- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie LAN → NAT (redirections, DMZ)
- Assignée à Personne
- Système d'exploitation Freebox Server V7 (Delta)
- Sévérité Basse
- Priorité Très Basse
- Basée sur la version 4.7.8
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par Vallevert - 13/12/2023
Dernière modification par mmakassikis - 17/04/2024
FS#38829 - NAT bypassing bug
Bonjour,
Suite à une coupure de courant, ma Freebox Delta a redémarré le jeudi 6 décembre 2023. Il est possible qu’elle ait effectué en même temps la mise à jour, mais je n’en ai aucune certitude, car elle reste allumée 100 % du temps, et peut-être que la dernière mise à jour était déjà appliquée.
Note: je possède bel et bien une IP Full Stack. Tous les tests que j’ai pu effectuer sont accompagnés d’un redémarrage de la Freebox pour confirmer l’application du changement. Par exemple, la modification de l’URL publique de la Freebox nécessite un redémarrage pour être prise en compte. De plus, je possède deux Freebox Delta à deux adresses différentes, et les tests ont donc été effectué sur ces deux Freebox.
Version du micrologiciel : 4.7.8
Version du matériel : Freebox v7 (r1)
J’utilise un Reverse Proxy comme pare-feu.
La Freebox est configurée pour rediriger les ports 80 et 443 (protocole http) vers mon Reverse Proxy.
Ainsi, toutes les connexions extérieures sont sécurisées par le Reverse Proxy et routées à l’endroit désiré de mon LAN.
Le Reverse Proxy joue un rôle de sécurité en tant que pare-feu, ainsi que de routage pour empêcher l’extérieur d’atteindre certaines machines locales. De plus, il assure le chiffrement de bout en bout des connexions. Par ailleurs, l’interface Web de la Freebox est désormais accessible depuis Internet, ce qui n’était pas le cas auparavant. Enfin, on peut désormais accéder à ma Freebox en utilisant l’IP, alors qu’auparavant toute connexion utilisant l’IP était refusée. Il s’agit donc d’un véritable problème de sécurité.
Depuis le jeudi 7 décembre, lorsque la Freebox s’est rallumée, la configuration du Port Forwarding n’a pas changé sur l’interface Web de la Freebox, mais en arrière-plan, elle ne redirige plus les ports 80 et 443 vers mon Reverse Proxy.
Après quelques investigations, je pense que la Freebox se réserve désormais les ports 80 et 443 pour l’accès à l’interface Web depuis l’extérieur.
Cela n’était pas le cas avant le redémarrage de la Freebox.
Les ports 80 et 443 étaient correctement redirigés vers mon Reverse Proxy.
Depuis la “mise à jour/redémarrage”, la Freebox semble avoir décidé de réaffecter les ports 80 et 443 à son propre usage sans interdire la redirection NAT.
Je suppose donc que les règles de NAT que j’ai établies sur ces deux ports sont affichées sur l’interface Web, mais ne sont pas prises en compte comme elles le devraient.
Ceci reste une hypothèse, je n’ai donc aucune certitude, seulement les tests que j’ai pu effectuer.
J’ai même essayé de passer le Reverse Proxy en DMZ, ce qui n’a pas fonctionné.
Je vous joins des schémas expliquant la situation avant et après le redémarrage.
Image ici: https://i.postimg.cc/jKRkC4d9/temp-Imagez3h-Wcy.jpg
Je pense que le problème est lié à l’accès depuis Internet à l’interface de la Freebox, car lorsque je modifie les ports par défaut, il semble que la Freebox libère parfois les ports 80 et 443. Cependant, je n’en ai pas la certitude car cela n’a pas toujours fonctionné. La modification des paramètres de cette partie est assez délicate, car elle nécessite un redémarrage, n’a pas toujours un effet immédiat, et semble parfois présenter des dysfonctionnements (on ne sait jamais en combien de temps cela va fonctionner).
Merci.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour,
Quelle est votre adresse MAC ?
edit: je suis allé un peu vite dans la lecture.
L'accès depuis l'extérieur est nécessaire s'il y a une application appairée à la box (Freebox Connect par exemple). Les ports ne sont pas réservés, dans la mesure où ils sont configurables (dans Paramètres > Mode avancé > Gestion des accès)
Par contre il y a un bug qui fait que les nouveaux paramètres ne sont pas appliqués immédiatement. En changeant les ports pour FreeboxOS et en rédémarrant la box les redirections vers votres reverse proxy devraient être à nouveau fonctionnelle.
@mmakassikis: Oui il y a un bug historique concernant la perte de connexion à l'application car un service n'est pas redémarré pour valider les changements de ports http/https pour l'interface Web…
Une solution arrivera enfin avec le nouveau firmware ?
Bonjour,
L’adresse MAC de ma Delta est : 34:27:92:67:53:52
J'ai terminé mes recherches :
Il s’agit bien du fait que la Freebox se réserve les ports publics pour sa WebUI.
Amélioration à faire : que ce soit pour les ports VPN, FTP, client BitTorrent, DHT, la WebUI, etc., interdire à l’utilisateur de configurer ses règles NAT sur ces mêmes ports.
Je confirme bien le fait que le menu
demande un redémarrage pour appliquer le changement.
Pour ceux ayant le même problème que moi :
- Changer les ports de la WebUI depuis
.
- Redémarrer (obligatoire).
- Supprimer toutes les applications liées à la Freebox (pas sûr, à vérifier).