Aller au contenu principal
Messages récents
13
Internet, réseaux et serveurs / Re : YAST FIREWALL QUE 2 ONGLETS ?
Dernier message par ricobolo -
Denebe,

Nos messages se sont croisés.

Voici iptables -L -n  --line-numbers

1320 REJECT     all  --  37.36.70.156         0.0.0.0/0            reject-with icmp-port-unreachable
1321 REJECT     all  --  37.29.88.126         0.0.0.0/0            reject-with icmp-port-unreachable
1322 REJECT     all  --  37.29.15.114         0.0.0.0/0            reject-with icmp-port-unreachable
1335 REJECT     all  --  37.131.224.158       0.0.0.0/0            reject-with icmp-port-unreachable
1336 REJECT     all  --  36.95.63.98          0.0.0.0/0            reject-with icmp-port-unreachable
1337 REJECT     all  --  36.95.165.29         0.0.0.0/0            reject-with icmp-port-unreachable
1338 REJECT     all  --  36.94.90.10          0.0.0.0/0            reject-with icmp-port-unreachable
1339 REJECT     all  --  36.94.128.162        0.0.0.0/0            reject-with icmp-port-unreachable
1340 REJECT     all  --  36.92.59.249         0.0.0.0/0            reject-with icmp-port-unreachable
1341 REJECT     all  --  36.91.51.221         0.0.0.0/0            reject-with icmp-port-unreachable
1342 REJECT     all  --  36.91.182.130        0.0.0.0/0            reject-with icmp-port-unreachable
1343 REJECT     all  --  36.90.164.160        0.0.0.0/0            reject-with icmp-port-unreachable
1344 REJECT     all  --  36.88.148.249        0.0.0.0/0            reject-with icmp-port-unreachable
1345 REJECT     all  --  36.88.132.36         0.0.0.0/0            reject-with icmp-port-unreachable
1346 REJECT     all  --  36.83.123.28         0.0.0.0/0            reject-with icmp-port-unreachable
1347 REJECT     all  --  36.79.204.2          0.0.0.0/0            reject-with icmp-port-unreachable
1348 REJECT     all  --  36.78.96.180         0.0.0.0/0            reject-with icmp-port-unreachable
1349 REJECT     all  --  36.76.66.122         0.0.0.0/0            reject-with icmp-port-unreachable
1350 REJECT     all  --  36.73.83.167         0.0.0.0/0            reject-with icmp-port-unreachable
1351 REJECT     all  --  36.73.245.4          0.0.0.0/0            reject-with icmp-port-unreachable
1352 REJECT     all  --  36.72.90.93          0.0.0.0/0            reject-with icmp-port-unreachable
1353 REJECT     all  --  36.72.243.218        0.0.0.0/0            reject-with icmp-port-unreachable
1354 REJECT     all  --  36.72.125.217        0.0.0.0/0            reject-with icmp-port-unreachable
1355 REJECT     all  --  36.71.150.80         0.0.0.0/0            reject-with icmp-port-unreachable
1356 REJECT     all  --  36.68.175.4          0.0.0.0/0            reject-with icmp-port-unreachable
1357 REJECT     all  --  36.68.159.21         0.0.0.0/0            reject-with icmp-port-unreachable
1358 REJECT     all  --  36.67.209.195        0.0.0.0/0            reject-with icmp-port-unreachable
1359 REJECT     all  --  36.67.117.210        0.0.0.0/0            reject-with icmp-port-unreachable
1360 REJECT     all  --  36.66.74.234         0.0.0.0/0            reject-with icmp-port-unreachable
1361 REJECT     all  --  36.37.94.197         0.0.0.0/0            reject-with icmp-port-unreachable
1362 REJECT     all  --  36.238.70.208        0.0.0.0/0            reject-with icmp-port-unreachable
1363 REJECT     all  --  36.234.36.62         0.0.0.0/0            reject-with icmp-port-unreachable
1364 REJECT     all  --  36.233.158.180       0.0.0.0/0            reject-with icmp-port-unreachable
1365 REJECT     all  --  36.224.193.76        0.0.0.0/0            reject-with icmp-port-unreachable
1366 REJECT     all  --  36.22.179.166        0.0.0.0/0            reject-with icmp-port-unreachable
1367 REJECT     all  --  36.111.193.192       0.0.0.0/0            reject-with icmp-port-unreachable
1368 REJECT     all  --  35.233.62.116        0.0.0.0/0            reject-with icmp-port-unreachable
1369 REJECT     all  --  34.140.248.32        0.0.0.0/0            reject-with icmp-port-unreachable
1370 REJECT     all  --  34.103.168.65        0.0.0.0/0            reject-with icmp-port-unreachable
1371 REJECT     all  --  32.141.200.6         0.0.0.0/0            reject-with icmp-port-unreachable
1372 REJECT     all  --  31.48.78.247         0.0.0.0/0            reject-with icmp-port-unreachable
1373 REJECT     all  --  31.47.33.70          0.0.0.0/0            reject-with icmp-port-unreachable
1374 REJECT     all  --  31.223.22.218        0.0.0.0/0            reject-with icmp-port-unreachable
1375 REJECT     all  --  31.173.95.130        0.0.0.0/0            reject-with icmp-port-unreachable
1376 REJECT     all  --  31.162.158.20        0.0.0.0/0            reject-with icmp-port-unreachable
1377 REJECT     all  --  31.154.74.222        0.0.0.0/0            reject-with icmp-port-unreachable
1378 REJECT     all  --  31.145.174.90        0.0.0.0/0            reject-with icmp-port-unreachable
1379 REJECT     all  --  31.14.186.156        0.0.0.0/0            reject-with icmp-port-unreachable
1380 REJECT     all  --  31.135.182.238       0.0.0.0/0            reject-with icmp-port-unreachable
1381 REJECT     all  --  31.130.162.138       0.0.0.0/0            reject-with icmp-port-unreachable
1382 REJECT     all  --  27.77.111.24         0.0.0.0/0            reject-with icmp-port-unreachable
1383 REJECT     all  --  27.74.249.77         0.0.0.0/0            reject-with icmp-port-unreachable
1384 REJECT     all  --  27.73.60.16          0.0.0.0/0            reject-with icmp-port-unreachable
1385 REJECT     all  --  27.72.90.124         0.0.0.0/0            reject-with icmp-port-un

