# [Samba] La freebox serait-elle une passoire ? (résolu)

## Possum

Vu que je matte mes logs, je viens de voir avec horreur ceci:

```
eb  8 19:49:39 [smbd] [2008/02/08 19:49:39, 0] lib/util_sock.c:read_data(534)_

Feb  8 19:49:39 [smbd] read_data: read failure for 4 bytes to client 82.230.133.8. Error = Connexion ré-initialisée par le correspondant_

Feb  8 19:49:51 [smbd] [2008/02/08 19:49:51, 0] lib/util_sock.c:read_data(534)_

Feb  8 19:49:51 [smbd] read_data: read failure for 4 bytes to client 82.230.133.8. Error = Connexion ré-initialisée par le correspondant_

```

Comment ? Quoi ? C'est qui ce p'tit con qui essaye de browser mes partages smb depuis le monde extérieur ? On m'aurait menti ? netbios est un protocole routable maintenant ?

Et surtout, comment ce fait-ce que le port 139 de ma fbx soit ouvert ??

Du coup, un coup d'oeil plus profond à mes logs samba:

Non de Nom :

```
haloperidol samba # ls -1 | wc -l

6429

haloperidol samba #
```

et des palettes de 82.230.qqch !!!

Help !

PS: c'est fou ce que je poste ces deux derniers jours :p

----------

## Bapt

la freebox n'est pas un firewall donc oui c'est une passoire et c'est normale!!! Tu n'as qu'à dire à ton samba de n'écouter que sur le réseau local, mets toi aussi un firewall.

----------

## ryo-san

salut,

nslookup me renvoie

```

Non-authoritative answer:

8.133.230.82.in-addr.arpa   name = cxr69-6-82-230-133-8.fbx.proxad.net

```

donc a premiere vu ca correspondrait a ton adresse ip externe ...

----------

## Possum

Pourtant, je croyais que c'en était un de FW.

Mon samba est configuré pour ne causer que sur mon réseau local, justement...

```
hosts allow 192.168.0. 127.
```

Or la fbx étant en routeur, elle a une adresse locale !

La flemme de configurer ip-tables....

@ryo-san: Nope, pas mon adresse externe  :Smile: 

Qui pourrait me balancer un nmap bien senti sur mon adresse qui est: marsupial-power.org  :Wink:  histoire de voir ce qui répond ? et m'envoyer le résultat par mail ? Marchiiii

----------

## GentooUser@Clubic

Normalement la Freebox ne laisse pas tout passer quand-même  (si elle est configuré en mode routeur), tu n'a pas mit ton PC en DMZ accidentellement ?

J'ai utilisé la Freebox en mode routeur pendant 3 ans sans FW derrière et c'était tout-a-fait satisfaisant niveau sécurité.

----------

## nykos

non la freebox ne laisse pas passer de ports si elle est en mode routeur et que tu lui as pas dit de le faire 

à moins que ce soit toi qui initie la connexion, je pense plutôt pour une erreur de configuration, genre DMZ ou qqch comme ça

----------

## davidou2a

t'aurais pas un intrus qui abuserait de ton réseau local en particulier si le wifi est actif??

----------

## Possum

Tout d'abord, désolé de ne pas avoir répondu hier, mais jétais de déménagement chez des amis de 7H30 à Minuit... Mal partout du coup... Merci à ceux qui m'ont envoyé le résultat d'un nmap  :Smile: 

Donc, la Fbx est bien une passoire, même configurée en mode routeur...

Sont ouverts, par défaut, sans avoir besoin de le configurer sur l'interface de gestion les ports suivants:

```
53/tcp  open     domain

111/tcp open     rpc

135/tcp filtered msrpc

136/tcp filtered profile

137/tcp filtered netbios-ns

138/tcp filtered netbios-dgm

139/tcp filtered netbios-ssn

140/tcp filtered emfis-data

389/tcp open     ldap        

445/tcp filtered microsoft-ds

631/tcp open     ipp 

873/tcp open     rsync

902/tcp open     tcpwrapped...
```

Bref, des trous partout !! Et pas des trucs sympas qui plus est !

Donc, je crois que je vais commencer à penser à coller un FW. Comme je suis un feignant, et que j'ai pas envie de me coltiner des iptables à la main, qu'est-ce que je pourrais utiliser comme interface simple, CLI ou GUI pour configurer correctemnt tout ça ? Et dispo dans portage hein  :Wink: 

Pour le côté DMZ, oui, ma machine est en DMZ, j'avais zappé la case. MAis par contre, même en DMZ, ça ne m'explique pas comment on peut laisser ouvert les ports Netbios ouvert, sachant que ce protocole n'est normalement pas routable à travers le ternet !! 

@davidou2a: Pour le Wi-Fi, j'ai collé du WPA avec une passphrase plutôt longue, je ne pense pas, enfin, je n'espère pas que des intrus abusent de ma connex  :Wink: 

EDIT: typo

EDIT: commentaire pour davidou  :Wink: 

----------

## GentooUser@Clubic

 *Quote:*   

> Pour le côté DMZ, oui, ma machine est en DMZ, j'avais zappé la case. MAis par contre, même en DMZ, ça ne m'explique pas comment on peut laisser ouvert les ports Netbios ouvert, sachant que ce protocole n'est normalement pas routable à travers le ternet !! 

