Vous n'êtes pas identifié(e).
- Pour l'ONT
- Pour le DHCP Orange
Nb: les XXX je les est remplacer par mon fti
- Mon fichier dhcpd.conf
- Le script d'iptables que j'utilise bon je l'avoue c'est du C/C de un peu partout mais il ma l'air de fonctionner le ssh dans mon lan fonctionne en tout cas
- Je vous avoue que je ne l'aime pas du tout, je n'ai pas la sensation qui bloque quoi que se soit vu que le nmap passe :-/
Auriez vous des conseil à me donner j'ai lu bon nombre de forum/tuto/site mais presque tout le monde se contredit un dit faut tout bloquer et ouvrir un autre tout ouvrir et bloquer bref ça me paume
- Pareil au niveaux des interfaces je suis correct ? je cherche a être le plus safe "
Dans mon fichier log de dhcp j'ai une erreur qui reviens en constant je trouve pas le moyen de la debug si vous pouvez mi aider un coup ^^
PS: Mon fichier /etc/default/isc-dhcp-server => INTERFACESv4="enp3s0"
- Je comprend bien que la résolution ne se fait pas mais je trouve pas comment y faire si c'est le routage ou l'iptables ...
Mon ip route du routeur debian 9:
Mon ip route du pc brancher sur la deuxieme carte ''enp3s0'
Désolé je suis ni pro/expert & navré pour mais grosse faute par avance.
Nb: Merci d'avance
#####################################################################
:Update des fichiers de config ;
#
Dernière modification par BoxBox (14-09-2018 11:42:34)
Hors ligne
gateway 2.0.0.6
Pourquoi définir une route par défaut sur l'interface LAN ? La route par défaut ne devrait pas être par l'ONT ?
2.0.0.6 est un autre routeur (ou box) avec un autre accès internet ?
Rappel : il ne doit y avoir qu'une seule route par défaut. Si une des interfaces est configurée en DHCP, c'est généralement elle qui a une route par défaut fournie par le serveur DHCP.
range 2.0.0.1 2.0.0.6;
Il est préférable d'exclure de la plage DHCP les adresses déjà attribuées statiquement comme la propre adresse du routeur 2.0.0.1, sa passerelle par défaut 2.0.0.6.
Le script d'iptables que j'utilise (...) Je vous avoue que je ne l'aime pas du tout
Tu as raison de ne pas l'aimer. Il est incohérent, des chaînes sont définies mais pas utilisées, les commentaires ne correspondent pas aux règles (signe que les règles n'ont pas été comprises)...
Néanmoins il suffit à autoriser les connexions depuis et vers le LAN, et les connexions depuis le LAN vers l'extérieur.
Dans mon fichier log de dhcp j'ai une erreur qui reviens
Il n'y a aucune erreur dans cet extrait. Ce sont des renouvellements de bail normaux puisque tu as défini une durée de bail par défaut de 10 minutes (600 secondes) dans dhcpd.conf donc le client demande le renouvellement à la moitié de cette durée, soit toutes les 5 minutes.
Mon ip route du routeur debian 9:
Il manque les routes associées à l'interface connectée à l'ONT, qui devraient être configurées en DHCP. Quel est son statut ?
Il vaut mieux montrer que raconter.
Hors ligne
3) Merci de me supporter dans la protection
- Un autre exemple :
- Si tu aurais un exemple de pare-feu concret qui bloque tout de tout (Routeur config .. Je te jure, je prends, j'ai eu l'occasion de test de drop tout input, j'ai étais CHOQUER par toutes ses tentatives de scan bot & autre venant du 4 coin du globe o_O ... Je n'ai pas compris ma vie ) & je trouve sa ultra badant ....
4)Oui mais normalement il devrais pas me retourner un bound renewal pour me dire que la connexion est bien faite ?
5) Yep je l'avais pas en ON.
Pour l'extrait avec l'ipv4 je refais un poste plus tard j'ai plus ax sur la ligne la femme au balais^^
Si jamais j'ai omis un truc navré & merci encore une fois.
