Cette espace vous permet de voir toutes les Messages réalisées par ce membre. Vous ne pouvez voir que les Messages réalisées dans les espaces auxquels vous avez accès.
Chez moi on voit clairement que cette règle est la première de la chaine INPUT, c'est l'objectif.
Chez toi, deux possibilités:
Tu n'as pas rentré la règle iptable, tu utilises la règle firewalld que tu as citée au dessus Mais normalement, si firewalld est actif, tu n'as pas besoin de ces règles firewalld, il bloque quasiment tout par défaut.
Tu as rentré la règle iptable Constat: elle ne se trouve pas en haut comme chez moi, dans ce cas je ne peux pas t'assurer du bon fonctionnement
Pour finir je m'y perd avec tes descriptions, je ne sais plus de quoi tu parles exactement. Partage freebox (intégré à la box) ? Serveur samba que tu as rajouté ? Réglage du pare-feu de ta box ? Serveur sur une dmz ? Comme déjà dit, je peux t'aider avec opensuse, mais le reste, tu pars dans tous les sens !! Prend un sujet un par un… Bonne chance
PS: vérifie que la zone external est bien appliquée à l'interface d'opensuse (??) par où transitent tes données.
1) Il s'agit d'un partage SMBV2 de la box, qui fait que l'on voit le disque dur de la box dans le partage réseau. Donc c'est ça qui ouvre au moins le port 445 a mon avis. Mais j'en ai besoin, la box sert de sauvegarde.
Selon moi sur une box classique, le pare-feu inspecte les paquets transitant par l'interface WAN (entre le réseau internet et ton réseau local), bloque ou laisse passer ces paquets selon les règles de pare-feu établies, mais n'impacte pas ton réseau local LAN (switch)… Ainsi, dans les grandes lignes, comme ton serveur samba est dans ton réseau local (sauf config spécifique à ta box), alors il devrait être accessible de ton réseau local, peu importe tes règles de pare-feu (comprenant tcp 445 notamment). Mais tout cela dépend à mon sens maintenant plus de ta box, de la topologie de ton réseau informatique que de ton ordinateur et d'Opensuse… Je peux t'aider à réfléchir à la sécurité de ton ordinateur avec Opensuse, pour le reste sauf si quelqu'un du forum connaît le sujet et peut te renseigner, j'irais plus me renseigner sur un forum informatique généraliste (avec une section Freebox par exemple), ou sur un forum free…
Par contre je ne vois pas où se situe la seconde capture écran...
Oui, tout pareil. Ça me fait penser à l'interface susefirewall2, si ma mémoire visuelle est bonne… Je suppose (sinon je ne vois pas ??) qu'il a dû installer susefirewall2, allez dans yast, prendre la capture, puis poster… Mais on n'utilise plus ce pare-feu…
C'est pour ça que je voulais vérifier…
@ricobolo pourrais-tu mettre des plus grosses captures ? C'est difficile à lire.
Donc c'est bien le partage de la box qui fait que les IP entrent sur la dmz en 445.
En tout cas plus rien concernant les tentatives d'accès sur samba, je continue la surveillance, et je pense que la règle du drop est nickel si je réactive le partage de la box ( elle me sert de sauvegarde donc j'en ai besoin ).
1) D'ici, je ne sais pas trop ce que veux dire "le partage de la box", je veux dire en terme d'informatique réseau… Bref. 2) La règle fonctionne très bien si elle n'est pas précédée d'une autre règle qui la contourne… Et là je ne peux pas vérifier pour toi: d'où ma demande avec la commande précédente pour laquelle tu n'as pas donné le résultat… 3) Les plus de 1000 règles figurant dans iptables INPUT. Tu peux les virer, tu vas gagner en lisibilité !! La règle que je t'ai filée fait très bien le boulot. "fail2ban" c'est bien en cas d'attaque, par sécurité, mais pas au-delà… 4) Ça va mieux pour ton ordinateur. Il faut maintenant comprendre et traiter ce qui se passe au niveau de ta box… Sinon tu vas avoir du traffic pour rien sur ton réseau dans le meilleur des cas… Je viens de te lire, effectivement si ton serveur samba est sur la dmz, tout passe malgré les blocages configurés sur ta freebox…
1a) ferme tous les ports de ta freebox; (si tu as un serveur que tu ne veux pas couper momentanément, ba mince!) 1b) tu inspectes voir si tout fonctionne comme attendu, voir si tu as encore des intrus… Normalement non !!
PS2: si ton pare feu est bien configuré (au moins celui de ton ordinateur), alors le serveur samba ne devrait, selon moi, rien recevoir. Ton log samba nous indique donc que ton parefeu est mal configuré.
Tout ce qui n'est pas dans mon réseau local ne peut pas accéder à mon serveur samba.
Test avec une ip hors de mon réseau local: 10.1.1.2, ça ne passe pas: rem: le ping montre que j'ai bien accès au serveur samba (via une passerelle) en pinguant…
S | Name | Summary | Type ---+----------------------------+---------------------------------------------------------------------+----------- | SuSEfirewall2 | Stateful Packet Filter Using iptables and netfilter | package
On voit que susefirewall2 n'est pas installé, parfait.
