Jump to content

Kazer2.0

INpactien
  • Content Count

    24
  • Joined

  • Last visited

About Kazer2.0

  • Rank
    Ewok
  1. Je regarde un peu les différentes solutions avec mes contraintes (ipv6 + réseau multi-gigabits). Le plus c'est effectivement de rester simple vu que j'ai pas besoin de fonctionnalité "avancée", en gros juste comme avant, en sortant uniquement sauf si j'autorise un port pour tel machine en entrant depuis le WAN (et autorisation depuis le LAN pour SSH par exemple).
  2. Je l'avais zappé celui-là, mon prof m'en avait parlé. Faut que je vois le plus simple et le plus adapté sachant que mes besoins sont limités, à part les services que j'héberge, le reste c'est du classique autorisé en sortant, refusé en entrant et autorisé sur le LAN. J'vais voir les tutos aussi pour celui-ci.
  3. Bonjour à tous, Vu que le firewall de la delta chez Free ne propose que du TOUT ou RIEN pour TOUT les appareils sans possibilité de configuration propre (et que j'auto-héberge pas mal de chose, donc ce serait du gâchis de pas profiter des adresses IPv6), je suis actuellement à la recherche d'un tuto pour me faire un firewall compatible IPv6 pour sécuriser un peu le bordel. Je suis à la recherche d'un tuto de A à Z pour les débutants, n'ayant jamais eu besoin de me mettre dedans jusqu'à maintenant: mon utilisation été simplement paramétrage du DHCP, du DNS et redirection de port et c'est tout. Pour l'instant je n'ai pas activé le firewall de la Delta et j'utilise ufw (Uncomplicated FireWall) sous debian pour des règles simples (vu que je pense faire du V4 en LAN, j'ai des règles du type SSH accessible depuis le 192.168.1.0/24 et le 80 / 443 accessible partout en V6). Cependant, je dois faire ça sur chaque machine et si l'OS en lui-même a une faille... Je cherche donc à mettre en place un firewall centralisé car selon les devs de chez Free, les fonctionnalités "avancés" de firewall ne sont pas prioritaire pour la Delta. J'ai donc besoin d'un peu de guidance 🙂 Je connais de nom Pfsense (et OPNsense), donc je pense chercher des tutos dessus. Après je ne sais pas si je dois partir sur un firewall physique (sachant que je vais passer mon réseau en 10Gbps vu que Free le propose) ou sur un firewall virtuel. Le but c'est d'avoir plusieurs services accessible d'un côté tout en sécurisant un maximum mon LAN (genre le Pi-Hole reste accessible uniquement en local, mais peut "sortir" pour faire des requêtes DNS, pareil pour ma tour de jeu). Pour l'instant j'ai pas de matériel dédié (j'en achèterais si nécessaire), mais la virtualisation est envisageable. Donc voilà, si vous avez de bons tutos de A à Z, accessible, je suis preneur ! Merci d'avance, Cordialement, Kazer2.0
  4. Bon, j'ai fais des petits test pour voir en continuant à étudier un peu le bousin. Déjà une issue ouverte chez Free pour améliorer le pare-feu, mais ce n'est pas "prioritaire" pour l'instant (https://dev.freebox.fr/bugs/task/27613) Pour mon usage me faudrait juste par défaut les ports fermés et manuellement ouvrir un port pour telle ipv6 J'ai aussi regardé rapidement sur le net les histoires de délégation : https://utux.fr/index.php?article13/free-bridge-ipv6 https://www.goudal.net/?p=6 Ce qui me semble une solution exploitable pour mon cas. Pouvoir déléguer des adresses en dehors de la Freebox pour faire la configuration et n'ouvrir que les ports que j'ai besoin (genre 443 pour tel ipv6 pour un service et à nouveau 443 pour un autre ipv6 pour un autre service web). J'ai regardé en travers les tutos pour l'instant dont je ne sais pas ce que ça vaut (ou même si quelqu'un à un meilleur tuto ?). Même si c'est "ardu" de trouver une ipv6, le fait d'avoir mon Pi-Hole accessible sans problème depuis l'extérieur quand j'active l'ipv6 sur la Freebox, ça pique un peu. Donc en attendant que Free se bouge pour offrir un "vrai" firewall, faire une déléguation et gérer ça en dehors peut être une solution.
  5. C'est faisable chez tous sauf Orange, suffit de mettre en mode pont, mais je voulais éviter de me faire chier avec un autre routeur par simplicité (et surtout quel modèle prendre ? Sachant que sur le long terme je vais utiliser la connexion 10 giga de chez Free). Donc j'essaye de voir comment faire déjà avec la Freebox avant de chercher à faire avec un autre routeur.
