Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Samba] La freebox serait-elle une passoire ? (résolu)
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Possum
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jul 2003
Posts: 134
Location: Toulouse, France

PostPosted: Fri Feb 08, 2008 7:02 pm    Post subject: [Samba] La freebox serait-elle une passoire ? (résolu) Reply with quote

Vu que je matte mes logs, je viens de voir avec horreur ceci:

Code:
eb  8 19:49:39 [smbd] [2008/02/08 19:49:39, 0] lib/util_sock.c:read_data(534)_
Feb  8 19:49:39 [smbd] read_data: read failure for 4 bytes to client 82.230.133.8. Error = Connexion ré-initialisée par le correspondant_
Feb  8 19:49:51 [smbd] [2008/02/08 19:49:51, 0] lib/util_sock.c:read_data(534)_
Feb  8 19:49:51 [smbd] read_data: read failure for 4 bytes to client 82.230.133.8. Error = Connexion ré-initialisée par le correspondant_


Comment ? Quoi ? C'est qui ce p'tit con qui essaye de browser mes partages smb depuis le monde extérieur ? On m'aurait menti ? netbios est un protocole routable maintenant ?

Et surtout, comment ce fait-ce que le port 139 de ma fbx soit ouvert ??

Du coup, un coup d'oeil plus profond à mes logs samba:
Non de Nom :
Code:
haloperidol samba # ls -1 | wc -l
6429
haloperidol samba #


et des palettes de 82.230.qqch !!!

Help !

PS: c'est fou ce que je poste ces deux derniers jours :p
_________________
Marsupial Power Inside

Sauvez les arbres, mangez un castor !


Last edited by Possum on Sun Feb 10, 2008 2:06 pm; edited 1 time in total
Back to top
View user's profile Send private message
Bapt
Veteran
Veteran


Joined: 14 Apr 2003
Posts: 1152
Location: Paris

PostPosted: Fri Feb 08, 2008 7:55 pm    Post subject: Reply with quote

la freebox n'est pas un firewall donc oui c'est une passoire et c'est normale!!! Tu n'as qu'à dire à ton samba de n'écouter que sur le réseau local, mets toi aussi un firewall.
Back to top
View user's profile Send private message
ryo-san
l33t
l33t


Joined: 17 Feb 2005
Posts: 729

PostPosted: Fri Feb 08, 2008 7:56 pm    Post subject: Reply with quote

salut,

nslookup me renvoie
Code:

Non-authoritative answer:
8.133.230.82.in-addr.arpa   name = cxr69-6-82-230-133-8.fbx.proxad.net


donc a premiere vu ca correspondrait a ton adresse ip externe ...
Back to top
View user's profile Send private message
Possum
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jul 2003
Posts: 134
Location: Toulouse, France

PostPosted: Fri Feb 08, 2008 8:29 pm    Post subject: Reply with quote

Pourtant, je croyais que c'en était un de FW.

Mon samba est configuré pour ne causer que sur mon réseau local, justement...

Code:
hosts allow 192.168.0. 127.


Or la fbx étant en routeur, elle a une adresse locale !

La flemme de configurer ip-tables....

@ryo-san: Nope, pas mon adresse externe :)

Qui pourrait me balancer un nmap bien senti sur mon adresse qui est: marsupial-power.org ;) histoire de voir ce qui répond ? et m'envoyer le résultat par mail ? Marchiiii
_________________
Marsupial Power Inside

Sauvez les arbres, mangez un castor !
Back to top
View user's profile Send private message
GentooUser@Clubic
l33t
l33t


Joined: 01 Nov 2004
Posts: 829

PostPosted: Fri Feb 08, 2008 9:04 pm    Post subject: Reply with quote

Normalement la Freebox ne laisse pas tout passer quand-même (si elle est configuré en mode routeur), tu n'a pas mit ton PC en DMZ accidentellement ?

J'ai utilisé la Freebox en mode routeur pendant 3 ans sans FW derrière et c'était tout-a-fait satisfaisant niveau sécurité.
Back to top
View user's profile Send private message
nykos
Guru
Guru


Joined: 08 Jun 2005
Posts: 488
Location: Strasbourg

PostPosted: Fri Feb 08, 2008 9:52 pm    Post subject: Reply with quote

non la freebox ne laisse pas passer de ports si elle est en mode routeur et que tu lui as pas dit de le faire
à moins que ce soit toi qui initie la connexion, je pense plutôt pour une erreur de configuration, genre DMZ ou qqch comme ça
_________________
-=Nykos=-
TARGA Traveller 826T - AMD Turion 64 MT 32 1,8GHz - ATI Radeon X700 Mobility (ati-drivers)
Back to top
View user's profile Send private message
davidou2a
Guru
Guru


