Vous n'êtes pas identifié(e).
Dernière modification par anonyme (11-08-2019 12:32:02)
supprimé samba sur le sous-réseau est bien aussi .
Surtout si tu ne comptes pas utiliser samba…
Maintenant ton pare-feu ressemble à quoi sur la passerelle ?
Hors ligne
Tu peux juste garder la dernière.
Dernière modification par enicar (11-08-2019 12:46:10)
Hors ligne
Dernière modification par anonyme (11-08-2019 13:25:19)
Heureusement que tu me surveille
Eh ho ! Je ne suis pas big brother ! Je ne surveille personne
Hors ligne
Il vaudrait mieux mettre : « "FORWARD_INVALID " ». Ça permet de d'identifier plus
vite d'où ça vient quand on lit les logs.
Hors ligne
Dernière modification par anonyme (11-08-2019 13:26:38)
Hors ligne
n' oublie pas que pas de route du réseau local vers le sous-réseau
un ping d un client en 192.168.1.0/24 ne peu joindre un client sur le 192.168.10.0/24 (l'inverse oui )
remarque :
pour moi le seul qui connaît le sous-réseau et autorisé c'est le switch 192.168.1.2 (tout le reste est refusé en entrée si pas une demande en provenance du sous-réseau )
pas de règle nat sur la box , aucun port autorisé en entrée , je vois pas comment possible d'atteindre un serveur web éventuel en 192.168.10.xx
nota: de 2005 a 2014 environ j'ai eu ip fixe , nom de domaine enregistré , et un serveur web en ligne (apache+php+mysql) , je sais la galère que c'est
bien sur je suis conscient que un réseau étanche a 100% ça n'existe pas , oui coupé le cable adsl
remarque:
tous ces ports ne sont autorisés que sur enp6s0f1
enp6s0f0 ne laisse rien passer en entrée ?
Dernière modification par anonyme (11-08-2019 20:27:06)
Ou tu vois un serveur web ?
Pourquoi avoir ouvert les ports https et http sur la passerelle, si il n'y a
pas de serveur web ?
À quoi te sert le port 8080 ?
es clients utilise le port 80 et 8080 (firefox , FAH )
Je n'ai toujours pas compris ce qu'est FAH…
Remarque que les ports 80 et 443 de la passerelle n'ont pas besoin
d'être autorisé pour accepter du trafic en direction de ces ports vers d'autres
machines sur internet.
remarque:
tous ces ports ne sont autorisés que sur enp6s0f1
iifname "enp6s0f1" jump local_in
enp6s0f0 ne laisse rien passer en entrée ?
Oui, sur enp6s0f0 les flux sur ces ports sont interdits.
Le truc c'est de savoir si il y a des programmes sur la passerelle qui écoutent
sur ces ports :
donnera une liste des sockets en écoute avec les programmes qui les utilisent.
Aussi, je trouve qu'une passerelle, peut accueillir quelques services : dhcp, dns c'est déjà
limite, cups éventuellement, ntp, mais pas un serveur web, même pour l'usage local.
Après, on fait comme on peut avec le peu de moyen qu'on a à notre disposition…
Je donne juste mon avis. La plus grosse faille de sécurité sur les postes clients
ça reste le navigateur internet. Et aucun filtre de paquets n'y peut rien.
PS: J'ai mis longtemps, à répondre car j'ai eu une panne d'internet de plusieurs heures
Hors ligne
a été remplacé par
pour les services en écoute ci dessus je peu les déporter sur un autre serveur , mais il faudra toujours autoriser des choses.
ps: tarder a finir la réponse , on a eu la visite de sanglier .........
Dernière modification par anonyme (12-08-2019 02:09:30)
a mon avis si je retire http et https , mes clients plus de net avec firefox
je me trompe ?
Oui tu te trompes. Les règles que j'ai changé c'est pour l'accès local
à la passerelle. Les communication avec les sites sur internet passe
par la chaîne forward de la table ip filter, pas par la chaîne input.
Or, c'est dans la chaîne input que j'ai fait une modification. L'idée
est de limiter les accès à la passerelle pour le réseau locale (ton sous-réseau)
au service strictement nécessaire.
Le DNS (port 53), cups (port 631) et ntp sont fourni par la passerelle.
Je suppose que tu te sers de la passerelle aussi pour envoyer tes mails,
c'est à dire que le serveur de mail (exim) de la passerelle est utilisée.
Par contre pour le trafic vers internet, ça ne change rien, c'est réglé dans
la chaîne forward où tout est autorisé à passer dans le sens du réseau
locale vers l'extérieur mais pas dans l'autre sens :
La première règle dans cette chaîne :
dit que tout ce qui entre par l'interface enp6s0f1 est accepté.
Je répète, la chaîne forward concerne les paquets qui transitent
par la passerelle mais qui ne sont pas à destination de la passerelle.
Dans cette même chaîne on autorise le trafic inverse qu'à condition
qu'il soit fasse partie d'une connexion déjà établie ou relative
à une connexion initiée depuis le réseau local. Le reste ne passe pas.
