PAS DE TRAFFIC ENTRANT!

[Z3r0]

Bonjour à toute l'équipe de PC INPACT. Si tu ne sais pas : demande, si tu sais : partage ! Merci!

Je sais que je ne sais pas!

J'utilise une connexion internet (sans tv/tl via ADSL) debit IP 8mega. Mon PC Portable est connecté par sa carte ethernet intégrer par l'intermédiaire d'un câble RJ45 (ethernet) via la livebox sagem.

Le routeur m'atttribue par le serveur DHCP une adresse IP locale "192.168.1.10" tout comme la dns "192.168.1.1" et la passerelle par défaut "192.168.1.1" qui lui (le routeur) a la faculté d'être totalement autonome et fonctionne indépendamment du système d'exploitation.

En traffic entrant je n'ai pas les port UDP 67/68 mais seulement le port DNS UDP 53 sous l'IP locale "192.168.1.1"

IP locale:192.168.1.10 - IP locale dns:192.168.1.1 - Passerelle par défaut:192.168.1.1

Lors des tests effectuer sur des sites de sécurité comme pcflank.com il s'avère que le port TCP 135 est closed, j'ai du intervenir pour le fermer. Comment se fait il qu'il n'est pas masqué?. Mon PC n'est pas furtif puisque étant derrière une IP locale (192.168.1.10) je n'ai aucun traffic entrant de l'ip dynamique (92.XXX.XXX.XXX) dont le serveur HTTP distant tests les ports sans même que je puisse les voir! Sans même que je puisse agir! Aberrant!

J'ai analysé les trames par (Wireshark) qui m'a été d'aucune utiliter puisque qu'il ne capture que les trames de l'ip locale et non l'ip dynamique (92.XXX.XXX.XXX)

Lorsque que je me connecte à la toile (web) par l'intermédiare de l'ip locale 192.168.1.10 (je ne recoit que les requètes de connexions http80 vers le serveur http distant et le socket interne de la dns)

Un Hacker peut agir en tout impuniter sans même que je ne m'en rends compte puisque je n'ai pas de traffic entrant concernant l'ip dynamique (92.XXX.XXX.XXX)

Exemple: IP locale - IP locale DNS (udp 53)

|

IP dynamique <=> vers le serveur distant HTTP (test les ports vers l'ip dynamique vulnérable)

Mon firewall matériel vulnérable (celui du routeur) (utile en cas d'attaques DDOS) fonctionne à défaut et je n'ai pas de règles NAT ajoutées. (qui n'active que la couche OSI, à quoi bon?)

Mon firewall logiciel ne peut donc parer ce qu'il doit impérativement bloquer puisqu'il n'y pas de traffic entrant concernant l'ip dynamique et ne reconnait que l'ip locale de la machine.

je n'ai aucun contrôle sur l'ip dynamique. Mon traffic entrant est quasiment nul puisqu'il ne correspond qu'a l'ip locale (192.168.1.10). Que dire du traffic sortant?

Que faire?

Je suis désespéré. Merci de votre compréhension.

[Tintaspi]

Euh les connections rentrantes s'arrêtent au niveau du routeur en l'absence de NAT, pas au niveau des machines du réseau local. Donc il est impossible d'intercepter les connections au niveau d'un ordinateur du réseau local.

Pour la suite j'ai rien compris...

Et si tu pouvais enlever les capitales du titre...

[Z3r0]

Si j'active une règle NAT seul le modèle OSI (Open Systems Interconnection) est actif, le firewall hardware ne filtre qu'une partie sachant pertinement qu'un firewall logiciel n'est d'aucune utiliter en cas d'attaques DDOS. A contrario seul le firewall hardware (celui du routeur) peut rivaliser. TcpIp dans le modèle OSI. Si j'en suis ma logique.

Pour faire simple j'aimerai que mon firewall logiciel reconnaisse l'ip dynamique et non locale de ma machine tout en ayant une protection fiable aux multitudes attaques possibles.