ça remplit tout le terminal, je ne peux pas remonter l'affichage.


1/ le reboot de la freebox ne change rien au nmap. Le 445 est toujours là. Et la box a perdu toute la config de redirection de ports !
  ==> ferme tous les ports de ta freebox; (si tu as un serveur que tu ne veux pas couper momentanément, ba mince!) : fait mais j'ai besoin du 80 et 445. Ce sont les seuls que j'ai re-ouvert.
Ca lui arrive des fois, mais je crois savoir pourquoi : il y deux manières d’accéder à la config : via l'ip de la passerelle, et via http:/mon compte free. Récemment je suis allé dans http:/mon compte free  et la config était nulle/vide ( mais pas depuis la passerelle). J'ai rajouté une redirection, et je pense que cela écrase la config, car elle doit être poussée après reboot. Avis a free.... Bref, une embrouille de free, et comme quoi il est toujours mauvais de pouvoir faire la même chose à deux endroits différents). Mais le pb est là : le port 445 ouvert alors que la config dit que non : le partage réseau de la box est désactivé, et pas de redirection 445 ( bon mais comme je suis sur la dmz c'est normal que ça tombe sur cette machine). A fouiller la config box peut-être il y un autre service qui l'ouvre.

2/ iptables -I INPUT ! -s 192.168.0.0/24 -p tcp --dport 445 -j DROP   :)  
Je n'y avais pas pensé.
Je l'ai fait pour firewalld, mais l'interface a un bugg : pas d'ipset dans la liste des sources. Mais comme je me suis aguerri aux lignes de commande je l'ai fait passé en ligne de commande :
firewall-cmd --permanent --zone=external --add-rich-rule='rule family="ipv4" source NOT ipset="reseauLocal" port port="139" protocol="udp" drop' 
firewall-cmd --permanent --zone=external --add-rich-rule='rule family="ipv4" source NOT ipset="reseauLocal" port port="445" protocol="tcp" drop'

Il n'y a pas de notion de Input dans firewalld a ce que j'ai compris, cela dépend juste de source et dest ( mais je ne suis pas complètement sûr, si quelqu'un sait ?).

l'avantage est que je peux visualiser mes règles dans firewalld, et modifier mon ipset réseau local au cas ou !