Pour l'essentiel j'ai à peu près résolu mes problèmes. J'ai fail2ban qui bloque des ip externes sur samba, mais on ne les voit pas les règles de blocage dans firewalld ( ce qui est étonnant ou qui m’échappe ) mais on les voit bien dans iptables -L.
Je n'en sais pas plus. Je sais juste que firewalld, iptables et nftables tournent dans l'espace utilisateur et permettent de fournir des règles pare-feu à Netfilter, qui lui est le parefeu dans l'espace noyau. "firewalld is a firewall management tool for Linux operating systems. It provides firewall features by acting as a front-end for the Linux kernel's netfilter framework. firewalld's current default backend is nftables. Prior to v0.6.0, iptables was the default backend.[2] Through its abstractions firewalld acts as an alternative to nft and iptables command line programs."
J'ai réussi a installer munin, et je ne savais pas qu'il avait un graphe pour fail2ban. Grace au graphe je vois un peu mieux ce qui se passe, et j'ai quand même banni 2300 IP en 24heures rien que sur samba.
Je ne connaissais, ça a l'air intéressant et pratique.
Mais comme je n'ai qu'une carte réseau je n'arrive pas a bloquer les ports 445/139/138 d'un point de vue du routeur (ip publique) sans bloquer le local, je crois que ce n'est pas possible. C'est a dire que si j'autorise pas le service samba sur mon interface reseau, j'ai plus de samba local. J'ai essayé de désactiver le partage freebox, mais c'est pareil, on atteint ma machine en 445 depuis l’extérieur.
Hum, cela fait un moment que je n'ai pas eu de Freebox sous la main. Une Freebox, c'est un routeur / pare-feu /switch. Le pare-feu d'une box permet au minimum d'autoriser ou de bloquer ce qui vient de l'extérieur (d'internet), entre deux réseaux… Par contre, ce pare-feu n'agit pas sur le switch (tes 4 ports ethernet + le wifi), tous les paquets transitant par ton switch ne sont pas traités, ils arrivent sur ton switch, et ton switch les orientent vers le bon port (eth0, eth1, eth2… ; il ne s'agit pas des ports de la couche transport…) grâce à l'adresse MAC du paquet, et grâce à sa table CAM i.e. vers l' "ordinateur destination".
Et d'ailleurs les ports ne sont a ma connaissance pas redirigés depuis le routeur (freebox) sur cette machine, seul les ports 80,443 sont redirigés, c'est pour ça que je ne comprends pas que ces ip atteignent ma machine. J'ai même fait une redirection factice depuis le routeur, c'est à dire vers une ip qui n'existe pas, mais j'ai toujours autant de visites indésirables... Mais bon heureusement fail2ban + le firewalld plus la config de samba semble bien bloquer tout ce monde, sans me bloquer moi en local.
1) Oui ce n'est pas normal. Il y a une couille dans le potage. (dans ta config, chez toi…)
C'est quoi comme Freebox ?
Il faut inspecter les paquets arrivant vers ton serveurs samba (tcp 445), trouver les ip sources de ces paquets, quelques-une. Et ensuite, aviser. Qui sait, si cela se trouve, ce sont des ip locals ?? Tu peux faire cela en installant un "sniffer" sur ton serveur samba. Le plus connu en gui: wireshark (à démarrer en cli admin - pas avec sudo). Sinon avec tcpdump en cli.
Par exemple, j'ai une imprimante/scaner réseau. Quand je scanne en réseau de mon imprimante, elle va se connecter sur le serveur samba de mon ordinateur, et en ainsi envoie le scan vers un dossier de mon ordinateur. Avec le sniffer, je vois très bien ce qui se passe: C'est mon imprimante ipsource: 192.168.0.94 qui veut se connecter mon serveur samba port-dest:445 tcp
Peux-tu donner quelques ip sources qui se connectent à ton serveur samba ? (celles qui te semblent suspects) Histoire d'y voir un peu clair.
2) sinon, il existe une solution pour établir des règles de pare-feu qui fonctionnent, pour l'ordi du serveur samba. Il est important de comprendre que les règles de pare-feu ont un ordre, ainsi si tu insères ces règles dans cet ordre dans l'ordinateur où tourne ton serveur samba, cela fonctionnera comme convenu:
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.x
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.y
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.z
refuser tous les paquets en input avec le port-destination 445, protocol tcp
=> tu laisses passer tout ce qui est local (en input), puis tu bloques tout le reste ! (port-dest: tcp 445…) Sinon tu peux accepter une plage d'ip 192.168.0.0/24 par exemple…
Étonnant que Leap continue à le proposer par défaut, c'est pas grave mais ça embrouille un peu...
Peut-être as-tu trifouiller ta machine ??
Chez moi, sur deux machines avec Leap 15.3 saines (avec très peu de dépôts externes), si je veux installer fail2ban il ne m'est pas demandé d'installer SuSEfirewall2… (je n'ai pas de Tumbleweed sous la main maintenant)
thierry@toto-PC:~> sudo zypper info susefirewall2-to-firewalld Repository-Daten werden geladen... Installierte Pakete werden gelesen...
