Re: 9box 4 v2 et protection réseau sous debian (et W$)
On Wed, 29 Dec 2010 11:18:02 +0100, Pascal Hambourg wrote: ... > En effet, par le plus grand des hasards je viens de mettre la main sur > une Neufbox v4 et j'ai pu examiner son interface de configuration. Je > suppose qu'en mode bridge elle se contente de relayer les trames > ethernet ou PPPoE entre ses interfaces ADSL et ethernet sans faire de > filtrage, et donc qu'il faut un équipement derrière pour établir la > session PPP et effectuer un éventuel filtrage. A noter que c'est très Farpaitement, en mode BRIDGE, elle ne se comporte plus qu'en simple MODEM (et ça n'est même pas indiqué dans la doc, mais juste dans leurs forums, en fouillant bien.) > différent du fonctionnement en mode non routeur (appelé familièrement > "bridge") de la Freebox. > > Mon FAI n'est pas SFR mais apparemment le firmware de la Neufbox est > basé sur GNU/Linux et on peut le bricoler, il y a peut-être moyen d'en > faire quelque chose... J'ai découvert cela récemment (mais ça date de 2007): il existe des tas de docs, et le source est fourni directement par la Sté qui développe le FW officiel. http://fr.wikipedia.org/wiki/Neufbox_de_SFR http://www.neufbox4.org/blog/ -- DISCLAIMER: Use of this advanced computing technology does not imply an endorsement of Western industrial civilization. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101229134839.421e5...@anubis.defcon1
Re: 9box 4 v2 et protection réseau sous debian (et W$)
De (from) (von) <12u...@gmail.com> : > On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux > wrote: > Sans rentrer dans une polémique (quoique...) quoique... > Tu dois travailler dans l'administration française pour générer une telle > efficacité et des idées de génie multipliant la quantité de travail par 3 > (au hasard ministère du budget, celui qui déclare presque 3x moins de > fonctionnaires qu'en réalité?) Ahh là je ne savais pas que l'objet de la liste était la stigmatisation d'une catégorie par une autre. J'en connais quelques uns qui savent très bien user de ce ressort. Adiou -- Ce dont nous faisons l'expérience est, dans un sens métaphorique, une inversion de la trajectoire de civilisation : nous évoluons de cultivateur de la connaissance personnelle en cueilleurs de la forêt de données électroniques. Dans ce processus, il semble que nous soyons voués à sacrifier une grande partie de ce qui rend nos esprits si intéressants. Carr Nicholas : about internet. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101229035606.gb7...@mondomaine
Re: 9box 4 v2 et protection réseau sous debian (et W$)
On Tue, 28 Dec 2010 20:12:06 +0100, Pascal Hambourg wrote: ... > Tu es sûr que la box est en bridge ? A ma connaissance la plupart des > box fonctionnent plutôt en routeur NAT, l'exception étant la Freebox. Et > en bridge, elle ne filtre pas. La neufbox donne aussi le choix; mais s'il est en mode BRIDGE, terminé l'I/F de contrôle (du moins jusqu'au box-reset suivant.) -- Ego sum ens omnipotens. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101228202820.49c5f...@anubis.defcon1
Re: 9box 4 v2 et protection réseau sous debian (et W$)
On Tue, 28 Dec 2010 15:23:34 +0400, philippe monroux wrote: > De (from) (von) : > > > La réponse dépend de la confiance que tu accordes à la box. En ce qui me > > concerne, je ne fais confiance à aucune box de FAI pour assurer la > > sécurité de mon réseau local : soit elles ont des backdoors permettant > > une mise à jour du firmware à distance, soit elles sont carrément sous > > le contrôle total et permanent du FAI, et je refuse que la sécurité de > > mon réseau dépende des action d'un tiers qui peut être compromis (ça > > s'est déjà vu). +10 N'oublies pas le nombre impressionnant de backdoors implantées dans les cellulaires: pourquoi une box y échapperait-elle? > Une chose est certaine : tous les ports sont fermés pour l'extérieur. > Et la conversation située à : > > http://forum.ubuntu-fr.org/viewtopic.php?id=399418 > > semble indiquer qu'un pare-feu n'est pas vraiment utile. Sans rentrer dans une polémique (quoique...) Trudububu n'est pas la référence de sécurité; c'est plutôt Debian la référence en question. > Je ne sais pas exactement