Hello collègue d'université ! :)
Déjà une première question me brule aux lèvres, IPv4 ou IPv6 ? Hélas je
pense connaitre la réponse vu la question :/
Il faut savoir que Free pour ces accès pour contourné le problème de
limitation en IPv4 utilise massivement le CG-NAT comme aucun autre
opérateur en France à ce jour. Tu peux donc sur une seule IPv4 fixe te
retrouver avec 4 "box" (donc encore plus de client potentiellement !)
sauf si le client à clairement demandé une IPv4 dédié définitive par son
espace web. Tu te retrouve donc avec un routeur client/Freebox qui va
"ouvrir" une instance vers ton port 80 depuis un port "haut" mais le
CG-NAT qui peut rabaisser ce port entre
1-16000/16000-32000/32000-48000/48000-64000 (et des poussières) -si on
considère 4 box par IPv4- de façon totalement random.
Là où on retombe sur ma première question est purement lié au réseau de
Free qui est totalement IPv6 ready. "Normalement", si toute ton infra*
est compatible, alors les communications passeront par défaut en IPv6.
(Sauf si le client désactive l'IPv6 sur son interface Free/Box/OS mais
c'est quasiment plus le cas) et ce problème n'existera simplement pas.
Pourquoi la petite * sur infra ? Car pour travailler dans une Université
(la région de à coté) sur un réseau à la fois de collecte (le coté
opérateur) et de "distribution" (utilisateur final/salle machine), on
est pas IPv6 ready réellement, juste de façon "saupoudré" sur la couche
réseau pour dire "on en fait" (mais clairement même avec nos partenaires
pas de i-BGP), alors derrière es-ce que les Serveurs, OS des serveurs et
applications sont elles aussi IPv6 Ready quand ça dépends d'autres
équipes (généralement 3 ou 4) dont l'IPv6 n'est pas le problème primaire
car "On dispose de /16 par Renater" (pour l'avoir entendu)... Sans
commentaire :)
Hélas, pas 50 solutions, autoriser les "ports bas vers bas" et configuré
un IDS (pas firewall car disons le : chaqu'un son taff !) pour détecter
les vrai scan-port car le CG-NAT tu va en avoir de par Free mais aussi
d'autres opérateurs et PAS QUE Francais (je dis coucou Erasmus et aux
autres étudiants dans des pays encore moins bien lotis en IPv4).
J'espère que ça t'aidera ce petit retour d'expérience.
Laurent
PS : Vive le rugby et les chocolatines ! :)
Le 09/06/2020 à 09:06, fabrice prigent a écrit :
Bonjour à tous,
Première question de ma part. Je suis responsable sys et réseau
dans une université avec 20000 étudiants. La période actuelle nous
permet de découvrir des problèmes "plutôt rares", mais gênants, le
dernier en date étant la transformation NAT A+P de Free (les exemples
qui nous sont remontés sont systématiquement liés à Free pour l'instant).
Notre Firewall est conçu pour bloquer toutes les communications
"non standard", telles que des ports bas vers d'autres ports pas. Mais
le NAT A+P de Free ne semble pas du tout prendre en compte ce
principe, ce qui fait que nous bloquons un nombre "important" de
requêtes légitimes.
A la dernière analyse, ce comportement (connexion d'un port bas
vers le port 80 par exemple) était à 96% du à des scanners de
vulnérabilités (on ne va pas dire pirates.), mais les 4% restants sont
des étudiants et personnels chez Free. (Je résume).
Docteur(s), suis-je psycho-rigide ? Sommes-nous le seul cas ?
Dois-je :
- prier le dieu Free afin que dans sa clémence il corrige ce
comportement
- me dire "ranapéter, je continue de bloquer"
- me dire "Ils sont trop grands, je suis trop petit, j'accepte"
- multiplier par 4 la taille de mes règles iptables afin de
désactiver les ports bas quand il s'agit de free et ainsi rendre
honneur au plat préféré de mes femmes : les spaghettis
- faire honneur à mon pays du rugby, avec un magnifique bottage en
touche en disant aux utilisateurs "takademanderuneipfisc"
- "42"
Merci d'avance de vos réponses.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