Je vais voir si ça fonctionne comme prévu maintenant, je n'ai plus qu'à regarder mes graphes fail2ban, déjà ça c'est calmé ce matin, mais je devrais avoir 0 banni pour samba maintenant.
14
Internet, réseaux et serveurs / Re : YAST FIREWALL QUE 2 ONGLETS ?
Dernier message par denebe -
Je n'ai jamais utilisé fail2ban, je ne connais pas le fonctionnement, mais je sais à quoi cela sert…

Écris cette règle iptables (à adapter pour ton réseau local):
iptables -I INPUT ! -s 192.168.0.0/24 -p tcp --dport 445 -j DROP
Donne le résultat de:
# iptables -L -n --line-numbers

1a) ferme tous les ports de ta freebox; (si tu as un serveur que tu ne veux pas couper momentanément, ba mince!)
1b) tu inspectes voir si tout fonctionne comme attendu, voir si tu as encore des intrus… Normalement non !!

PS: reste concentré sur ton problème, tu verras le vpn plus tard… Ce n'est pas normal que tu aies du traffic venant du Mexique et Vénézuélas  ( http://www.localiser-ip.com/?ip=187.141.63.50 , http://www.localiser-ip.com/?ip=201.249.58.126 )

PS2: si ton pare feu est bien configuré (au moins celui de ton ordinateur), alors le serveur samba ne devrait, selon moi, rien recevoir. Ton log samba nous indique donc que ton parefeu est mal configuré.
15
Programmes et logiciels / Re : SCREENSHOT
Dernier message par Chumi -
Screenshot fait partie de la panoplie offerte dans les applications natives de Leap 15.3

Bonjour,

Ah oui, il s'agit de screenshot-tool. Je l'ai installée et elle fonctionne bien chez moi.

Si tu la lances depuis une console, ça dit quelque chose. J'ai bien compris que l'application se lance mais refuse de fonctionner... mais sait-on jamais.
16
Internet, réseaux et serveurs / Re : YAST FIREWALL QUE 2 ONGLETS ?
Dernier message par ricobolo -
Salut Denebe,
et merci encore de tes conseils.
Peux-tu donner quelques ip sources qui se connectent à ton serveur samba ? (celles qui te semblent suspects)
Histoire d'y voir un peu clair. : =>


extrait de /var/log/log.smbd  (donc ces ip sont passées a travers le firewall, mais c'est fail2ban qui les bloquent en lisant le log.smbd  )

Denied connection from 187.141.63.50 (187.141.63.50)
[2021/10/13 00:01:18.930740,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.249.58.126 (201.249.58.126)
[2021/10/13 00:01:19.292747,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.249.58.126 (201.249.58.126)
[2021/10/13 00:01:44.277381,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 204.199.103.194 (204.199.103.194)
[2021/10/13 00:01:44.445291,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 204.199.103.194 (204.199.103.194)
[2021/10/13 00:01:48.761109,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 183.88.239.11 (183.88.239.11)
[2021/10/13 00:02:38.418434,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 190.145.40.34 (190.145.40.34)
[2021/10/13 00:02:38.576979,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 190.145.40.34 (190.145.40.34)
[2021/10/13 00:04:50.405420,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 189.180.65.18 (189.180.65.18)
[2021/10/13 00:05:14.639016,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 102.36.216.230 (102.36.216.230)
[2021/10/13 00:05:14.869070,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 102.36.216.230 (102.36.216.230)
[2021/10/13 00:05:26.214004,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.71.137.134 (201.71.137.134)
[2021/10/13 00:05:26.462254,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.71.137.134 (201.71.137.134)
[2021/10/13 00:06:08.460293,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 165.1.214.87 (165.1.214.87)
[2021/10/13 00:06:08.638399,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 165.1.214.87 (165.1.214.87)
[2021/10/13 00:06:42.343706,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 95.0.202.82 (95.0.202.82)
[2021/10/13 00:06:50.529544,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 222.209.84.114 (222.209.84.114)
[2021/10/13 00:06:50.772350,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 222.209.84.114 (222.209.84.114)
[2021/10/13 00:08:10.455900,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 187.174.255.114 (187.174.255.114)
[2021/10/13 00:08:10.684285,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 187.174.255.114 (187.174.255.114)
[2021/10/13 00:08:12.250489,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 213.74.115.50 (213.74.115.50)
[2021/10/13 00:09:38.499701,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 195.208.155.102 (195.208.155.102)
[2021/10/13 00:09:38.612640,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 195.208.155.102 (195.208.155.102)
[2021/10/13 00:12:44.487596,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 124.40.245.92 (124.40.245.92)