ce que je vais faire au niveau > filtrage. Par contre je vais retirer bon bridge firewallant car cela > fait double emploi puisque la box est déjà un bridge. Sauf que pour une majorité de box en mode bridge, ladite box devient totalement transparente. > Peu être mettrai-je un pare-feu directement sur chaque machine > (seulement si j'en voie l'utilité mais rien n'est moins sûr...). Wahoo, tu supprimes une protection générale ayant vraisemblablement fait ses preuves et administrable en un seul point au profit d'une multitude de protections locales!? Tu dois travailler dans l'administration française pour générer une telle efficacité et des idées de génie multipliant la quantité de travail par 3 (au hasard ministère du budget, celui qui déclare presque 3x moins de fonctionnaires qu'en réalité?) -- A stunning blonde, but probably all bean dip above the eyebrows. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101228132114.43973...@anubis.defcon1
Re: 9box 4 v2 et protection réseau sous debian (et W$)
De (from) (von) : > La réponse dépend de la confiance que tu accordes à la box. En ce qui me > concerne, je ne fais confiance à aucune box de FAI pour assurer la > sécurité de mon réseau local : soit elles ont des backdoors permettant > une mise à jour du firmware à distance, soit elles sont carrément sous > le contrôle total et permanent du FAI, et je refuse que la sécurité de > mon réseau dépende des action d'un tiers qui peut être compromis (ça > s'est déjà vu). Une chose est certaine : tous les ports sont fermés pour l'extérieur. Et la conversation située à : http://forum.ubuntu-fr.org/viewtopic.php?id=399418 semble indiquer qu'un pare-feu n'est pas vraiment utile. Je ne sais pas exactement ce que je vais faire au niveau filtrage. Par contre je vais retirer bon bridge firewallant car cela fait double emploi puisque la box est déjà un bridge. Peu être mettrai-je un pare-feu directement sur chaque machine (seulement si j'en voie l'utilité mais rien n'est moins sûr...). En tout cas je vais d'abord fouiller dans le 9B4 pour voir. Au fait pour info : le disque d'install d'SFR (qui ne sert certes à rien) est un casper livecd ubuntu qui marche sous W$ mais qui est inutilisable sous Linux. Un comble. -- Philippe Monroux -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101228112334.ga20...@mondomaine
Re: 9box 4 v2 et protection réseau sous debian (et W$)
De (from) (von) <12u...@gmail.com> : > > Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais > Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas > faire les choses suivantes: > * l'appelant laisse un msg, > * tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route, > * tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été > effacé. > Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la box > :( ok > Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full > disclosure comme celui de la v1 si tu veux t'amuser. oui mais là il faudrait que j'en sois propriétaire ce qui n'est pas le cas (On ne peut pas à la Réunion:() > > s'il est nécessaire de garder toutes ces protections car il va falloir > > blah blah > (Très) mauvaise excuse: c'est justement le moment de t'y replonger... pour sûr mais je suis sous debian depuis une douzaine (je sais ça se vois pas) et j'avoue que j'ai levé le pied... > Pourquoi changer une équipe qui fonctionne bien? > (ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1): exact > * --soit tu changes l'adresse de la box (il me semble que les routers pourris > de ft se mettaient en 192.168.0.1), je préfère pas. > * ++soit, pour éviter une rupture de comm lors d'un incident, tu changes tes > adresses IP internes: > * ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW), > * ~20s pour effectuer la même manip qu'au boot manuellement pour mettre en > place les modifs: > * ifconfig eth0 192.168.1.10 > * route add default gw 192.168.1.1 Mmmmouais. Mais ma Soekris est une machine sans écran. Je m'y connecte par ssh. J'ai bien essayé de changer tout ça (/etc/network/interfaces et la config de shorewall) dans un terminal sur mon desktop et évidemment la connection ssh se coupe (normal). Mais après je ne peux pas me reconnecter à ma soekris (après avoir changé /etc/network/interfaces de mon desktop). Ni la pinguer d'ailleurs. Je ne sais pas où exactement je fais une erreur. Sûrement pas dans /etc/network/interfaces. À priori non plus ds la config de shorewall en bridge transparent puis qu'il suffit de changer mes anciennes adresses IP (10.0.0.