- État Fermée
- Pourcentage achevé
- Type Évolution
- Catégorie LAN
- Assignée à Personne
- Système d'exploitation Freebox Server V6 (Révolution)
- Sévérité Moyenne
- Priorité Très Basse
- Basée sur la version 1.0
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
1
- kaxapo (30/04/2021)
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par N0n0 - 17/01/2011
Dernière modification par Thibaut Freebox - 07/08/2020
Ouverte par N0n0 - 17/01/2011
Dernière modification par Thibaut Freebox - 07/08/2020
FS#3845 - Ajout d'un filtrage par adresse IP
Bonjour,
Serait-il possible d’ajouter un filtre par adresse IP au serveur?
(ex par iptables -A INPUT -s $IP DROP ou par ajout de l’IP dans /etc/host.deny)
En effet cette fonctionnalité serait intéressante car elle permet de bannir certains indésirables qui essaye de se connecter / scanner / collecter des informations sur notre adresse IP (et nos services).
Merci d’avance
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
oui, tout à fait, d’accord, ne parlons même pas des IP HADPOPI.
oui, tout à fait d’accord aussi
Quelle interface pour ajouter les IP au filtre?
+1
Super important !!!!
+1
+1
Et pour ceux dont l’IP n’est pas dans la liste, vous faites quoi?
C’est un gadget.
Pour éviter de trop se faire repérer, un petit truc à faire est de désactiver la réponse au ping...
Ca permet de passer (un peu) au travers de scans peu scrupuleux...
On va tout de même pas demander à Free de tenir à jour un base dynamiques contenant les addresses des serveurs TMG et capable de mettre à jour les IP tables dynamiquement quand même .... quoique ))
La seedbox intégrée n’est pas une mauvaise idée en soi mais inutilisable en france. Rien de vaut une bonne seedbox hébergée dans un autre pays (avec du débit) et un bon vieux tunnel IPSec pour causer avec ...))
C’est clair mais ce que tu dis a un coût et cette “fonction” seedbox n’est qu’une version édulcorée à n’utiliser qu’à ses risques et périls (qui a dit Hadopi???) Pour ma part, cette fonction m’aurait intéressée si on avait eu la possibilité de pointer vers un autre endroit sur le réseau pour les téléchargements:
- 250 Go de stockage sont clairement insuffisants pour peu que l’on soit un peu au taquet niveau download ⇒ pointer vers un NAS ou une autre machine du réseau aurait été un bon plan000
- C’est de la place en moins pour les enregistrements TV....et ça peut aller très vite si on enregistre pas mal la TV
J’ai un NAS perso sur mon réseau mais qui ne sait pas gérer le protocole BTorrent (Thecus N5200) et j’aurais aimer pouvoir faire monter ce chemin dans la Seedbox de la V6...
Ça évite effectivement d’être scanné par ceux qui tiennent à avoir la réponse à un ping normal (echo-request/echo-reply) avant d’aller plus avant.
Mais :
- il y a plein de méthodes de “ping” : ICMP, TCP, UDP... n’importe quoi qui provoque une réaction de la cible
- si tout le monde se met à désactiver le ping, alors plus personne ne fera un ping avant un scan de ports
De toute façon, quelqu’un qui veut scanner n’est en rien obligé de commencer par faire un ping, normal ou autre.
L’important, c’est de ne pas avoir de services vulnérables, pas d’éviter le scan de ports.
Il ne faut pas se faire trop d’illusions sur l’utilité de la désactivation du ping!
+1 ;)
Date d’échéance Non décidé
Pourcentage effectué 0%
C’est pas pour demain la veille je pense ...
@ beaverois
Plutôt que d’attendre cette fonction très peu utile, tu devrais te débrouiller pour ne pas en avoir besoin.
En effet , il est toujours possible d’ajouter un vrai routeur entre la freebox et son réseau domestique interne ..... enfin disons que ce sera possible quand free ajoutera la possibilité d’ajouter des routes statiques sur la freebox afin de pouvoir router en interne )))
@ ccambon
À défaut d’un routeur, tu peux pas mettre un NAT-routeur (en DMZ éventuellement)?
@ccambon Je ne demande pas qu’ils maintiennent à jour la liste des serveurs TMG, mais juste de pouvoir bannir des IP (c’est pas forcément contre Hadopi)
@ N0n0
Des attaques peuvent venir de n’importe quel PC recruté par un botnet, c’est à dire de n’importe où.
La plupart des FAI attribuent des adresses IP dynamiques, donc un gêneur va pouvoir revenir avec une nouvelle IP; parfois, il suffit de rebooter la box pour changer d’IP.
Ma conclusion : la blacklist d’adresses IP est une perte de temps (comme presque toutes les blacklist en fait).
Il faut accepter de se faire bombarder par une ou des IP, et avoir des logiciels qui ne se DoS pas eux-même quand c’est le cas. (Générer une entrée de log par “attaque” détectée, c’est un self-DOS.)
@corrector Quelle vision étroite tu as!!!
Pour ton info, il est tout à fait possible de laisser sur un de tes serveurs/PC derrière la freebox un port ouvert qui déclenche en cas de scan (N’importe quelle méthode) dessus un script qui viens bannir l’IP en question. Il s’agit dans ce cas d’un action préventive car parfois les patchs mettent un peu de temps à arriver.
Autre cas classique un attaquant qui tente un brute force ssh, puis HTTP, etc ...
Autre cas, bannir les robots type google, ou d’autre qui récupèrent des statistiques sur les services ouverts et qui sont connus.
Autre cas, je suis un simple péquin moyen qui n’utilise aucun soft qui agit comme un serveur, mais qui a besoin d’avoir un logiciel de prise à distance pour que quelqu’un puisse l’aider en cas de problème. Exemple typique le PC de tes grand-parents. Tu bannis les connections entrantes à l’exception de celles provenant de ton adresse IP. Merci Free pour l’IP statique.
Tu as besoin d’autres cas ou ça te suffit?
Et quand à ton assomption :
“Il faut accepter de se faire bombarder par une ou des IP, et avoir des logiciels qui ne se DoS pas eux-même quand c’est le cas. (Générer une entrée de log par “attaque” détectée, c’est un self-DOS.)” Je te réponds que non, car en plus de t’embêter ça te bouffe aussi des ressources sur ton routeur, et même si tu n’as pas de soft sensible aux DoS, tes perfs réseau peuvent en être grandement affaiblies!
J’essaie de tout envisager. Mais je ne retiens que les solution de “sécurisation” qui sont réellement utilisables en pratique et fiables.
Bien sûr, à condition de détecter le scan.
Est-ce que tu peux détecter un scan hyper-lent?
C’est pour cela qu’il faut limiter la “surface d’attaque”.
Pourquoi pas plutôt un tarpit alors?
robots.txt?
Contradiction. Ce logiciel est un serveur. Et j’espère qu’il permet un contrôle d’accès autrement que par IP source.
Alors que gérer la liste de contrôle d’accès ne bouffe rien sur le “routeur” (NAT-routeur)?
Commentaire de corrector (corrector) - lundi 31 janvier, 2011 18:37:06
@ beaverois
Plutôt que d’attendre cette fonction très peu utile, tu devrais te débrouiller pour ne pas en avoir besoin.
Oui certes via iptables c’est pas bien compliqué à faire ;), et j’avoue que c’est juste une feature vraiment superficiel.
Visiblement tu en connais assez peu. Tu peux commencer par Halte aux Hackers Linux (http://livre.fnac.com/a1436314/J-Lee-Halte-aux-hackers-Linux), ça devrait élargir un peu ta vision