, en modifiant son adresse IP cible.
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
Non. Les FAI ne te fournissent usuellement qu'une seule adresse IP,
qui est prise par le modem routeur. Lequel remplace l'adresse IP
source des paquets sortants (en 192.168) par son adresse IP publique.
Il mémorise aussi les connexions ainsi initiée, et quand il reçoit un
paquet appartenant à l'une de ces connexions (lequel paquet a comme
IP cible l'adresse IP publique du routeur, puisque la machine
distante a reçu la demande de connexion avec cette adresse comme
source), il le retransmet à la machine intérieure qui a initié la
connexion, en modifiant son adresse IP cible.
D'autre part chaque machine située derrière le modem-routeur
biduleBox a une adresse IP spécifique (je ne parle pas de l'adresse
IP interne au réseau du genre 192.168.x.x) donc peut-être contacté
de l'extérieure sans aucun problème ?
Non. Les FAI ne te fournissent usuellement qu'une seule adresse IP,
qui est prise par le modem routeur. Lequel remplace l'adresse IP
source des paquets sortants (en 192.168) par son adresse IP publique.
Il mémorise aussi les connexions ainsi initiée, et quand il reçoit un
paquet appartenant à l'une de ces connexions (lequel paquet a comme
IP cible l'adresse IP publique du routeur, puisque la machine
distante a reçu la demande de connexion avec cette adresse comme
source), il le retransmet à la machine intérieure qui a initié la
connexion, en modifiant son adresse IP cible.
Revenons à nos moutons : si tu veux mettre un sshd sur une machine qui
se trouve derrière un routeur, il va falloir dire au routeur de router
les connexions entrantes sur un port précis (22 par défaut) vers la
machine en question.
Le port peut être le port 22 (pour simplifier, vu que c'est le port
par défaut de SSH), ou bien un port choisi aléatoirement entre 4000 et
65535 (pour éviter le bruit de fond).
Il n'y a, dans ton cas, aucun intérêt à choisir le port 80.
Revenons à nos moutons : si tu veux mettre un sshd sur une machine qui
se trouve derrière un routeur, il va falloir dire au routeur de router
les connexions entrantes sur un port précis (22 par défaut) vers la
machine en question.
Le port peut être le port 22 (pour simplifier, vu que c'est le port
par défaut de SSH), ou bien un port choisi aléatoirement entre 4000 et
65535 (pour éviter le bruit de fond).
Il n'y a, dans ton cas, aucun intérêt à choisir le port 80.
Revenons à nos moutons : si tu veux mettre un sshd sur une machine qui
se trouve derrière un routeur, il va falloir dire au routeur de router
les connexions entrantes sur un port précis (22 par défaut) vers la
machine en question.
Le port peut être le port 22 (pour simplifier, vu que c'est le port
par défaut de SSH), ou bien un port choisi aléatoirement entre 4000 et
65535 (pour éviter le bruit de fond).
Il n'y a, dans ton cas, aucun intérêt à choisir le port 80.
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22 et c'est au routeur de se démerder (je ne
sais pas comment...).
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22 et c'est au routeur de se démerder (je ne
sais pas comment...).
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22 et c'est au routeur de se démerder (je ne
sais pas comment...).
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
On Tue, 05 Jun 2007 08:19:04 +0200, Nina PopravkaOk mais je parle ici de routeurs de base : c'est pour administrer
les machines de mes amis à qui j'ai installé linux (Debian). Donc je
ne pense pas que le port 80 soit filtré (à moins que je ne me trompe
complètement sur la puissance de ces petites bêtes...).
Il s'agit de rentrer sur une machine située derrière le routeur, si
j'ai compris la question ?
Dans ce cas, le 80 n'est pas plus ouvert qu'autre chose, et ça n'est
pas plus difficile d'ouvrir autre chose que le 80.
Et on ouvre vers une machine interne explicitement désignée,
évidemment.
Les réponses données concernent le filtrage en sortie, qui n'existe
en général pas, par défaut, sur les routeurs SOHO.
Ok donc il faut que j'ouvre quand même le port 80.
Si je comprends bien une machine (même avec Windows !) située derrière
un de ces modems-routeurs (Freebox, Livebox, Neufbox, etc...) n'a
aucune chance de pouvoir être contactée (et par conséquent d'être
piratée) si le firewall est activé et la translation de ports
désactivée ?
C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les serveurs...
D'autre part chaque machine située derrière le modem-routeur biduleBox
a une adresse IP spécifique (je ne parle pas de l'adresse IP interne
au réseau du genre 192.168.x.x) donc peut-être contacté de
l'extérieure sans aucun problème ?
Merci pour ton aide,
On Tue, 05 Jun 2007 08:19:04 +0200, Nina Popravka
Ok mais je parle ici de routeurs de base : c'est pour administrer
les machines de mes amis à qui j'ai installé linux (Debian). Donc je
ne pense pas que le port 80 soit filtré (à moins que je ne me trompe
complètement sur la puissance de ces petites bêtes...).