Je t'ai pas encore parler du routage direct.

[sugeek]

tes explications sont super flou !

mais bon essayons de nous pencher sur le probleme.

en aucun cas tu ne peut avoir de controle sur ton routeur puisque c'est une livebox, donc impossible d'analyser les trames et impossible de monter un firewall logiciel.

La ou je ne te comprend pas puisque tu a l'air parano de la securité c'est que tu utilise une livebox en mode routeur , si tu veux vraiment utiliser un firewall materiel via un routeur , achete un routeur externe parametrable.

Ensuite je te conseil une achitecture avec une connection wan directe sur un vieu pc sous une belle debian avec 2 interfaces reseaux. dessus tu install un petit shorewall (firewall puissant et simple) quelque regles iptables ( interdire tout ce qui entre , autoriser les connexions entrantes initialisé par moi , autoriser les connexion sortantes) et pourquoi pas un petit proxy squid et tu met ensuite via la deuxieme interface un reseau differents avec tes machines.

En traffic entrant je n'ai pas les port UDP 67/68

Comment fait le serveur DHCP si les port sont bloqué ???

Un Hacker peut agir en tout impuniter sans même que je ne m'en rends compte puisque je n'ai pas de traffic entrant concernant l'ip dynamique (92.XXX.XXX.XXX)

il peut envoyer ce qui veux, avec la nat il ne peux pas recupérer l'adresse du reseau privé sauf si tu as mall configurer le routeur.

si le routeur tombe il ne peux pas joindre tes machine puisque elles sont en reseaux privé.

essaye de nous expliquer plus simplement ton problemes point par point

[Z3r0]

en aucun cas tu ne peut avoir de controle sur ton routeur puisque c'est une livebox, donc impossible d'analyser les trames et impossible de monter un firewall logiciel.

Pourquoi ne puis je pas avoir de contrôle sur ma livebox "achetée"? Alors comment se fait il qu'Orange propose en plus un firewall logiciel?

La ou je suis d'accord avec toi c'est qu'il est très difficile de paramètrer une livebox...puisqu'a chaque reboot de la livebox, les paramètres ne sont pas prit en compte même en ayant sauver les données. En revanche si tu veux créer une règle LAN ou NAT c'est possible. Ce que je ne veux faire. La livebox est pour un public sans besoin de connaissances supplémentaires et innaccessible

pour un geek. Pas de documentation fiable et technique concernant éventuellement une configuration totalement refaite. La livebox est orienté Windows d'après la lecture des règles du firewall matériel intégré.

Comment fait le serveur DHCP si les port sont bloqué ???

Le serveur DHCP est dans le routeur. Les ports ne sont pas bloqués mais pas visible.

NAT Statique ppp0 insupprimable dans le routeur: (Puisqu'a chaque reboot de la livebox, les paramètres ne sont pas prit en compte même en ayant sauver les données.)

IPlocale (192.168.1.10) => Routeur => IPdynamique (92.X.X.X) => internet!

J'ai l'intention d'installer FreeBSD compatible 100% avec le futur routeur que je vais acheter très certainement et configurer. Hélas je n'ai pas 2pc mais qu'un seul PC portable.

D'ailleur que conseilles tu comme Routeur (firewall intégré de préférence)? pour une architecture BSD.

J'aimerai surpprimer la règle NAT Statique (à défaut du routeur) pour pouvoir avoir accès directement à l'ip dynamique...

Ca me sert à rien les règles NAT!!!

[Erric]

Salut,

Tu redirige tous les port (de 1 à 65535) de ta livebox vers ton PC.

[Z3r0]

Salut Erric,

Je ne souhaite pas créer de règles NAT ou LAN.

Si je crée une règle LAN en redirigeant tout les ports de 1 à 65535 tcp ou udp je suis vulnérable aux DDOS puisque je contourne le firewall matériel et sachant qu'un firewall logiciel n'est d'aucune utiliter fasse aux DDOS.