Joined: 15 Dec 2006
Posts: 574
Location: Ajaccio

PostPosted: Fri Feb 08, 2008 11:41 pm    Post subject: Reply with quote

t'aurais pas un intrus qui abuserait de ton réseau local en particulier si le wifi est actif??
_________________
L'enfer je connais, il s'appelle Windows...
Back to top
View user's profile Send private message
Possum
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jul 2003
Posts: 134
Location: Toulouse, France

PostPosted: Sun Feb 10, 2008 10:37 am    Post subject: Reply with quote

Tout d'abord, désolé de ne pas avoir répondu hier, mais jétais de déménagement chez des amis de 7H30 à Minuit... Mal partout du coup... Merci à ceux qui m'ont envoyé le résultat d'un nmap :)

Donc, la Fbx est bien une passoire, même configurée en mode routeur...

Sont ouverts, par défaut, sans avoir besoin de le configurer sur l'interface de gestion les ports suivants:

Code:
53/tcp  open     domain
111/tcp open     rpc
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
140/tcp filtered emfis-data
389/tcp open     ldap       
445/tcp filtered microsoft-ds
631/tcp open     ipp
873/tcp open     rsync
902/tcp open     tcpwrapped...


Bref, des trous partout !! Et pas des trucs sympas qui plus est !

Donc, je crois que je vais commencer à penser à coller un FW. Comme je suis un feignant, et que j'ai pas envie de me coltiner des iptables à la main, qu'est-ce que je pourrais utiliser comme interface simple, CLI ou GUI pour configurer correctemnt tout ça ? Et dispo dans portage hein ;)

Pour le côté DMZ, oui, ma machine est en DMZ, j'avais zappé la case. MAis par contre, même en DMZ, ça ne m'explique pas comment on peut laisser ouvert les ports Netbios ouvert, sachant que ce protocole n'est normalement pas routable à travers le ternet !!

@davidou2a: Pour le Wi-Fi, j'ai collé du WPA avec une passphrase plutôt longue, je ne pense pas, enfin, je n'espère pas que des intrus abusent de ma connex ;)

EDIT: typo

EDIT: commentaire pour davidou ;)
_________________
Marsupial Power Inside

Sauvez les arbres, mangez un castor !
Back to top
View user's profile Send private message
GentooUser@Clubic
l33t
l33t


Joined: 01 Nov 2004
Posts: 829

PostPosted: Sun Feb 10, 2008 1:25 pm    Post subject: Reply with quote

Quote:
Pour le côté DMZ, oui, ma machine est en DMZ, j'avais zappé la case. MAis par contre, même en DMZ, ça ne m'explique pas comment on peut laisser ouvert les ports Netbios ouvert, sachant que ce protocole n'est normalement pas routable à travers le ternet !!


La Freebox est un routeur pas un firewall, si elle vire les paquets en provenance d'internet n'appartenant a aucune connections, ce n'est pas pour protéger les machines derrières, mais parce qu'elle ne sait pas a qui les envoyer.

En indiquant une DMZ tu donne explicitement l'adresse d'une machine a laquelle elle va tout transmettre, c'est l'équivalent de router tout les ports, ou d'utiliser la Freebox en mode bridge.

C'est le même comportement avec tous les routeurs que j'ai rencontré, DMZ = aucun filtrage.
Back to top
View user's profile Send private message
Possum
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jul 2003
Posts: 134
Location: Toulouse, France

PostPosted: Sun Feb 10, 2008 2:06 pm    Post subject: Reply with quote

Merci pour ces précisions :)
_________________
Marsupial Power Inside

Sauvez les arbres, mangez un castor !
Back to top
View user's profile Send private message
lesourbe
l33t
l33t


Joined: 24 Nov 2005
Posts: 710
Location: Champagne !

PostPosted: Mon Feb 11, 2008 8:41 am    Post subject: Reply with quote

une petite recouche sur ce problème :
3 solutions pour qu'on te browse ton samba derriere une freebox

- freebox en mode bridge (tout est transmis à la machine derrière
- freebox en mode router et regle NAT qui dit 139 ton adresse IP (mais, mais, tu l'as fait exprès !!!)
- PC en DMZ (déjà dit)

en résumé, la freebox en mode router est pas un firewall, c'est un router et quand on tente le port 139 (ou autre) depuis l'extérieur c'est ton routeur qui repond, il ne transmet que si y'a des regles NAT ( port -> IP locale).

