Aller au contenu principal
Sujet: YAST FIREWALL QUE 2 ONGLETS ? (Lu 3308 fois) sujet précédent - sujet suivant

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #15
Denebe,

Nos messages se sont croisés.

Voici iptables -L -n  --line-numbers

1320 REJECT     all  --  37.36.70.156         0.0.0.0/0            reject-with icmp-port-unreachable
1321 REJECT     all  --  37.29.88.126         0.0.0.0/0            reject-with icmp-port-unreachable
1322 REJECT     all  --  37.29.15.114         0.0.0.0/0            reject-with icmp-port-unreachable
1335 REJECT     all  --  37.131.224.158       0.0.0.0/0            reject-with icmp-port-unreachable
1336 REJECT     all  --  36.95.63.98          0.0.0.0/0            reject-with icmp-port-unreachable
1337 REJECT     all  --  36.95.165.29         0.0.0.0/0            reject-with icmp-port-unreachable
1338 REJECT     all  --  36.94.90.10          0.0.0.0/0            reject-with icmp-port-unreachable
1339 REJECT     all  --  36.94.128.162        0.0.0.0/0            reject-with icmp-port-unreachable
1340 REJECT     all  --  36.92.59.249         0.0.0.0/0            reject-with icmp-port-unreachable
1341 REJECT     all  --  36.91.51.221         0.0.0.0/0            reject-with icmp-port-unreachable
1342 REJECT     all  --  36.91.182.130        0.0.0.0/0            reject-with icmp-port-unreachable
1343 REJECT     all  --  36.90.164.160        0.0.0.0/0            reject-with icmp-port-unreachable
1344 REJECT     all  --  36.88.148.249        0.0.0.0/0            reject-with icmp-port-unreachable
1345 REJECT     all  --  36.88.132.36         0.0.0.0/0            reject-with icmp-port-unreachable
1346 REJECT     all  --  36.83.123.28         0.0.0.0/0            reject-with icmp-port-unreachable
1347 REJECT     all  --  36.79.204.2          0.0.0.0/0            reject-with icmp-port-unreachable
1348 REJECT     all  --  36.78.96.180         0.0.0.0/0            reject-with icmp-port-unreachable
1349 REJECT     all  --  36.76.66.122         0.0.0.0/0            reject-with icmp-port-unreachable
1350 REJECT     all  --  36.73.83.167         0.0.0.0/0            reject-with icmp-port-unreachable
1351 REJECT     all  --  36.73.245.4          0.0.0.0/0            reject-with icmp-port-unreachable
1352 REJECT     all  --  36.72.90.93          0.0.0.0/0            reject-with icmp-port-unreachable
1353 REJECT     all  --  36.72.243.218        0.0.0.0/0            reject-with icmp-port-unreachable
1354 REJECT     all  --  36.72.125.217        0.0.0.0/0            reject-with icmp-port-unreachable
1355 REJECT     all  --  36.71.150.80         0.0.0.0/0            reject-with icmp-port-unreachable
1356 REJECT     all  --  36.68.175.4          0.0.0.0/0            reject-with icmp-port-unreachable
1357 REJECT     all  --  36.68.159.21         0.0.0.0/0            reject-with icmp-port-unreachable