Hors ligne
o_O
Hors ligne
Dernière modification par BoxBox (13-09-2018 18:38:47)
Hors ligne
sinon la machine cliente, en 2.0.0.2 il a bien accès à internet actuellement ?
o_O
Hors ligne
Dernière modification par BoxBox (13-09-2018 18:57:50)
Hors ligne
tu me dit 2.0.0.6 c'est ma passerelle de la carte pas plutôt .7 ?
Ce n'est pas moi qui le dis, c'est l'option "gateway" de ton fichier interfaces. Mais si en fait il n'y a pas machine servant de passerelle avec cette adresse, tu dois supprimer cett option et tu peux laisser l'adresse dans la plage DHCP. L'adresse 2.0.0.7 n'a rien à voir avec une adresse de passerelle : c'est l'adresse de broadcast (diffusion à toutes les machines) du sous-réseau, que tu n'as pas vraiment besoin de déclarer où que ce soit car c'est géré automatiquement.
Une remarque : pourquoi utilises-tu le préfixe 2.0.0.0/29 ? Il fait partie d'un bloc d'adresses publiques attribué à Orange, on ne devrait pas les utiliser sur un réseau privé connecté à l'internet public. Il y a suffisamment de plages d'adresses privées en libre usage.
- Un autre exemple :
Je n'ai pas vocation à analyser et commenter tous les scripts iptables mal fichus, mal compris ou mal utilisés qu'on peut trouver...
Si tu aurais un exemple de pare-feu concret qui bloque tout de tout
Pas besoin de pare-feu pour tout bloquer : il suffit de débrancher les câbles réseau.
4)Oui mais normalement il devrais pas me retourner un bound renewal pour me dire que la connexion est bien faite ?
C'est ce que fait la réponse DHCPACK.
juste pour comprendre, ton ONT est en mode bridge ?
Si j'ai bien compris ce que m'avait expliqué un ami, l'ONT est juste un convertisseur fibre-ethernet. Normalement on y branche la box. L'objectif des bidouilles avec l'interface VLAN et les options de DHCP est de se brancher directement à l'ONT en se passant de la box. Le mode bridge, la DMZ... qui sont des fonctions de la box sont sans objet.
Dernière modification par raleur (13-09-2018 21:24:51)
Il vaut mieux montrer que raconter.
Hors ligne
Le mode bridge, la DMZ... qui sont des fonctions de la box sont sans objet.
oh que si, c'est tout l'objet du sujet... avoir un firewall qui bloque tout de tout, alors qu'il y aurait un routeur en amont... sans nat de port, ou dmz, je ne vois pas comment il recevrait une attaque extérieur sur le pc routeur, ni lui même accéder à son ssh hors de chez lui...
o_O
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
- Pour l'option gataway je sais pas trop j'ai juste remarqué un truc, c'est que mon dhcp il est obligé d'avoir les dns d'orange dans le resolve.conf sinon pas de préfixe et franchement pour dire vrais ça me faire légèrement chier ... (je regarde la suite de ta phrase dans la journée ^^.)
- Franchement, je ne savais pas que c'était un une série d'ip public d'Orange je voulais juste une série d'ip perso a moi
{si une troisième carte se brancher, je lui donnerai 3.0.0.0 .. }
- Tempis pour moi, ça ferai un réseau troué de plus dans le réseau, on n'est pas à une machine prête, tu me diras xD {au vu du nombre de bots scan qui nous scanné sans même faire quoi que se soit de mon côté }
- mdr je voudrait quand même avoir un minimum du genre le net quoi/console ^^, d'avoir mon dns VPN tout local chiffré,
- Bah, enfaîte-je m'aider à une réponse comme ceci :
- Bah, j'ai lu que la dmz est la zone tampon de l'internet j'ai pas tout saisie, mais j'ai saisi que nous particulier, on n'avait pas cette option enfin la vrais dmz pas tout compris
* Comme je les fais remarquer au début de mon poste, je suis pas pro dans le domaine.
@Freemaster
- Je n'ai pas de routeur justement, c'est un vieux pc que je veux recycler.