2) sinon, il existe une solution pour établir des règles de pare-feu qui fonctionnent, pour l'ordi du serveur samba.
Il est important de comprendre que les règles de pare-feu ont un ordre, ainsi si tu insères ces règles dans cet ordre dans l'ordinateur où tourne ton serveur samba, cela fonctionnera comme convenu:
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.x
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.y
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.z
accepter le traffic en output avec le port-dest 445, protocol tcp et l'ip 192.168.0.ton_ordi
pour que tu puisses accéder éventuellement à d'autres serveurs samba de ton réseau local…
refuser tous les paquets avec le port-destination 445, protocol tcp
=> tu laisses passer tout ce qui est local (en input et en output), puis tu bloques tout le reste ! (port-dest: tcp 445…)
Sinon tu peux accepter une plage d'ip 192.168.0.0/24 par exemple…


Oui, merci,  c'est exactement ce que j'ai fait, et c'est bien pour ça que j'avais besoin de la GUI du firewalld complète, parce que au début je me suis tapé les règles à la main en ligne de commande sur iptables et firewalld. Maintenant (et grâce a toi  ;)  ) je le fait maintenant avec la GUI complète de firewalld directement. J'ai crée un ipset local et j'autorise tout quand la destination ET la source sont en local ( le but était de fermer le service samba sur le firewall pour les accès publiques, mais si je fais ça ce ne fonctionne plus en local, qq chose m’échappe). Je n'ai pas mis de forward comme tu l'as indiqué, mais je me demande si je passe par un VPN si j'en aurais pas besoin ( forward local de ipLocal vers/de ipVpn ? et idem pour les VM qui passent par un pont réseau avant de récupérer leur 192.168.x.x ? ).
Donc je n'ai pas vraiment de problème pour me connecter sur Samba en local, hormis que j'ai pas encore bien règlé ipv6 et que la découverte samba ne fonctionne pas bien dans dolphin, mais l'accès par ip fonctionne nickel.

Je vais voir avec wireshark, mais ce qui serait intéressant c'est de sniffer sur la box Delta de free, je vais essayer de voir ça.
Ha ben tiens, après désactivation du partage de la box via son interface, j'ai fais un nmap sur la box, et le port 445/139 est bien ouvert :
Starting Nmap 7.70 ( https://nmap.org ) at 2021-10-14 14:18 CEST
Nmap scan report for freebox-server.gribouille (192.168.0.100)
Host is up (0.00020s latency).
Not shown: 983 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
53/tcp   open   domain
80/tcp   open   http
139/tcp  closed netbios-ssn
443/tcp  open   https
445/tcp  closed microsoft-ds
548/tcp  closed afp
554/tcp  open   rtsp
1723/tcp open   pptp
2020/tcp open   xinupageserver
5000/tcp closed upnp
5001/tcp closed commplex-link
5357/tcp open   wsdapi
5678/tcp open   rrac
6000/tcp closed X11
8090/tcp open   opsmessaging
9091/tcp open   xmltec-xmlmail


Je vais tenter un reboot de box....





17
Internet, réseaux et serveurs / Re : YAST FIREWALL QUE 2 ONGLETS ?
Dernier message par denebe -
J'ai essayé cette règle iptables, ça a l'air de fonctionner:
iptables -I INPUT ! -s 192.168.0.0/24 -p tcp --dport 445 -j DROP
Tout ce qui n'est pas dans mon réseau local ne peut pas accéder à mon serveur samba.