* en 192.168.1.*). Dans l'ordre de relance des 2 (/etc/init.d/networking restart et shorewall) donc... Bref tout ça me prend 1 peu (beaucoup en fait) le coco. Peut-être que j'essaierai de configurer tout ça par le port com avec un câble null-modem au moins je n'aurai pas les coupures dues aux changement d'IP. Je suis également tenté d'essayer la version testing http://gate-bunker.p6.msu.ru/~berk/debian-router/etch-router-0.5.1.tar.gz Mais marche-t-elle ? Bref beaucoup de prise de tête (j'ai plus 20 ans) > Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te > faire jeter des SMTPs, profites-en pour établir ton propre serveur > DNS interne. Sur quelle machine installer le dns. La soekris ? Car je suppose qu'il n'y en a pas sur la 9B4. Autre question : j'ai pris la 9B4 d'SFR pour augmenter ma bande passante de 512kb (on ne rigole pas svp) à 8 Mb (j'en vois encore qui s'esclaffent au fond) donc est-ce que ma machine soekris ne va pas m'en bouffer un peu. Oui je sais avant c'était déjà le cas mais bon ça fait partie de mes contradictions qui finalement on fait déguerpir ma femme et me faire retrouver mon OS chéri. En tout cas merci de m'aider :) -- Dans l'enfer topologique, la bière est contenue dans des bouteilles de Klein. ph -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101227131356.ga29...@mondomaine
Re: 9box 4 v2 et protection réseau sous debian (et W$)
On Mon, 27 Dec 2010 11:10:20 +0400, philippe monroux wrote: > J'ai un réseau perso composé de 3 machines debian et 1 W$ > > Pour quelques jours encore je suis connecté (orange) par un routeur > speedtouch 510 et mon réseau est protégé en aval du routeur par une > soekris net4801 sur lequel j'ai installé un bridge firewall > transparent (à l'aide de shorewall et d'une petite distro basée sur > debian sarge trouvée à: > http://gate-bunker.p6.msu.ru/~berk/router/#DR1 ). Bonne ch'tite install (encore meilleure si la Soekris a un daemon uPnP installé.) > Le père Noël m'a apporté une neufBox4 v2 (SFR) donc je me demandais Si c'est comme la v1 et que tu filtres tes appels, il ne faudra surtout pas faire les choses suivantes: * l'appelant laisse un msg, * tu fais *9 pour l'écouter, puis 2 pour l'effacer en cours de route, * tu rappelles AVANT que la 1/2 sonnerie ne te prévienne que le msg a bien été effacé. Si tu rappelles AVANT cette 1/2 sonnerie, tu es bon pour un reboot de la box :( Le bon côté des choses, c'est que le firmware de la v2 sera sans doute en full disclosure comme celui de la v1 si tu veux t'amuser. > s'il est nécessaire de garder toutes ces protections car il va falloir > que je revoie toutes mes adresses IP en interne et c'est difficile à > maintenir (j'ai installé ç il y a +ieurs années et c dur de s'y > replonger) (Très) mauvaise excuse: c'est justement le moment de t'y replonger... Pourquoi changer une équipe qui fonctionne bien? (ici, on suppose que le router se met en 192.168.1.1 par défaut comme v1): * --soit tu changes l'adresse de la box (il me semble que les routers pourris de ft se mettaient en 192.168.0.1), * ++soit, pour éviter une rupture de comm lors d'un incident, tu changes tes adresses IP internes: * ~20s pour éditer /etc/network/interfaces en root (chgt IP+GW), * ~20s pour effectuer la même manip qu'au boot manuellement pour mettre en place les modifs: * ifconfig eth0 192.168.1.10 * route add default gw 192.168.1.1 Et maintenant que tu n'es plus tenu d'utiliser les DNS de ft pour ne pas te faire jeter des SMTPs, profites-en pour établir ton propre serveur DNS interne. > RENSEIGNEMENT UTILE : > JE NE PROPOSE POUR L'INSTANT AUCUN SERVICE (PAS DE SITE WEB ETC...) > POUR L'EXTÉRIEUR. ha, je croyais que http://my-name-is-junk--junk-bond.007 c'était toi :) -- What is comedy? Comedy is the art of making people laugh without making them puke. -- Steve Martin -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20101227132320.3c39e...@anubis.defcon1