  6. Bon ben j'ai fais un test chez moi sans mettre la Freebox à jour (donc j'ai pas encore le firewall IPv6). Ben mon Pi-Hole est accessible depuis l'extérieur avec son adresse IPv6, ce qui n'est pas top. Et le problème c'est que si je mets à jour, j'ai peur que le firewall de la Freebox me bloque (soit j'autorise tout, soit rien, alors que j'aimerais autorisé le connexion entrante uniquement sur tel port pour tel ipv6 ) et que l'IPv6 reste activé par défaut. Quelqu'un à déjà configuré la firewall de la freebox ? Qu'est-ce qu'on a comme marge de manœuvre avec ? Par contre oui, je viens de comprendre (normalement) les IPv6 local (commence par fe80 ?).
  7. Pour Android, soit /e/ (eelo), soit LineageOS for MicroG qui fake les apps et framework Google, donc ça te permet d'utiliser la plupart des applis développés avec les pieds sans les applis Google. Tu rajoutes un petit Blokada et rulz. Note que tu peux supprimer ton compte Gmail et garder les achats, Google te demande une autre adresse mail que servira de loggin (pour garder les achats PlayStore).
  8. Donc si le pare-feu IPv6 de la Freebox est en tout en rien (allow all ou disallow all), il faudra que je configure ça au niveau OS directement pour n'autoriser que ce que je veux vu que je devrais autorisé sur le pare-feu de la Freebox. Après je peux foutre la freebox en mode pont et faire la tambouille derrière, mais je préfère ne pas rajouter encore un autre routeur derrière. Je vais voir si je peux activer l'IPv6 sans reboot la Freebox, comme ça je test pour être sûr et je peut faire un retour arrière si besoin avant de faire la MAJ qui empêche la désactivation de l'IPv6.
  9. Selon ce que j'ai lu, le pare-feu de la Freebox n'est pas top pour la configuration (limité). Je vais voir si je peux simplement lui dire comme actuellement en IPv4 quel port je veux d'accessible depuis l'extérieur sur quel IPv6. Donc va falloir que je me documente sur Debian si le pare-feu de base de la Freebox ne permet pas de faire ce que je veux (iptable ?). Effectivement, ne pas mettre d'IPv6 au machine qui ne sont que dans le LAN parait une bonne solution pour "séparer" ce qui n'a pas forcément besoin d'être attaqué depuis l'extérieur. Après tu parles de n'utiliser que les adresses de boucle local, ça veut dire que la machine à une adresse IPv6 "local" et donc pas d'adresse "publique" ? Si la machine veut accéder au net, elle apparait pour l'extérieur en IPv4 ? Je suis peut-être pas clair donc exemple : Mon Pi-Hole qui fait serveur DNS, je veux qu'il soit accessible que dans le LAN, mais il aura besoin de "sortir" pour se mettre à jour, ça se passe comment au niveau paramétrage ? Comment je lui dit "utilise cette IPv6 local" pour y avoir accès uniquement avec mes autres machines en LAN tout en lui laissant la possibilité de "sortir" et se mettre à jour ? J'essaye de bien saisir avant de basculer pour deux choses, ne pas exposer inutilement des machines sur le net et pour continuer à avoir mes services auto-hébergé accessible (voir augmenter le nombre de service vu que j'aurais plus d'IP normalement si je fais les choses correctements ).
  10. Salut, Merci pour le retour, j'ai pas d'IPV6 car je l'avais désactivé sur mes ordis en fait (décoché la case) et le problème c'est que la Freebox n'avait pas de pare-feu au moment où ils ont forcé l'ipv6, c'est un ajout à postériori (d'ailleurs, à priori faut l'activer soi-même : https://www.universfreebox.com/article/50318/Tuto-Freebox-comment-parametrer-le-nouveau-pare-feu-IPV6-et-pourquoi-il-est-important-de-l-activer ) Donc en gros le concept de réseau "local" est toujours présent ? Mes partages réseaux et compagnie seront toujours accessible uniquement sur le LAN ? Si je suis bien, mes machines ont une ipv6 dîtes local et une publique ? Et la publique n'est attaquable que si je choisi de faire une redirection des ports depuis la FreeBox ? Au final, sur le LAN, je peux toujours attaquer mes machines en IPv4 non ? Les deux fonctionnent de concert ? Parce que attaquer mon serveur en 192.168.x.x est plus facile que en tapant en IPv6 Par contre du coup je garde toujours mon adresse unique ipv4 de fonctionnel aussi en paralèlle ?