1358 REJECT     all  --  36.67.209.195        0.0.0.0/0            reject-with icmp-port-unreachable
1359 REJECT     all  --  36.67.117.210        0.0.0.0/0            reject-with icmp-port-unreachable
1360 REJECT     all  --  36.66.74.234         0.0.0.0/0            reject-with icmp-port-unreachable
1361 REJECT     all  --  36.37.94.197         0.0.0.0/0            reject-with icmp-port-unreachable
1362 REJECT     all  --  36.238.70.208        0.0.0.0/0            reject-with icmp-port-unreachable
1363 REJECT     all  --  36.234.36.62         0.0.0.0/0            reject-with icmp-port-unreachable
1364 REJECT     all  --  36.233.158.180       0.0.0.0/0            reject-with icmp-port-unreachable
1365 REJECT     all  --  36.224.193.76        0.0.0.0/0            reject-with icmp-port-unreachable
1366 REJECT     all  --  36.22.179.166        0.0.0.0/0            reject-with icmp-port-unreachable
1367 REJECT     all  --  36.111.193.192       0.0.0.0/0            reject-with icmp-port-unreachable
1368 REJECT     all  --  35.233.62.116        0.0.0.0/0            reject-with icmp-port-unreachable
1369 REJECT     all  --  34.140.248.32        0.0.0.0/0            reject-with icmp-port-unreachable
1370 REJECT     all  --  34.103.168.65        0.0.0.0/0            reject-with icmp-port-unreachable
1371 REJECT     all  --  32.141.200.6         0.0.0.0/0            reject-with icmp-port-unreachable
1372 REJECT     all  --  31.48.78.247         0.0.0.0/0            reject-with icmp-port-unreachable
1373 REJECT     all  --  31.47.33.70          0.0.0.0/0            reject-with icmp-port-unreachable
1374 REJECT     all  --  31.223.22.218        0.0.0.0/0            reject-with icmp-port-unreachable
1375 REJECT     all  --  31.173.95.130        0.0.0.0/0            reject-with icmp-port-unreachable
1376 REJECT     all  --  31.162.158.20        0.0.0.0/0            reject-with icmp-port-unreachable
1377 REJECT     all  --  31.154.74.222        0.0.0.0/0            reject-with icmp-port-unreachable
1378 REJECT     all  --  31.145.174.90        0.0.0.0/0            reject-with icmp-port-unreachable
1379 REJECT     all  --  31.14.186.156        0.0.0.0/0            reject-with icmp-port-unreachable
1380 REJECT     all  --  31.135.182.238       0.0.0.0/0            reject-with icmp-port-unreachable
1381 REJECT     all  --  31.130.162.138       0.0.0.0/0            reject-with icmp-port-unreachable
1382 REJECT     all  --  27.77.111.24         0.0.0.0/0            reject-with icmp-port-unreachable
1383 REJECT     all  --  27.74.249.77         0.0.0.0/0            reject-with icmp-port-unreachable
1384 REJECT     all  --  27.73.60.16          0.0.0.0/0            reject-with icmp-port-unreachable
1385 REJECT     all  --  27.72.90.124         0.0.0.0/0            reject-with icmp-port-un