Il s'agit de rentrer sur une machine située derrière le routeur, si
j'ai compris la question ?
Dans ce cas, le 80 n'est pas plus ouvert qu'autre chose, et ça n'est
pas plus difficile d'ouvrir autre chose que le 80.
Et on ouvre vers une machine interne explicitement désignée,
évidemment.
Les réponses données concernent le filtrage en sortie, qui n'existe
en général pas, par défaut, sur les routeurs SOHO.
Ok donc il faut que j'ouvre quand même le port 80.
Si je comprends bien une machine (même avec Windows !) située derrière
un de ces modems-routeurs (Freebox, Livebox, Neufbox, etc...) n'a
aucune chance de pouvoir être contactée (et par conséquent d'être
piratée) si le firewall est activé et la translation de ports
désactivée ?
C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les serveurs...
D'autre part chaque machine située derrière le modem-routeur biduleBox
a une adresse IP spécifique (je ne parle pas de l'adresse IP interne
au réseau du genre 192.168.x.x) donc peut-être contacté de
l'extérieure sans aucun problème ?
Merci pour ton aide,
On Tue, 05 Jun 2007 08:19:04 +0200, Nina PopravkaOk mais je parle ici de routeurs de base : c'est pour administrer
les machines de mes amis à qui j'ai installé linux (Debian). Donc je
ne pense pas que le port 80 soit filtré (à moins que je ne me trompe
complètement sur la puissance de ces petites bêtes...).
Il s'agit de rentrer sur une machine située derrière le routeur, si
j'ai compris la question ?
Dans ce cas, le 80 n'est pas plus ouvert qu'autre chose, et ça n'est
pas plus difficile d'ouvrir autre chose que le 80.
Et on ouvre vers une machine interne explicitement désignée,
évidemment.
Les réponses données concernent le filtrage en sortie, qui n'existe
en général pas, par défaut, sur les routeurs SOHO.
Ok donc il faut que j'ouvre quand même le port 80.
Si je comprends bien une machine (même avec Windows !) située derrière
un de ces modems-routeurs (Freebox, Livebox, Neufbox, etc...) n'a
aucune chance de pouvoir être contactée (et par conséquent d'être
piratée) si le firewall est activé et la translation de ports
désactivée ?
C'est l'idéal pour protéger son système alors ? Les utilisateurs de
Windows peuvent être tranquille au moins pour les agressions
extérieures sans avoir à se soucier de désactiver tous les serveurs...
D'autre part chaque machine située derrière le modem-routeur biduleBox
a une adresse IP spécifique (je ne parle pas de l'adresse IP interne
au réseau du genre 192.168.x.x) donc peut-être contacté de
l'extérieure sans aucun problème ?
Merci pour ton aide,
Je me demande donc comment le modem-routeur s'y retrouve quand une
demande de connexion SSH sur le port 22 lui arrive ? A qui
envoie-t-il la requête ? à la première machine ou bien la deuxi ème ?
ca depend de son parametrage, et de la maniere dont tu
peux le configurer.
Avec une regle iptables je peux rediriger le port 80 vers
la machine A, le port 22 vers la machine B, etc..
Les modems routeurs cherchant la simplicite, j'aurais tendance
a dire qu'ils masquent au maximum ce genre de finesse.
D'accord mais comment font-ils ?
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
Donc j'imagine qu'il a du faire le lien d'une façon ou d'une autre avec
ma machine, par exemple avec l'adresse MAC ?
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela
peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
Et cela implique aussi qu'il n'est pas possible dans le cas de
plusieurs machines de mettre le serveur SSH sur le port 22 partout ?
Toutes les machines de ton LAN ont le ssh qui ecoute
le 8000 est le numero de port sur lequel le serveur web ecoute.
Tu peux essayer de fairewww.google.fr:80, ca fonctionnera aussi.
Oui mais est-ce que c'est aussi le numéro du port sur lequel ma machine
écoute ?
Eh non!
Lorsque je fais unhttp://www.blabla.fr:8000, j'ai compris que je me
connecte au server Web sur le port 8000, mais est-ce que le port sur
lequel moi je reçois les informations est aussi le port 8000 ?
Et dans ce cas que se passe-t-il si un serveur SSH tourne dessus ?
Si le port 1024 est utilise par un serveur ssh, le programme
Que se passe-t-il donc si un serveur SSH se trouve aussi sur ce
port ?
Si tu lances un navigateur web en direction d'une IP sur le port 80,
sur laquelle ecoute non pas un serveur web mais un serveur ssh, la
connexion ne va pas durer longtemps. Le client va parler HTTP,
le serveur va parler SSH. Fin de la connexion.
Cf. réponse précédente.
Differencie bien le port client et le port serveur.
Je me demande donc comment le modem-routeur s'y retrouve quand une
demande de connexion SSH sur le port 22 lui arrive ? A qui
envoie-t-il la requête ? à la première machine ou bien la deuxi ème ?
ca depend de son parametrage, et de la maniere dont tu
peux le configurer.
Avec une regle iptables je peux rediriger le port 80 vers
la machine A, le port 22 vers la machine B, etc..