donc c'est pas plus une passoire qu'un autre routeur et qu'a priori on a pas lieu de s'inquieter de faire tourner un "serveur applicatif" (comme samba ftp telnet ssh,...) derrière, tant qu'on a pas indiqué explicitement qu'on voulait le joindre depuis l'extérieur.

en espérant que ça aide :)
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.
Back to top
View user's profile Send private message
davidou2a
Guru
Guru


Joined: 15 Dec 2006
Posts: 574
Location: Ajaccio

PostPosted: Mon Feb 11, 2008 8:48 am    Post subject: Reply with quote

ouais en gros une DMZ peut avoir un comportement de route de dernier ressort (pour ceux qui ont fait du routage...) de plus j'ai une question tu as fais ton nmap sur la patte externe de ta freebox? genre sur ton ip publique que t'attribue ton FAI?
_________________
L'enfer je connais, il s'appelle Windows...
Back to top
View user's profile Send private message
montesq
Tux's lil' helper
Tux's lil' helper


Joined: 28 Dec 2004
Posts: 111
Location: Paris

PostPosted: Mon Feb 11, 2008 10:01 am    Post subject: Reply with quote

lesourbe wrote:

en résumé, la freebox en mode router est pas un firewall, c'est un router et quand on tente le port 139 (ou autre) depuis l'extérieur c'est ton routeur qui repond, il ne transmet que si y'a des regles NAT ( port -> IP locale).

[noob]
Je vois pas trop ce que fait le firewall de plus que le routeur? Pour moi l'intérêt du firewall est d'empécher l'intrusion d'un tiers sur un lan. Donc si aucune règle de routage n'est fixée sur le routeur, il ne devrait pas y avoir d'intrusion=rôle du firewall non?
[/noob]
Back to top
View user's profile Send private message
gregool
Guru
Guru


Joined: 26 Nov 2007
Posts: 336
Location: Lille

PostPosted: Mon Feb 11, 2008 10:23 am    Post subject: Reply with quote

Quote:
Je vois pas trop ce que fait le firewall de plus que le routeur? Pour moi l'intérêt du firewall est d'empécher l'intrusion d'un tiers sur un lan. Donc si aucune règle de routage n'est fixée sur le routeur, il ne devrait pas y avoir d'intrusion=rôle du firewall non?


la question ne pose pas trop dans ces termes, le routage est utilisé pour passer d'un réseau à un autre.
le firewall filtre les paquets entrant et sortant selon des reglès définies.
au sein d'un meme lan, si aucun filtrage entrant n'est appliqué tout les paquets sont acceptés, ceux qui sont a destination de certains ports seront non pas routé mais translaté vers une machine donnée du lan, selon les règles du nat.
la confusion vient du fait que les FAI ont detourné l'utilisation du terme DMZ pour l'associer à la translation systematique de tout les paquets vers une adresse du LAN.

donc avec les box qui font un peu tout à la fois, ya parfois de la confusion sur le role de chacun, le firewall ne route rien, le routeur ne filtre rien.
Back to top
View user's profile Send private message
Possum
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jul 2003
Posts: 134
Location: Toulouse, France

PostPosted: Mon Feb 11, 2008 6:43 pm    Post subject: Reply with quote

davidou2a wrote:
ouais en gros une DMZ peut avoir un comportement de route de dernier ressort (pour ceux qui ont fait du routage...) de plus j'ai une question tu as fais ton nmap sur la patte externe de ta freebox? genre sur ton ip publique que t'attribue ton FAI?


Yep, pour sûr :)

Vu que un nmap depuis l'intérieur n'est pas valable :) Enfin, si je me souviens bien de mes cours de rézo :)

gregool wrote:
la confusion vient du fait que les FAI ont detourné l'utilisation du terme DMZ pour l'associer à la translation systematique de tout les paquets vers une adresse du LAN.

C'est exactement ça qui j'ai zappé. Pour moi, une machine en DMZ, on route juste certains ports, par définition, tout le reste est bloqué, la DMZ servant à servir certains protocoles sur l'extérieur mais aussi l'intérieur.

Typiquement, je comptais, dans mon plan réseau initial, laisser accessible depuis l'extérieur le ftp, le http et le DNS, mais aussi accéssibles depuis l'intérieur. Je comptais pas exposer l'intégralité de mon serveur juste pasqu'il est en DMZ !

Ce qui veut dire que là, faut en plus un FW ! Donc, si je résume, il faut:

Code:
FBX --> FW en DMZ --> serveur feuteupeuh / hacheteuteupeu
              |
              --> Serveur DNS, DHCP, Samba, NFS, iSCSI
              |
               --> Autres machines qui passent par le FW qui a deux pattes, une externe et une interne.