ça remplit tout le terminal, je ne peux pas remonter l'affichage.


1/ le reboot de la freebox ne change rien au nmap. Le 445 est toujours là. Et la box a perdu toute la config de redirection de ports !
  ==> ferme tous les ports de ta freebox; (si tu as un serveur que tu ne veux pas couper momentanément, ba mince!) : fait mais j'ai besoin du 80 et 445. Ce sont les seuls que j'ai re-ouvert.
Ca lui arrive des fois, mais je crois savoir pourquoi : il y deux manières d’accéder à la config : via l'ip de la passerelle, et via http:/mon compte free. Récemment je suis allé dans http:/mon compte free  et la config était nulle/vide ( mais pas depuis la passerelle). J'ai rajouté une redirection, et je pense que cela écrase la config, car elle doit être poussée après reboot. Avis a free.... Bref, une embrouille de free, et comme quoi il est toujours mauvais de pouvoir faire la même chose à deux endroits différents). Mais le pb est là : le port 445 ouvert alors que la config dit que non : le partage réseau de la box est désactivé, et pas de redirection 445 ( bon mais comme je suis sur la dmz c'est normal que ça tombe sur cette machine). A fouiller la config box peut-être il y un autre service qui l'ouvre.

2/ iptables -I INPUT ! -s 192.168.0.0/24 -p tcp --dport 445 -j DROP   :)  
Je n'y avais pas pensé.
Je l'ai fait pour firewalld, mais l'interface a un bugg : pas d'ipset dans la liste des sources. Mais comme je me suis aguerri aux lignes de commande je l'ai fait passé en ligne de commande :
firewall-cmd --permanent --zone=external --add-rich-rule='rule family="ipv4" source NOT ipset="reseauLocal" port port="139" protocol="udp" drop' 
firewall-cmd --permanent --zone=external --add-rich-rule='rule family="ipv4" source NOT ipset="reseauLocal" port port="445" protocol="tcp" drop'

Il n'y a pas de notion de Input dans firewalld a ce que j'ai compris, cela dépend juste de source et dest ( mais je ne suis pas complètement sûr, si quelqu'un sait ?).

l'avantage est que je peux visualiser mes règles dans firewalld, et modifier mon ipset réseau local au cas ou !

Je vais voir si ça fonctionne comme prévu maintenant, je n'ai plus qu'à regarder mes graphes fail2ban, déjà ça c'est calmé ce matin, mais je devrais avoir 0 banni pour samba maintenant.

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #16
Fais voir un
iptables -L -n --line-numbers | grep -B2 192.168.0.0/24

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #17
Ha mais j'avais mal lu, les port 445/139 sont closed après le reboot de la box.

Donc c'est bien le partage de la box qui fait que les IP entrent sur la dmz en 445.

En tout cas plus rien concernant les tentatives d'accès sur samba, je continue la surveillance, et je pense que la règle du drop est nickel si je réactive le partage de la box ( elle me sert de sauvegarde donc j'en ai besoin ).

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #18
Donc c'est bien le partage de la box qui fait que les IP entrent sur la dmz en 445.

En tout cas plus rien concernant les tentatives d'accès sur samba, je continue la surveillance, et je pense que la règle du drop est nickel si je réactive le partage de la box ( elle me sert de sauvegarde donc j'en ai besoin ).
1) D'ici, je ne sais pas trop ce que veux dire "le partage de la box", je veux dire en terme d'informatique réseau… Bref.
2) La règle fonctionne très bien si elle n'est pas précédée d'une autre règle qui la contourne
Et là je ne peux pas vérifier pour toi: d'où ma demande avec la commande précédente pour laquelle tu n'as pas donné le résultat…  8)
3) Les plus de 1000 règles figurant dans iptables INPUT. Tu peux les virer, tu vas gagner en lisibilité !! La règle que je t'ai filée fait très bien le boulot. "fail2ban" c'est bien en cas d'attaque, par sécurité, mais pas au-delà…
4) Ça va mieux pour ton ordinateur. Il faut maintenant comprendre et traiter ce qui se passe au niveau de ta box… Sinon tu vas avoir du traffic pour rien sur ton réseau dans le meilleur des cas…
Je viens de te lire, effectivement si ton serveur samba est sur la dmz, tout passe malgré les blocages configurés sur ta freebox…

je te laisse,
M'en vais…

 

