- État Nouveau
- Pourcentage achevé
- Type Anomalie
- Catégorie Autre
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Basse
- Priorité Très Basse
- Basée sur la version 1.2.0
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par meubeukeu - 06/01/2007
Dernière modification par nitro - 09/01/2007
FS#1387 - Probleme de routage avec une DMZ depuis le réseau local en interrogeant l'ip publique
Si une IP est spécifié en DMZ, depuis le réseau local, si on requete l’ip publique, le packet est redirigé sur l’interface interne de la freebox et n’aboutie donc à rien.
De plus le port 80 répond et c’est un service apache (renommé cheyenne) présent sur la freebox ! C’est une belle faille de sécurité étant donné que même la version de apache est affichée. Je n’ais pas encore testé tout les ports pour voir quel service est présent sur la freebox.
Pour contourner ce bug, il suffit de forwarder explixitement les ports utiles en plus de la DMZ (la DMZ pert ici son interet) ceci est problématique dans le cadre de l’utilisation d’un serveur quelconque, ex: consulter un virtualhost depuis chez soit quand le serveur est également chez soit, comme un webmail. Heureusement que depuis peu il est possible de spécifier un grand nombre de forward.
Ce problème se vérifie sur les freebox V3 V4 et V5/HD
Question : à quoi sert, ou servira, ce service apache sur la freebox ? c’est la page de conf d’usine du routeur, bloquée à l’accès ? (erreur 403).
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Il permet de télécharger la playlist pour le multiposte, et espérons plus un jour
Ok et pourquoi répond t’il depuis lorsque la source est le réseau local et la destination est l’interface publique :/ là est un problème !
+1, j’ai du router les ports 80 et 443 pour que la DMZ les voit...
Re, alors un problème un peu embettant vis à vis de ce bug : à cause du Port Forwarding sur la freebox, un firewall tel que iptables ne peut pas voir la véritable ip source d’un packet :( donc impossible d’implémenter une sécurité basée sur la source d’une requete :/ c’est quand même très gênant (la source sur les ports explicitement forwardés est bien évidemment la freebox .. logique ...)
J’ai moi aussi rencontré ce problème embetant, j’ai pas mal de port forwarder pour regler ca, et en plus de ca j’utilise le fichier host pour resoudre les noms correspondant a mes machines local par leur adresse local, mais j’avoue que c’est assez chiant a tenir a jour, a cause de ce bug :( Sinon une autre solution, si on a trop de machine, ca serai 2 serveur DNS, un serveur pour les resolutions locales (avec les IP locals) et un pour les resolutions externes... En supposant qu’on utilise des noms de domaines, et tout ca juste pour eviter de passer par la freebox et se retrouver face a son bug :( J’espère que free réagira et corrrigera ce bug.
Je confirme le problème et c’est plutôt gênant...
J’ai un fixe que je voulais mettre en serveur sur la DMZ et un portable. Je ne peux donc pas définir un alias dans le fichier hosts du portable pour accéder à l’adresse locale du serveur, vu que ça ne marchera plus de l’extérieur...
Et si je ne peux tester mon serveur (et ses éventuelles failles) du réseau local comme il est vu de l’extérieur, il n’y a aucun intérêt, et il est même “dangereux” de le mettre en DMZ... Dommage.
Et apparemment, Free ne semble pas réagir sur ce problème vu que ça fait plus de 7 mois qu’il a été ouvert...
“De plus le port 80 répond et c’est un service apache (renommé cheyenne) présent sur la freebox ! C’est une belle faille de sécurité étant donné que même la version de apache est affichée.”
Pourquoi est-ce une faille?
“(la source sur les ports explicitement forwardés est bien évidemment la freebox .. logique ...)”
Pardon? Quelle idée!
“J’ai moi aussi rencontré ce problème embetant, j’ai pas mal de port forwarder pour regler ca, et en plus de ca j’utilise le fichier host pour resoudre les noms correspondant a mes machines local par leur adresse local, mais j’avoue que c’est assez chiant a tenir a jour, a cause de ce bug :(”
Je ne comprends pas! De quoi s’agit-il?
“Et si je ne peux tester mon serveur (et ses éventuelles failles) du réseau local comme il est vu de l’extérieur, il n’y a aucun intérêt, et il est même “dangereux” de le mettre en DMZ... Dommage.”
Bien sûr que si on peut, je ne vois pas du tout le rapport avec les redirections!
“De plus le port 80 répond et c’est un service apache (renommé cheyenne) présent sur la freebox ! C’est une belle faille de sécurité étant donné que même la version de apache est affichée.”
Pourquoi est-ce une faille?
“(la source sur les ports explicitement forwardés est bien évidemment la freebox .. logique ...)”
Pardon? Quelle idée!
“J’ai moi aussi rencontré ce problème embetant, j’ai pas mal de port forwarder pour regler ca, et en plus de ca j’utilise le fichier host pour resoudre les noms correspondant a mes machines local par leur adresse local, mais j’avoue que c’est assez chiant a tenir a jour, a cause de ce bug :(”
Je ne comprends pas! De quoi s’agit-il?
“Et si je ne peux tester mon serveur (et ses éventuelles failles) du réseau local comme il est vu de l’extérieur, il n’y a aucun intérêt, et il est même “dangereux” de le mettre en DMZ... Dommage.”
Bien sûr que si on peut, je ne vois pas du tout le rapport avec les redirections!
Bon la solution pour Free c’est de modifier les règles du firewall de la freebox sur le modèle de cette règle iptables :
iptables -A PREROUTING -i “interface_LAN” -s “réseau_interne” -d “ip_pulique” -j DNAT –to “ip_DMZ”
tout ce qui rentre par l’interface LAN ayant pour ip source une ip du réseau interne et ayant pour destination l’ip publique de la freebox sera routé vers l’ip en DMZ ...
c’est quand même pas compliqué Mr FREE !!
Non, on ne peut pas voir depuis le réseau local le serveur tel qu’il est vu de l’extérieur.
On est obligé, pour avoir un fonctionnement à peu près correct, de bidouiller en local des redirections, que ce soit avec des forwarders ou des fichiers hosts ou toute autre solution trouvée. Mais... Quelle que soit la solution, vu que j’utilise une solution que n’utiliseront pas les personnes “de l’extérieur” pour accéder à mon serveur en DMZ, je ne serais pas, par définition, dans la même configuration que ceux qui pourraient essayer de trouver des failles à mon serveur.
Ce qu’il faudrait, c’est juste que la machine en DMZ soit vue par les machines du réseau local comme une machine d’un réseau à part. C’est normalement le but d’une DMZ, un réseau à part du réseau interne, mais accessible comme toute autre machine du réseau externe...
Est-ce toujours le cas début 2019 ?