Mon problème, c'est que mon serveur fait aussi DNS et DHCP pour mon réseau local. Or, ça, je ne peux décemment pas le laisser en DMZ !

De plus, comment faire sachant que moint point d'accès Wi-Fi est la FBX, et que logiquement, si mon FW est bien configuré, il ne devrait pas laisser passer les requêtes DHCP venant de la FBX ! me voilà bien em........

Donc, me voilà potentiellement obligé de m'acheter une carte Wi-Fi et de recycler une deuxième machine si je veux faire les choses propres et dans les règles du lard !

Ou alors, un truc du genre:
Code:
FBX --> FW en DMZ --> serveur feuteupeuh / hacheteuteupeu
           |      |
           |      --> Serveurs DNS, DHCP, Samba, NFS, iSCSI
           |
            --> Autres machines qui passent par le FW qui a deux pattes, une externe et une interne.


Mais ça résoud pas mon problème de Wi-Fi pour autant.....

EDIT: Typo
_________________
Marsupial Power Inside

Sauvez les arbres, mangez un castor !
Back to top
View user's profile Send private message
Bio
Apprentice
Apprentice


Joined: 17 Mar 2003
Posts: 197
Location: Geneva which should be in Switzerland...

PostPosted: Mon Feb 11, 2008 9:09 pm    Post subject: Reply with quote

montesq wrote:
Je vois pas trop ce que fait le firewall de plus que le routeur? Pour moi l'intérêt du firewall est d'empécher l'intrusion d'un tiers sur un lan. Donc si aucune règle de routage n'est fixée sur le routeur, il ne devrait pas y avoir d'intrusion=rôle du firewall non?


Un routeur c'est comme un aiguillage... Il transfére les paquets d'un point A à un point B. Tu ouvres le port 1200 sur ton routeur que tu reroutes sur le port 2000 de la machine A de ton réseau. Le routeur va donc se contenter d'acheminer les paquets arrivés sur le port 1200 vers le port 2000 de ta machine sans se poser plus de questions que ça. Bien sûr si tu ne définis aucune règle de routage, aucun paquet n'arrivera sur ta machine.

A la différence un firewall filtre les données qui transitent sur le réseau, il va s'intéresser au contenu de chaque trame IP qui passe et s'il identifie des règles d'exclusions il se met en marche.


Un exemple basique : ton réseau de 4 machines est derrière un routeur et un firewall. L'une de tes machines héberge un serveur de mail. Tu vas configurer ton routeur pour que toutes les requêtes mails soient redirigées vers la bonne machine du réseau. En même temps tu ne veux pas que des fichiers zip transitent par ton serveur de mail alors tu configures ton firewall pour qu'il les filtre.
_________________
I'm all in !
Back to top
View user's profile Send private message
GentooUser@Clubic
l33t
l33t


Joined: 01 Nov 2004
Posts: 829

PostPosted: Mon Feb 11, 2008 11:06 pm    Post subject: Reply with quote

Par contre si vous êtes derrière un routeur pas la peine d'installer un FireWall avec comme options (format iptables) :
Code:

-A INPUT -i 6to4 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o 6to4 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


Parce que c'est exactement, ce que fait le routeur déjà (sauf qu'a son niveau c'est plutôt du FORWARD).

Bon OK c'est minimal, c'est ce que faisait le FireWall de WindowsXP avant le SP2, mais sous Linux c'est tout a fait suffisant pour un poste client (c'est ce que j'ai comme règles pour l'IPv6, d'où l'interface 6to4)

Bref si vous ne comptez pas allez plus loin que filtrage simple + ouverture de ports, pas la peine d'installer un firewall !
Back to top
View user's profile Send private message
lesourbe
l33t
l33t


Joined: 24 Nov 2005
Posts: 710
Location: Champagne !

PostPosted: Tue Feb 12, 2008 10:17 am    Post subject: Reply with quote

Possum wrote:

De plus, comment faire sachant que moint point d'accès Wi-Fi est la FBX, et que logiquement, si mon FW est bien configuré, il ne devrait pas laisser passer les requêtes DHCP venant de la FBX ! me voilà bien em........


dmz et lan deux réseaux différents + les requetes DHCP ne sont pas routables = Ca doit t'enlever un bout du problème.

EDIT : ou alors j'ai rien compris à ce que tu veux faire...
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3098
Location: Paris

PostPosted: Tue Feb 12, 2008 10:22 am    Post subject: Reply with quote

@Possum: tu te fais des noeuds au cerveau...