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #19
Salut Denebe,
1) Il s'agit d'un partage SMBV2 de la box, qui fait que l'on voit le disque dur de la box dans le partage réseau. Donc c'est ça qui ouvre au moins le port 445 a mon avis. Mais j'en ai besoin, la box sert de sauvegarde.
2) Oui la règle fonctionne très bien. Dommage que firewalld ne permette pas de changer l'ordre des règles via l'interface (ou alors j'ai pas vu). L'astuce que j'ai trouvé c'est de modifier une règle (par exemple mettre un journal) et comme ça elle passe en dernier. Mais bon si on veut remonter une règle, il faut modifier toutes celles qui la précède, ça peut être lourd.
D'ailleurs j'avais pensé que le firewall devait avoir une règle block all qui est toujours en dernier, mais effectivement je ne vois pas cette règle par défaut. En gros tout ce qui n'est pas autorisé est interdit. Que penses tu de rajouter cette règle ?
3) La commande est passée :
edserv:~ # iptables -L -n --line-numbers | grep -B2 192.168.0.0/24
num  target     prot opt source               destination        
1    FWDI_external  all  --  0.0.0.0/0            0.0.0.0/0           [goto]  match-set reseauLocal src
2    FWDI_internal  all  --  192.168.0.0/24       0.0.0.0/0           [goto]
--
num  target     prot opt source               destination        
1    FWDO_external  all  --  0.0.0.0/0            0.0.0.0/0           [goto]  match-set reseauLocal dst
2    FWDO_internal  all  --  0.0.0.0/0            192.168.0.0/24      [goto]
--
num  target     prot opt source               destination        
1    IN_external  all  --  0.0.0.0/0            0.0.0.0/0           [goto]  match-set reseauLocal src
2    IN_internal  all  --  192.168.0.0/24       0.0.0.0/0           [goto]
--
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
5    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:25 ctstate NEW
6    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:465 ctstate NEW
7    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:587 ctstate NEW
8    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpts:30000:30100 ctstate NEW
9    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:21 ctstate NEW
10   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       udp dpt:137 ctstate NEW
11   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       udp dpt:138 ctstate NEW
12   ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:139 ctstate NEW
13   ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:445 ctstate NEW
14   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
15   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       udp dpt:137 ctstate NEW
16   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       udp dpt:138 ctstate NEW
--
22   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW
23   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:4948 ctstate NEW
24   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       match-set reseauLocal src udp dpt:5353 ctstate NEW
--
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3128 ctstate NEW
6    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:25 ctstate NEW
7    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:465 ctstate NEW
8    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:587 ctstate NEW
9    ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpts:30000:30100 ctstate NEW
10   ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:21 ctstate NEW
11   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       udp dpt:137 ctstate NEW
12   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       udp dpt:138 ctstate NEW
13   ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:139 ctstate NEW
14   ACCEPT     tcp  --  0.0.0.0/0            192.168.0.0/24       tcp dpt:445 ctstate NEW
15   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5353 ctstate NEW
16   ACCEPT     all  --  0.0.0.0/0            192.168.0.1          match-set reseauLocal src
17   ACCEPT     all  --  0.0.0.0/0            192.168.0.0/24       match-set reseauLocal src
18   ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     match-set reseauLocal src
19   ACCEPT     all  --  0.0.0.0/0            192.168.27.0/24      match-set reseauLocal src
20   ACCEPT     udp  --  0.0.0.0/0            192.168.0.0/24       match-set reseauLocal src udp dpt:5353 ctstate NEW

Mon ipset est dans la capture écran.
192.168.0.0./24 => réseau local
192.168.0.13 => une machine local recalcitrante ( ne devrait pas y etre )
192.168.122.2/24 => le pont vers les VM
192.168.27.65/24 => le réseau sous VPN


4) Oui j'ai compris que effectivement le serveur est sur la DMZ (de la box), et d'ailleurs je me demande l'intérêt ( c'est une config depuis la box). Je n'ai qu'un serveur sur lequel j'ouvre apache pour mes sites web; Il fait DNS et dnsMasq (5353) / PROXY / FTP / CUPS et samba pour le réseau local;  et c'est la box qui fait passerelle pour les autres pc de la maison. Donc a ton avis je peux enlever cette config de DMZ ? Qu'est ce que tu en penses ? Que va t-il se passer si j'enlève la DMZ depuis la box, les connexions samba vont aller ou ? Elles vont être stoppées ou bien elles vont aller là ou elles peuvent (première ip trouvée? ou sur le disque dur de la box via ip local de la box ?). Les ports 80 / 443 étant redirigés explicitement il devrait pas y avoir de soucis pour apache.
Si tu sais merci !
Bon en fait je vais faire le test.

En tout cas plus de Denied connection sur log.smdb, sauf une ce matin une je ne sais pas pourquoi faudrait que j'analyse mais je verrai plus tard. C'est mieux que 2300....