- Bah, c'est trop le nombre de machins qui passe par mon ip gratuit comme sa si un moment donner le Debian ou le routeur Orange ont une faille ou quoi et qu'un de ses scanners ont ça dans leur manche tes mort net :-/ si y a moyen de sen rentre compte plus vite avec une Debian que le routeur Orange qui dit rien, je préfère nan ?
@raleur exacte
Dernière modification par BoxBox (14-09-2018 07:49:47)
Hors ligne
Pour l'option gataway je sais pas trop
Comme prévu la command ip route montre bien que le client DHCP a créé une route par défaut sur l'interface VLAN, donc il ne faut pas d'option gateway sur une autre interface.
mon dhcp il est obligé d'avoir les dns d'orange dans le resolve.conf sinon pas de préfixe
Peux-tu préciser ? Tu parles de la configuration de dhcpd ? Quel(s) autre(s) DNS voudrais-tu utiliser ? Si tu veux que le PC routeur fasse office de serveur DNS, il faut en installer un comme bind9, unbound ou dnsmasq (attention il fait aussi serveur DHCP).
je ne savais pas que c'était un une série d'ip public d'Orange je voulais juste une série d'ip perso a moi
Tu peux utiliser les adresses que tu veux dans les plages 192.168.0.0/16, 172.16.0.0/12 et 10.0.0.0/8.
je voudrait quand même avoir un minimum du genre le net quoi/console ^^, d'avoir mon dns VPN tout local chiffré,
Qu'appelles-tu "dns VPN" ?
Oublie cette histoire de DMZ, c'est hors de propos.
Il vaut mieux montrer que raconter.
Hors ligne
Merci pour l'info a retenir ^^
- Quand je parle de dhcp je parle bien sur de isc-dhcp-server intégrer dans Debian par Default ... Par contre, je sais que pour un dns il me faudra un dns je voulais mettre dnsmasq bcp dise qu'il est léger, etc..
- Par contre il fait office de dhcp fait chier j'aurai pue le faire des le début, tempis j'ai la config de prête normalement x)
- Ué je suis d'accord mais bon cela change quelle que chose ? si vraiment sa change rien, tranquille ^^
- Oups voulais dire un dns et un vpn
- d'ac.
Nb: Par contre y a un truc qui me gène c'est si je change les dns qui y a dans le fichier resolv.conf par 127.0.0.1 je vais perdre mon préfixe ipv4 ...
Dernière modification par BoxBox (14-09-2018 11:47:51)
Hors ligne
cela change quelle que chose ?
Les machines de ton réseau ne peuvent pas communiquer avec les machines sur internet qui sont les détentrices légitimes de ces adresses.
si je change les dns qui y a dans le fichier resolv.conf par 127.0.0.1 je vais perdre mon préfixe ipv4
Quel préfixe IPv4, et quel rapport avec le DNS ?
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
J'ai l'interface virtuelle où je reçois mon internet avec l'ip du fai / enp1s0.832
Cette interface permet d'envoyer et recevoir des trames ethernet avec le tag VLAN 832 sur l'interface enp1s0.
J'ai du coup la possibilité de mettre une config "reseaux/interne ? " Sur enp1s0 qui pour le moment est sur manuel sans ip
Qu'appelles-tu "config réseaux/interne" ?
Il est possible de définir une configuration IP sur l'interface enp1s0, mais dans quel but ?
Pour l'utiliser comme interface LAN à la place de enp3s0 ?
Ce serait faisable, mais sans un switch ethernet correctement configuré pour isoler les VLAN je ne le recommande pas car l'ONT serait directement connecté à ton réseau local.
Mon iptables je le base sur quoi sur enp1s0.832 et enp3s0 ?
Oui.
Ou je doit rajouter une config sur enp1s0
Ça dépend. Si le jeu de règles bloque tout par défaut, il n'y a rien de plus à faire.
Sinon il est plus prudent d'ajouter des règles pour bloquer le trafic IP sur enp1s0. Cela n'affectera pas le trafic IP sur enp1s0.832 qui est considéré par iptables comme une interface distincte.
Il vaut mieux montrer que raconter.
Hors ligne