Supposons que tu demandes la page d'accueil du site df.org depuis une machine
de ton réseau local (en http ou https). Une première demande de connexion va
arriver sur la passerelle (c'est à dire un syn au niveau du protocole tcp). Ça
va passer la chaîne prerouting où il n'y a pas de règle. Ensuite intervient une
décision de routage. Comme ce paquet n'est pas à destination de la passerelle
ça va passer dans la chaîne forward, qui va l'autoriser à continuer à cause de
« iifname "enp6s0f1" accept », peu importe vers quel port il est dirigé.
Ensuite ça passe dans une nouvelle décision de routage le paquet continue, il
doit sortir par la l'interface qui est déclaré être celle de la gateway (que
l'on voit avec la commande « ip route » sur la passerelle). Le paquet arrive
dans la chaîne postrouting là la règle « oifname "enp6s0f0" masquerade » qui va
nater le paquet, en enregistrant la correspondance pour dénater la réponse au
retour. Bref le paquet sort de la passerelle comme si il avait été produit par
la passerelle (avec son adresse ip) de telle façon que la livebox croit que
c'est la passerelle qui fait cette connexion.
En même temps le système de suivi de connexion a enregistré de son
côté cette nouvelle socket. Du coup quand la réponse « syn - ack »
arrive dans l'autre, après avoir été dénaté, elle repasse
dans une décision de routage. Ce paquet a retrouvé sa véritable
adresse de destination qui est dans le réseau local. Donc
on repasse dans la chaîne forward, là la règle
« ct state related,established accept » match, on laisse continuer le
paquet qui peut aller jusqu'à la machine du réseau local.
Ça paraît compliqué comme ça, mais une fois qu'on visualise bien tout ça
dans le schéma : https://wiki.nftables.org/wiki-nftables … lter_hooks
ça devient plus simple.
Le truc le plus mystérieux, c'est le moment où les paquets sont dénatés.
Ça se passe au niveau du prerouting (où on a mis aucune règle) automatiquement.
C'est la magie du NAT.
D'ailleurs je viens de me rendre compte qu'on devrait être plus précis
pour la règle de masquerade… mais on verra ça demain
J'espère ne pas t'avoir assommé avec cette longue explication
En bref, tu peux supprimer les port http, https, et 8080 de tes
règles.
Dernière modification par enicar (12-08-2019 02:40:04)
Hors ligne
annonce de l'imprimante HP en 138 (netbios) avec l'ip de l imprimante SRC=192.168.10.32
et ceci de sa propre carte réseau => SRC=192.168.10.49 DST=224.0.0.251
Dernière modification par anonyme (12-08-2019 12:02:51)
Dernière modification par anonyme (12-08-2019 12:15:24)
et ceci de sa propre carte réseau => SRC=192.168.10.49 DST=224.0.0.251
Je n'ai pas compris. Tu dis que l'adresse de l'imprimante est 192.168.10.32 et ensuite
tu parles de paquets multicast émis depuis l'adresse 192.168.10.49… C'est quoi le rapport ?
Hors ligne
bon j'ai le net ,enlevé http , https , 8080
T'as enlevé cups aussi (ipp, le port 631), c'est ce que tu voulais ?
Hors ligne
Dernière modification par anonyme (12-08-2019 12:19:49)
Je n'ai pas compris. Tu dis que l'adresse de l'imprimante est 192.168.10.32 et ensuite
tu parles de paquets multicast émis depuis l'adresse 192.168.10.49… C'est quoi le rapport ?
Bon, apparemment l'adresse de ta machine ryzen est 192.168.10.49, c'est ça ?
Si oui, les paquets sur l'adresse 224.0.0.251 reviennent car ce sont des paquets
multicast. C'est une sorte de broadcast, il faudrait que j'approfondisse mes connaissances
sur leur usage. Je ne maîtrise pas du tout. Dans ce cas on peut tout de même savoir
que c'est très probablement le protocole mdns (c'est à dire multicast DNS). C'est de l'udp
et les ports sources et destination sont 5353 (un petit « grep 5353 /etc/services » est de rigueur ).
Regarde si tu n'as pas avahi d'installer sur cette machine.
Pour plus d'explication regarde : https://en.wikipedia.org/wiki/Multicast_DNS.
Hors ligne
Dernière modification par enicar (12-08-2019 12:45:00)
Hors ligne
Dernière modification par anonyme (12-08-2019 12:45:06)
Ça limite le snat au sous réseau 192.168.10.0/24 qui est relié à l'interface enp6s0f1.
Ça devrait fonctionner.
Hors ligne
Hors ligne
modifié ceci sur la passerelle
accept => autorise uniquement 192.168.10.0/24 => oif (index numérique de la carte réseau) "enp6s0f0" masquerade
ps: pour l'instant sur un client , donc pas fait la modification encore
Dernière modification par anonyme (12-08-2019 14:42:38)
ps: le gpu est a 97% sur la passerelle
a priori rien a voir , un stop sur nftables ne change rien (ce qui me semble normal)
donc une grosse bêtise de ma part
pour comparaison une GTX980 donne 309000 , une gtx1060 80000.
au plus le chiffre est gros , au plus le calcul est rapide
en théorie une GTX1060 est beaucoup plus puissante (ou du moins pas moins )
donc rien a voir avec le filtrage , il profite des avancées sur l'informatique pour faire des calculs plus difficiles.
un peu comme l' IA qui avance a grand pas avec du matériel plus performant
/fin du hors sujet
Dernière modification par anonyme (12-08-2019 15:46:12)