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #20
1) Il s'agit d'un partage SMBV2 de la box, qui fait que l'on voit le disque dur de la box dans le partage réseau. Donc c'est ça qui ouvre au moins le port 445 a mon avis. Mais j'en ai besoin, la box sert de sauvegarde.
Selon moi sur une box classique, le pare-feu inspecte les paquets transitant par l'interface WAN (entre le réseau internet et ton réseau local), bloque ou laisse passer  ces paquets selon les règles de pare-feu établies, mais n'impacte pas ton réseau local LAN (switch)… Ainsi, dans les grandes lignes, comme ton serveur samba est dans ton réseau local (sauf config spécifique à ta box), alors il devrait être accessible de ton réseau local, peu importe tes règles de pare-feu (comprenant tcp 445 notamment).
Mais tout cela dépend à mon sens maintenant plus de ta box, de la topologie de ton réseau informatique que de ton ordinateur et d'Opensuse… Je peux t'aider à réfléchir à la sécurité de ton ordinateur avec Opensuse, pour le reste sauf si quelqu'un du forum connaît le sujet et peut te renseigner, j'irais plus me renseigner sur un forum informatique généraliste (avec une section Freebox par exemple), ou sur un forum free…

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #21
Après avoir rentrée la règle iptables, chez moi cela me donne:
toto-PC:/etc/firewalld # iptables -L -n --line-numbers | grep -B2 192.168.0.0/24
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    DROP       tcp  -- !192.168.0.0/24       0.0.0.0/0            tcp dpt:445
Chez moi on voit clairement que cette règle est la première de la chaine INPUT, c'est l'objectif.

Chez toi, deux possibilités:
  • Tu n'as pas rentré la règle iptable, tu utilises la règle firewalld que tu as citée au dessus
    Mais normalement, si firewalld est actif, tu n'as pas besoin de ces règles firewalld, il bloque quasiment tout par défaut.
  • Tu as rentré la règle iptable
    Constat: elle ne se trouve pas en haut comme chez moi, dans ce cas je ne peux pas t'assurer du bon fonctionnement

Pour finir je m'y perd avec tes descriptions, je ne sais plus de quoi tu parles exactement. Partage freebox (intégré à la box) ? Serveur samba que tu as rajouté ? Réglage du pare-feu de ta box ? Serveur sur une dmz ? Comme déjà dit, je peux t'aider avec opensuse, mais le reste, tu pars dans tous les sens !! Prend un sujet un par un…
Bonne chance  :D

PS: vérifie que la zone external est bien appliquée à l'interface d'opensuse (??) par où transitent tes données.

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #22
Merci Denebe, désolé je suis effectivement parti dans plusieurs sens, mais en fait tu m'as permis de me rendre compte de mon erreur. Et la difficulté effectivement est que tu ne connais pas bien la freebox. Mais en essayant de rester simple et synthétique :

IP Publique --> Box (incluant firewall  et services samba) --> switch /wifi  --> 1 serveur + 3 pc.
Dans la box, partie configuration routeur,  il y a une case a cocher qui s'apelle DMZ et quand on la coche on donne une IP locale de DMZ, correspondant à une machine. Moi j'avais coché bêtement cette case et mis l'ip du serveur croyant bien faire. En faisant ça tous les ports du serveur ouverts ( services activés comme apache, ftp, samba, sur le serveur) étaient implicitement accessibles. Au lieu de faire ça on peut définir dans la config de la box les ports que l'on veut rediriger et vers quel machine au cas par cas. Donc c'est ce que j'ai fait, j'ai ouvert les ports apache et mysql vers le serveur et j'ai enlevé la case DMZ. Je n'ai plus rien dans mes logs samba venant de dehors. Donc effectivement ce n'était pas le partage samba de la box qui ouvrait samba sur le serveur mails la définition de ce serveur en DMZ.
Voilà, pour moi ce problème est résolu. J'aimerai maintenant faire fonctionner samba en VPN, j'ouvrirai un sujet si nécessaire après avoir cherché et essayé, je n'en ai pas encore eu le temps tout simplement.
Et encore merci pour ton aide,
Eric