Test avec une ip hors de mon réseau local: 10.1.1.2, ça ne passe pas:
rem: le ping montre que j'ai bien accès au serveur samba (via une passerelle) en pinguant…
thierry@localhost:~> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:63:b3:80 brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    inet 10.1.1.2/24 brd 10.1.1.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5312:8e12:2cb5:ce28/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> ping 192.168.0.79 -c 1
PING 192.168.0.79 (192.168.0.79) 56(84) bytes of data.
64 bytes from 192.168.0.79: icmp_seq=1 ttl=63 time=1.07 ms

--- 192.168.0.79 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.072/1.072/1.072/0.000 ms
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> telnet 192.168.0.79 445
Trying 192.168.0.79...
^C
thierry@localhost:~>

Le même host avec connecté avec une ip de mon réseau local, ça passe:
thierry@localhost:~> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:63:b3:80 brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    inet 192.168.0.134/24 brd 192.168.0.255 scope global dynamic noprefixroute eth0
       valid_lft 604787sec preferred_lft 604787sec
    inet6 2a02:8109:a380:310:232:8697:8a8c:d177/128 scope global dynamic noprefixroute
       valid_lft 604791sec preferred_lft 604791sec
    inet6 2a02:8109:a380:310:c074:2dde:68cd:dc1c/64 scope global temporary dynamic
       valid_lft 86399sec preferred_lft 43199sec
    inet6 2a02:8109:a380:310:f79e:a389:ab87:c771/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86399sec preferred_lft 43199sec
    inet6 fe80::5312:8e12:2cb5:ce28/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> ping 192.168.0.79 -c 1
PING 192.168.0.79 (192.168.0.79) 56(84) bytes of data.
64 bytes from 192.168.0.79: icmp_seq=1 ttl=64 time=0.577 ms

--- 192.168.0.79 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.577/0.577/0.577/0.000 ms
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> telnet 192.168.0.79 445
Trying 192.168.0.79...
Connected to 192.168.0.79.
Escape character is '^]'.
^C
^]
telnet> close
Connection closed.
18
Internet, réseaux et serveurs / Re : YAST FIREWALL QUE 2 ONGLETS ?
Dernier message par denebe -
edport:~ # sudo zypper se firewall
Loading repository data...
Reading installed packages...

S  | Name                       | Summary                                                             | Type
---+----------------------------+---------------------------------------------------------------------+-----------
   | SuSEfirewall2              | Stateful Packet Filter Using iptables and netfilter                 | package
On voit que susefirewall2 n'est pas installé, parfait.

Pour l'essentiel j'ai à peu près résolu mes problèmes. J'ai fail2ban qui bloque des ip externes sur samba, mais on ne les voit pas les règles de blocage dans firewalld ( ce qui est étonnant ou qui m’échappe ) mais on les voit bien dans iptables -L.
Je n'en sais pas plus. Je sais juste que firewalld, iptables et nftables tournent  dans l'espace utilisateur et permettent de fournir des règles pare-feu à Netfilter, qui lui est le parefeu dans l'espace noyau.
"firewalld is a firewall management tool for Linux operating systems. It provides firewall features by acting as a front-end for the Linux kernel's netfilter framework. firewalld's current default backend is nftables. Prior to v0.6.0, iptables was the default backend.[2] Through its abstractions firewalld acts as an alternative to nft and iptables command line programs."
J'ai réussi a installer munin, et je ne savais pas qu'il avait un graphe pour fail2ban. Grace au graphe je vois un peu mieux ce qui se passe, et j'ai quand même banni 2300 IP en 24heures rien que sur samba.
Je ne connaissais, ça a l'air intéressant et pratique.
Mais comme je n'ai qu'une carte réseau je n'arrive pas a bloquer les ports 445/139/138 d'un point de vue du routeur (ip publique) sans bloquer le local, je crois que ce n'est pas possible.
C'est a dire que si j'autorise pas le service samba sur mon interface reseau, j'ai plus de samba local. J'ai essayé de désactiver le partage freebox, mais c'est pareil, on atteint ma machine en 445 depuis l’extérieur.
Hum, cela fait un moment que je n'ai pas eu de Freebox sous la main. Une Freebox, c'est un routeur / pare-feu /switch.
Le pare-feu d'une box permet au minimum d'autoriser ou de bloquer ce qui vient de l'extérieur (d'internet), entre deux réseaux…
Par contre, ce pare-feu n'agit pas sur le switch (tes 4 ports ethernet + le wifi), tous les paquets transitant par ton switch ne sont pas traités, ils arrivent sur ton switch, et ton switch les orientent vers le bon port (eth0, eth1, eth2… ; il ne s'agit pas des ports de la couche transport…) grâce à l'adresse MAC du paquet, et grâce à sa table CAM i.e. vers l' "ordinateur destination".