Les modems routeurs cherchant la simplicite, j'aurais tendance
a dire qu'ils masquent au maximum ce genre de finesse.
D'accord mais comment font-ils ?
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
Donc j'imagine qu'il a du faire le lien d'une façon ou d'une autre avec
ma machine, par exemple avec l'adresse MAC ?
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela
peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
Et cela implique aussi qu'il n'est pas possible dans le cas de
plusieurs machines de mettre le serveur SSH sur le port 22 partout ?
Toutes les machines de ton LAN ont le ssh qui ecoute
le 8000 est le numero de port sur lequel le serveur web ecoute.
Tu peux essayer de fairewww.google.fr:80, ca fonctionnera aussi.
Oui mais est-ce que c'est aussi le numéro du port sur lequel ma machine
écoute ?
Eh non!
Lorsque je fais unhttp://www.blabla.fr:8000, j'ai compris que je me
connecte au server Web sur le port 8000, mais est-ce que le port sur
lequel moi je reçois les informations est aussi le port 8000 ?
Et dans ce cas que se passe-t-il si un serveur SSH tourne dessus ?
Si le port 1024 est utilise par un serveur ssh, le programme
Que se passe-t-il donc si un serveur SSH se trouve aussi sur ce
port ?
Si tu lances un navigateur web en direction d'une IP sur le port 80,
sur laquelle ecoute non pas un serveur web mais un serveur ssh, la
connexion ne va pas durer longtemps. Le client va parler HTTP,
le serveur va parler SSH. Fin de la connexion.
Cf. réponse précédente.
Differencie bien le port client et le port serveur.
Je me demande donc comment le modem-routeur s'y retrouve quand une
demande de connexion SSH sur le port 22 lui arrive ? A qui
envoie-t-il la requête ? à la première machine ou bien la deuxi ème ?
ca depend de son parametrage, et de la maniere dont tu
peux le configurer.
Avec une regle iptables je peux rediriger le port 80 vers
la machine A, le port 22 vers la machine B, etc..
Les modems routeurs cherchant la simplicite, j'aurais tendance
a dire qu'ils masquent au maximum ce genre de finesse.
D'accord mais comment font-ils ?
La dernière fois je suis allé sur la configuration du routeur via
http://192.168.1.1 et j'ai juste eu à demander d'activer la translation
(ou traduction) de port pour le port 22 sans rien dire d'autre.
Donc j'imagine qu'il a du faire le lien d'une façon ou d'une autre avec
ma machine, par exemple avec l'adresse MAC ?
Mais comme l'adresse MAC est facilement falsifiable/modifiable cela
peut-être dangereux si on a un réseau ouvert ?
pourquoi? En imaginant que le modem renvoie les paquets vers
Et cela implique aussi qu'il n'est pas possible dans le cas de
plusieurs machines de mettre le serveur SSH sur le port 22 partout ?
Toutes les machines de ton LAN ont le ssh qui ecoute
le 8000 est le numero de port sur lequel le serveur web ecoute.
Tu peux essayer de fairewww.google.fr:80, ca fonctionnera aussi.
Oui mais est-ce que c'est aussi le numéro du port sur lequel ma machine
écoute ?
Eh non!
Lorsque je fais unhttp://www.blabla.fr:8000, j'ai compris que je me
connecte au server Web sur le port 8000, mais est-ce que le port sur
lequel moi je reçois les informations est aussi le port 8000 ?
Et dans ce cas que se passe-t-il si un serveur SSH tourne dessus ?
Si le port 1024 est utilise par un serveur ssh, le programme
Que se passe-t-il donc si un serveur SSH se trouve aussi sur ce
port ?
Si tu lances un navigateur web en direction d'une IP sur le port 80,
sur laquelle ecoute non pas un serveur web mais un serveur ssh, la
connexion ne va pas durer longtemps. Le client va parler HTTP,
le serveur va parler SSH. Fin de la connexion.
Cf. réponse précédente.
Differencie bien le port client et le port serveur.
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en
deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et
une passerelle linux ; heureusement qu'iptables a fait son boulot,
toutes les tentatives de connexion sur le lan (local) étaient faites à
partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139
et 445 en proto smb.
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en
deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et
une passerelle linux ; heureusement qu'iptables a fait son boulot,
toutes les tentatives de connexion sur le lan (local) étaient faites à
partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139
et 445 en proto smb.
pas plus tard que ce matin, j'ai relevé dans les logs 378 attaques en
deux jours sur le workgroup Win$ d'un client derrière une FreeBox V5 et
une passerelle linux ; heureusement qu'iptables a fait son boulot,
toutes les tentatives de connexion sur le lan (local) étaient faites à
partir d'adresses 192.168.10.x spoofées et visaient les ports 137,139
et 445 en proto smb.
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22
et c'est au routeur de se démerder
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22
et c'est au routeur de se démerder
Ce n'est pas possible dans un parc de plusieurs machines de les faire
toutes écouter sur le port 22
et c'est au routeur de se démerder