  11. Bonjour à tous Actuellement chez Free et suite aux news sur l'impossibilité de désactiver l'IPV6 dans la dernière mise à jour (pas encore faite chez moi), j'aimerais préparer le terrain et mieux comprendre le fonctionnement du bordel. Je n'ai rien contre l'IPV6, bien au contraire, avoir plus d'adresse me permettrait d'héberger plus de service sans le problème de réutilisation des ports. J'ai cependant besoin d'un peu d'aide / explication car le fonctionnement change un peu. Actuellement ma configuration est la suivante : - PC fixe - PC Portable - NAS (FreeNAS) - VM Seedbox sur le NAS - VM Minecraft sur le NAS - Point d'accès TP-Link - RaspberryPi avec DokuWiki - RaspberryPI avec Pi-Hole Au niveau de la gestion en ipv4 c'est simple, j'ai mon réseau local et le WAN et séparé du LAN, je redirige uniquement les ports dont j'ai besoin. Le VM attaque le pool de stockage du NAS en NFS et moi en SMB, ça me permet de gérer facilement non seulement les fichiers (au lieu de devoir utiliser FileZilla) mais aussi les snapshots avec ZFS (en gros je monte le dossier de travail dans le VM et je snapshot que le dossier, Debian se réinstallant facilement en cas de problème). Maintenant en IPv6 comment je fais ? Ai-je encore le fonctionnement "réseau local" ? Comment je garde mes chemins réseaux accessible en local uniquement ? Comment je me protège de l'exposition sur le net de mes machines (parce qu'on pourra dire ce qu'on veut, que c'est pas fait pour et compagnie, mais la séparation réseau LAN / WAN, ça fait quand même une première barrière pour le quidam moyen) ? Sachant que j'ai des connaissances limités en réseau, je suis plutôt un tech enthousiaste et j'apprends sur le tas parce que ça m'intéresse. Donc avant de sauter le pas (et reboot la freebox), j'aimerais un peu d'aide et d'explication pour que mes services restent accessible, mes partages réseaux locaux aussi et que je n'expose pas trop de chose sur le net Merci d'avance
  12. Le but c'est de seeder des projets qui en ont besoins, donc ça stop pas peu importe le ratio
  13. Bonjour à tous, Ayant enfin une connexion fibrée avec un upload d'environ 250Méga, je me pose la question vu mon espace de stockage sur mon FreeNAS (4 To pour l'instant) de quel projet / torrent auraient besoin de seed. Évidemment, les distributions à la Ubuntu / Debian, ce n'est pas vraiment "utile" vu le nombre de source déjà disponible dans le monde. Actuellement je seed : Raspberry : NOOBS_v2_4_5 NOOBS_lite_v2_4 2017-11-29-raspbian-stretch 2017-11-29-raspbian-stretch-lite 2017-07-05-raspbian-jessie 2017-07-05-raspbian-jessie-lite Jeu : 0ad-0.0.22-alpha-win32.exe 0ad-0.0.22-alpha-osx64.dmg Bureautique : LibreOffice_5.4.5_Win_x64.msi LibreOffice_5.4.5_MacOS_x86-64.dmg LibreOffice_5.4.5_Linux_x86-64_deb.tar.gz J'aimerais donc savoir ce que vous seedez (si vous le faites), ce que vous jugez "utile" de seed, avec quoi exactement, et comment vous mettez à jour vos seeds (dans le cas d'une nouvelle version par exemple) ? Personnellement, comme je tourne sous FreeNAS j'ai simplement installé le plugin transmission qui me créer une jail (basé sous FreeBSD) et j'ai juste à monter un espace de stockage de mon pool de stockage (en créant sous FreeNAS un utilisateur et un group identique à ceux de ma jail avec les droits en lecture / écriture pour le groupe + mon propre utilisateur dans le même groupe). J'utilise donc actuellement Transmission qui est "simple et fait le boulot", bien qu'il ne soit pas personnalisable sur beaucoup de chose comme Rutorrent/Rtorrent que j'utilise ailleurs. Pour la mise à jour des torrents, je le fais "à la main" en checkant de temps à autre si une nouvelle version est sortie. J'ai hâte de connaître vos façons de faire Cordialement, Kazer2.0
  14. Yep, forcément, c'est la seul offre chez Orange de "minimum 500 méga en download et minimum 200 méga en upload". Tu payes au débit chez eux, et comme j'ai plein de truc que j'host chez moi, j'ai plus pris l'offre pour l'upload que le download (mes serveurs dédiés sont en 100 méga, donc ça sature )
  15. Je plussoie RFN. Un petit Raspberry chez toi avec le site et rulz. Faut juste que tu gardes le domaine et le faire pointer dessus. Alors certes, ça risque d'être lent, mais au moins toujours accessible. Perso j'avais du "gourmand" sur le raspberry (Instance Nextcloud, donc gourmand CPU, système de fichier et ram). Pour 4 / 5 users, tu avais un petit décalage de quelques secondes (2 à 5 en fonction de l'action). Après essaye d'aléger le bousin si tu peux (genre suppression éventuelle de plugin ?).
×
×
  • Create New...