Informationen zu Paket susefirewall2-to-firewalld: -------------------------------------------------- Repository : Haupt-Repository Name : susefirewall2-to-firewalld Version : 0.0.4-3.9.1 Arch : noarch Anbieter : SUSE LLC <https://www.suse.com/> Installierte Größe : 87,4 KiB Installiert : Nein Status : nicht installiert Quellpaket : susefirewall2-to-firewalld-0.0.4-3.9.1.src Zusammenfassung : Basic SuSEfirewall2 to FirewallD migration script Beschreibung : This is a simple bash script aiming to provide a basic migration path from SuSEfirewall2 to FirewallD.
C'était du temps où firewalld est arrivé dans Leap 15 (voir Opensuse 42.x) alors qu'il y avait encore susefirewall2, le firewall d'Opensuse d'alors.
Ce petit script servait. comme indiqué, pour migrer facilement vers firewalld… Je ne l'ai jamais utilisé, je pense qu'il s'agissait de migrer des règles de pare-feu.
Aujourd'hui, il ne sert plus à rien.
## Quant à l'applet firewalld, oui l'affichage est un peu buggy chez moi aussi, sauf quand je clique dessus aussi.
@edit: susefirewall2 (sans le d) est l'ancien firewall, avant firewalld.
<div class="section_header section_header_red"> <div id="about"></div> It works! </div> <div class="content_section_text"> <p> This is the default welcome page used to test the correct operation of the Apache2 server after installation on Ubuntu systems. It is based on the equivalent page on Debian, from which the Ubuntu Apache packaging is derived. If you can read this page, it means that the Apache HTTP server installed at this site is working properly. You should <b>replace this file</b> (located at <tt>/var/www/html/index.html</tt>) before continuing to operate your HTTP server. </p>
<p> If you are a normal user of this web site and don't know what this page is about, this probably means that the site is currently unavailable due to maintenance. If the problem persists, please contact the site's administrator. </p>
</div> <div class="section_header"> <div id="changes"></div> Configuration Overview </div> <div class="content_section_text"> <p> Ubuntu's Apache2 default configuration is different from the upstream default configuration, and split into several files optimized for interaction with Ubuntu tools. The configuration system is <b>fully documented in /usr/share/doc/apache2/README.Debian.gz</b>. Refer to this for the full documentation. Documentation for the web server itself can be found by accessing the <a href="/manual">manual</a> if the <tt>apache2-doc</tt> package was installed on this server.
</p> <p> The configuration layout for an Apache2 web server installation on Ubuntu systems is as follows: </p> <pre> /etc/apache2/ |-- apache2.conf | `-- ports.conf |-- mods-enabled | |-- *.load | `-- *.conf |-- conf-enabled | `-- *.conf |-- sites-enabled | `-- *.conf </pre> <ul> <li> <tt>apache2.conf</tt> is the main configuration file. It puts the pieces together by including all remaining configuration files when starting up the web server. </li>
<li> <tt>ports.conf</tt> is always included from the main configuration file. It is used to determine the listening ports for incoming connections, and this file can be customized anytime. </li>
<li> Configuration files in the <tt>mods-enabled/</tt>, <tt>conf-enabled/</tt> and <tt>sites-enabled/</tt> directories contain particular configuration snippets which manage modules, global configuration fragments, or virtual host configurations, respectively. </li>
<li> They are activated by symlinking available configuration files from their respective *-available/ counterparts. These should be managed by using our helpers <tt> a2enmod, a2dismod, </tt> <tt> a2ensite, a2dissite, </tt> and <tt> a2enconf, a2disconf </tt>. See their respective man pages for detailed information. </li>
<li> The binary is called apache2. Due to the use of environment variables, in the default configuration, apache2 needs to be started/stopped with <tt>/etc/init.d/apache2</tt> or <tt>apache2ctl</tt>. <b>Calling <tt>/usr/bin/apache2</tt> directly will not work</b> with the default configuration. </li> </ul> </div>
<div class="content_section_text"> <p> By default, Ubuntu does not allow access through the web browser to <em>any</em> file apart of those located in <tt>/var/www</tt>, <a href="http://httpd.apache.org/docs/2.4/mod/mod_userdir.html" rel="nofollow">public_html</a> directories (when enabled) and <tt>/usr/share</tt> (for web applications). If your site is using a web document root located elsewhere (such as in <tt>/srv</tt>) you may need to whitelist your document root directory in <tt>/etc/apache2/apache2.conf</tt>. </p> <p> The default Ubuntu document root is <tt>/var/www/html</tt>. You can make your own virtual hosts under /var/www. This is different to previous releases which provides better security out of the box. </p> </div>
<div class="section_header"> <div id="bugs"></div> Reporting Problems </div> <div class="content_section_text"> <p> Please use the <tt>ubuntu-bug</tt> tool to report bugs in the Apache2 package with Ubuntu. However, check <a href="https://bugs.launchpad.net/ubuntu/+source/apache2" rel="nofollow">existing bug reports</a> before reporting a new bug. </p> <p> Please report bugs specific to modules (such as PHP and others) to respective packages, not to the web server itself. </p> </div>