Et d'ailleurs les ports ne sont a ma connaissance pas redirigés  depuis le routeur (freebox) sur cette machine,  seul les ports 80,443 sont redirigés, c'est pour ça que je ne comprends pas que ces ip atteignent ma machine. J'ai même fait une redirection factice depuis le routeur, c'est à dire vers une ip qui n'existe pas, mais j'ai toujours autant de visites indésirables... Mais bon heureusement fail2ban + le firewalld plus la config de samba semble bien bloquer tout ce monde, sans me bloquer moi en local.
1) Oui ce n'est pas normal. Il y a une couille dans le potage. (dans ta config, chez toi…)

C'est quoi comme Freebox ?

Il faut inspecter les paquets arrivant vers ton serveurs samba (tcp 445), trouver les ip sources de ces paquets, quelques-une. Et ensuite, aviser. Qui sait, si cela se trouve, ce sont des ip locals ??
Tu peux faire cela en installant un "sniffer" sur ton serveur samba. Le plus connu en gui: wireshark (à démarrer en cli admin - pas avec sudo). Sinon avec tcpdump en cli.

Par exemple, j'ai une imprimante/scaner réseau. Quand je scanne en réseau de mon imprimante, elle va se connecter sur le serveur samba de mon ordinateur, et en ainsi envoie le scan vers un dossier de mon ordinateur. Avec le sniffer, je vois très bien ce qui se passe:

C'est mon imprimante ipsource: 192.168.0.94 qui veut se connecter mon serveur samba port-dest:445 tcp

Peux-tu donner quelques ip sources qui se connectent à ton serveur samba ? (celles qui te semblent suspects)
Histoire d'y voir un peu clair.

2) sinon, il existe une solution pour établir des règles de pare-feu qui fonctionnent, pour l'ordi du serveur samba.
Il est important de comprendre que les règles de pare-feu ont un ordre, ainsi si tu insères ces règles dans cet ordre dans l'ordinateur où tourne ton serveur samba, cela fonctionnera comme convenu:
  • accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.x
  • accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.y
  • accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.z
  • refuser tous les paquets en input avec le port-destination 445, protocol tcp
=> tu laisses passer tout ce qui est local (en input), puis tu bloques tout le reste ! (port-dest: tcp 445…)
Sinon tu peux accepter une plage d'ip 192.168.0.0/24 par exemple…

SuSEfirewall2 dans tout ça ? Il est désactivé.
Oui  ;)
19
Internet, réseaux et serveurs / Re : Blocage des vilains IP
Dernier message par ricobolo -
Bonjour,

Je déterre ce sujet car j'ai le même soucis, près de 2000 tentatives / jour.
La solution est de mettre en place fail2ban qui génère automatiquement des règles de blocage sur les IP dans iptables et via des mots clés dans les logs et des règles que l'on peut faire soi même, et qui peut même envoyer des mails à abuse pour les très vilains.
20
Programmes et logiciels / Re : SCREENSHOT
Dernier message par Barney7 -
Bonjour Chumi,
Screenshot fait partie de la panoplie offerte dans les applications natives de Leap 15.3
J' utilise cette appli depuis des années et est d' une grande simplicité d' utilisation: capture ultra précise de la zone à enregistrer, simple à manipuler.
Je ne comprends pas pourquoi depuis quelques jours elle refuse de faire des copies d' écran.
Pour ce qui est de Spectacle, l' usage est bien plus compliqué et moins intuitif.