Commence par définir tes moyens: tu as les machines supplémentaires (2) avec les cartes réseau pour faire "dans les règles de l'art"?
Sinon, tu fais au mieux, en virant déjà le mode DMZ de la freebox... Et tu forward uniquement les ports des services que tu veux laisser accessible depuis ton serveur interne (qui a toujours 2 pattes).


Code:
FBX --> FW --> serveur feuteupeuh / hacheteuteupeu accessible depuis exterieur par NAT
                     |
                     --> Serveur DNS, DHCP, Samba, NFS, iSCSI en écoute sur l'interface LAN.
                     |
                      --> Autres machines du LAN qui passent par le FW.


Ca améliore quand même la sécu des flux réseau.

Par contre, si c'est un LAN d'entreprise, là effectivement il faut voir plus grand, car si ton service HTTP ou FTP est cassé et la machine comprise, tu es à poil. Mais dans ce cas, ya jamais de compromis à faire, c'est "règle de l'art" et c'est tout (un FW qui ne fait que FW et "crée" la zone DMZ par ses règles et avec ses 3 interfaces réseau, un serveur qui serre les miches en DMZ, et un serveur dans le LAN pour le reste). (après, tu peux toujours tenter la virtualisation, mais les impacts sont à étudier côté sécu).

Ensuite, si tu pars dans l'optique "règle de l'art", je vois plus pourquoi tu laisserais ta freebox en mode routeur...

Bref, t'as 2 choix possibles suivant l'enjeu et les moyens, et le reste est techniquement simple.
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Feb 12, 2008 10:44 am    Post subject: Reply with quote

El_Goretto wrote:


Ensuite, si tu pars dans l'optique "règle de l'art", je vois plus pourquoi tu laisserais ta freebox en mode routeur...

Bref, t'as 2 choix possibles suivant l'enjeu et les moyens, et le reste est techniquement simple.




Je suis du côté de El_Goretto sur ce point.
De la façon dont les "box" sont etudiées, tu ne pourras pas avoir une sécurité satisfaisante à mon avis.
Tu devrais utiliser un PC pour faire office de firewall/routeur. Non seulement tu est bien plus libre au niveau configuration, mais tu as une bien meilleure idée de ce qui se trame dans ton LAN et au niveau du WAN avec les logs.
De plus il t'es possible de créer une vraie dmz si besoin (ce qui peux commencer à faire beaucoup de cartes réseaux pour le dit firewall :wink: ).
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
Possum
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jul 2003
Posts: 134
Location: Toulouse, France

PostPosted: Tue Feb 12, 2008 5:04 pm    Post subject: Reply with quote

Continuons donc la réflexion.

Je dispose du matos suivant, en comptant ce qui est installé, ce qui ne l'est pas encore et ce qui est prévu à l'achat:
  • une FBX V4 configurée en mode routeur, DMZ désactivée, point d'accès Wi-Fi
  • un PC qui hébergera myth-tv pour se transformer en HTPC, pour l'instant, mon serveur / WS
  • un PC qui pourrait être serveur de fichier pour le réseau, voire FTP et HTTP. Je lui ferai bien faire serveur CUPS aussi. Il balancera sûrement de l'iSCSI
  • un PC qui sera ma WS, pour l'instant, c'est un boitier avec juste un DD, j'attends les Core 2 Quad en 45 nm :)
  • un Portable qui se connecte indiféremment en Wi-Fi ou par câble
  • le portable du boulot l'url histoire de vous faire profiter, connection câble ou Wi-Fi
  • un switch gigabit full-duplex supportant les jumbo-frames pour l'iSCSI
  • Quelques câbles rezo
  • En cherchant bien, une carte rézo supplémentaire, enfin, c'est pas le prix que ça coûte qui va m'arrêter :)
  • Du café en pagaille


Donc, je devrais, si je vous lis bien faire un truc du genre:

Code:
FBX routeur --> switch <-- FW deux pattes / Serveur fichiers --> Station, HTPC
    |               |
    |               ---> cafetière **Important**
    |
    --> Portables en Wi-Fi


Si je mets un FW derrière le routeur, ça me parait un poil bizarre..

J'aurais plutôt tendance à coller une troisième carte sur le FW et à lui faire faire lui du routage en ayant une patte directement sur l'extérieur. Mais du coup, il me faut un point d'accès à l'intérieur...

Donc, je vois mal comment faire dans les règles de l'art vu le matos dont je dispose

PS: Et oui, c'est pour chez moi, mais je suis dingo :)

PPS: Et, bien sûr, est-il besoin de le préciser, les seuls Windows qu'il y a dans le réseau c'est le dual-boot de mon portable et la machine virtuelle sur le portable du taff.
_________________
Marsupial Power Inside

Sauvez les arbres, mangez un castor !
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum