View previous topic :: View next topic |
Author |
Message |
linitz n00b
Joined: 01 Mar 2008 Posts: 3
|
Posted: Fri Aug 01, 2008 6:37 pm Post subject: iptables et NAT |
|
|
J'ai une question idiote
J'ai un partage de fichier avec samba sur un serveur connecter dans un réseau local (192.168.0.0) derriere une freebox. Je suis en train de configurer iptables pour qu'on n'ai pas acces au partage du net. Et je me pose la question suivante :
Si j'autorise samba que sur le réseau local (192.168.0.0/24), ma freebox (192.168.0.254) aura accès à ce partage et donc tt le monde sur le net. Non ? ça me parait tellement bizarre qu'en autorisant un réseau local on autorise le net que je voulais avoir votre avis ...
Merci |
|
Back to top |
|
|
GentooUser@Clubic l33t
Joined: 01 Nov 2004 Posts: 829
|
Posted: Fri Aug 01, 2008 11:33 pm Post subject: |
|
|
Non autoriser le réseau local n'autorisera pas le net, la translation d'adresse ne se fait que dans le sens de la sortie. |
|
Back to top |
|
|
gbetous l33t
Joined: 15 Jan 2004 Posts: 679 Location: Toulouse
|
Posted: Sat Aug 02, 2008 8:18 am Post subject: |
|
|
Oui, si qqu'un arrive depuis le net avec une adresse 1.2.3.4, il sera vu par ton ordi comme 1.2.3.4, et non avec l'adresse interne de ta freebox.
N'autoriser que 192.168.0.0/24 est la bonne solution pour limiter un service au seul reseau local ! _________________ Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE
|
|
Back to top |
|
|
razer l33t
Joined: 08 Oct 2004 Posts: 893 Location: Paris - France
|
Posted: Sat Aug 02, 2008 10:41 am Post subject: |
|
|
Sauf que la Freebox est une boite noire, que Free en fait ce qu'il en veut, donc aussi n'importe qui ayant usurpé les services de ce FAI
Perso, pour moi c'est Freebox -> Serveur (DMZ) -> rezo local
Le défaut est qu'il faut un routeur en plus, l'avantage est de s'affranchir de la sécurité aléatoire d'une boite noire : je ne fait pas confiance à mon FAI
Une solution intermédiaire serait d'autoriser 192.168.0.0/24 ET de bloquer 192.168.0.254 sur les ports concernés. |
|
Back to top |
|
|
linitz n00b
Joined: 01 Mar 2008 Posts: 3
|
Posted: Sat Aug 02, 2008 12:54 pm Post subject: |
|
|
Merci à tous.
Je crois que je vais quand considérer la freebox comme une arrivé internet et donc la bloqué. Dans une utilisation normale je suis d'accord que une adresse du net ne sera pas vu comme la freebox (pour la réponse dumoins) par contre j'ai un peu peur de la réécriture de paquets ou d'une combine pour passer outre une utilisation classique.
Bref, je vais jouer les parano,
Merci beaucoup de m'avoir éclairé ^^ |
|
Back to top |
|
|
Ey l33t
Joined: 07 Apr 2005 Posts: 863 Location: Paris
|
Posted: Sat Aug 02, 2008 11:40 pm Post subject: |
|
|
linitz wrote: | Je crois que je vais quand considérer la freebox comme une arrivé internet et donc la bloqué. Dans une utilisation normale je suis d'accord que une adresse du net ne sera pas vu comme la freebox (pour la réponse dumoins) par contre j'ai un peu peur de la réécriture de paquets ou d'une combine pour passer outre une utilisation classique.
Bref, je vais jouer les parano, |
Soit tu fais confiance a ta freebox et donc 192.168.0.0/24 suffira amplement, soit tu ne lui fais pas confiance et interdire son IP ne t'apportera strictement rien. La seule vraie solution dans ce cas est effectivement de cloisonner la freebox de ton réseau domestique comme suggéré plus haut (et a ce niveau la tu peux aussi bien désactiver la fonction routeur de la freebox ca ne te servira plus a grand chose...).
La seule solution intermédiaire serait d'utiliser un VPN entre tes PCs et ton share samba.
Sinon si tu veux faire dans les demi-mesures, fonctionne plutot en white list (n'autorise que l'adresse MAC et l'IP de tes machines à causer avec ton share samba) qu'en black list. Mais bon si en plus ta freebox te sert de routeur internet, elle a accès à ta MAC et à ton IP interne, donc ça ne servira encore une fois pas à grand chose...
EDIT : petit oubli de ma part : normalement il y a un formalisme à respecter pour les titres des posts sur le forum du type "[catégorie] titre". |
|
Back to top |
|
|
|