 

La Freebox est un routeur pas un firewall, si elle vire les paquets en provenance d'internet n'appartenant a aucune connections, ce n'est pas pour protéger les machines derrières, mais parce qu'elle ne sait pas a qui les envoyer.

En indiquant une DMZ tu donne explicitement l'adresse d'une machine a laquelle elle va tout transmettre, c'est l'équivalent de router tout les ports, ou d'utiliser la Freebox en mode bridge.

C'est le même comportement avec tous les routeurs que j'ai rencontré, DMZ = aucun filtrage.

----------

## Possum

Merci pour ces précisions  :Smile: 

----------

## lesourbe

une petite recouche sur ce problème :

3 solutions pour qu'on te browse ton samba derriere une freebox

- freebox en mode bridge (tout est transmis à la machine derrière

- freebox en mode router et regle NAT qui dit 139 ton adresse IP (mais, mais, tu l'as fait exprès !!!)

- PC en DMZ (déjà dit)

en résumé, la freebox en mode router est pas un firewall, c'est un router et quand on tente le port 139 (ou autre) depuis l'extérieur c'est ton routeur qui repond, il ne transmet que si y'a des regles NAT ( port -> IP locale).

donc c'est pas plus une passoire qu'un autre routeur et qu'a priori on a pas lieu de s'inquieter de faire tourner un "serveur applicatif" (comme samba ftp telnet ssh,...) derrière, tant qu'on a pas indiqué explicitement qu'on voulait le joindre depuis l'extérieur.

en espérant que ça aide   :Smile: 

----------

## davidou2a

ouais en gros une DMZ peut avoir un comportement de route de dernier ressort (pour ceux qui ont fait du routage...) de plus j'ai une question tu as fais ton nmap sur la patte externe de ta freebox? genre sur ton ip publique que t'attribue ton FAI?

----------

## montesq

 *lesourbe wrote:*   

> 
> 
> en résumé, la freebox en mode router est pas un firewall, c'est un router et quand on tente le port 139 (ou autre) depuis l'extérieur c'est ton routeur qui repond, il ne transmet que si y'a des regles NAT ( port -> IP locale).
> 
> 

 

[noob]

Je vois pas trop ce que fait le firewall de plus que le routeur? Pour moi l'intérêt du firewall est d'empécher l'intrusion d'un tiers sur un lan. Donc si aucune règle de routage n'est fixée sur le routeur, il ne devrait pas y avoir d'intrusion=rôle du firewall non?

[/noob]

----------

## gregool

 *Quote:*   

> Je vois pas trop ce que fait le firewall de plus que le routeur? Pour moi l'intérêt du firewall est d'empécher l'intrusion d'un tiers sur un lan. Donc si aucune règle de routage n'est fixée sur le routeur, il ne devrait pas y avoir d'intrusion=rôle du firewall non? 

 

la question ne pose pas trop dans ces termes, le routage est utilisé pour passer d'un réseau à un autre.

le firewall filtre les paquets entrant et sortant selon des reglès définies.

au sein d'un meme lan, si aucun filtrage entrant n'est appliqué tout les paquets sont acceptés, ceux qui sont a destination de certains ports seront non pas routé mais translaté vers une machine donnée du lan, selon les règles du nat.

la confusion vient du fait que les FAI ont detourné l'utilisation du terme DMZ pour l'associer à la translation systematique de tout les paquets vers une adresse du LAN.

donc avec les box qui font un peu tout à la fois, ya parfois de la confusion sur le role de chacun, le firewall ne route rien, le routeur ne filtre rien.

----------

## Possum

 *davidou2a wrote:*   

> ouais en gros une DMZ peut avoir un comportement de route de dernier ressort (pour ceux qui ont fait du routage...) de plus j'ai une question tu as fais ton nmap sur la patte externe de ta freebox? genre sur ton ip publique que t'attribue ton FAI?

 

Yep, pour sûr  :Smile: 

Vu que un nmap depuis l'intérieur n'est pas valable  :Smile:  Enfin, si je me souviens bien de mes cours de rézo  :Smile: 

 *gregool wrote:*   

> la confusion vient du fait que les FAI ont detourné l'utilisation du terme DMZ pour l'associer à la translation systematique de tout les paquets vers une adresse du LAN.

 

C'est exactement ça qui j'ai zappé. Pour moi, une machine en DMZ, on route juste certains ports, par définition, tout le reste est bloqué, la DMZ servant à servir certains protocoles sur l'extérieur mais aussi l'intérieur. 

Typiquement, je comptais, dans mon plan réseau initial, laisser accessible depuis l'extérieur le ftp, le http et le DNS, mais aussi accéssibles depuis l'intérieur. Je comptais pas exposer l'intégralité de mon serveur juste pasqu'il est en DMZ !

Ce qui veut dire que là, faut en plus un FW ! Donc, si je résume, il faut:

```
FBX --> FW en DMZ --> serveur feuteupeuh / hacheteuteupeu

              |

              --> Serveur DNS, DHCP, Samba, NFS, iSCSI

              |

               --> Autres machines qui passent par le FW qui a deux pattes, une externe et une interne.
```

Mon problème, c'est que mon serveur fait aussi DNS et DHCP pour mon réseau local. Or, ça, je ne peux décemment pas le laisser en DMZ !

De plus, comment faire sachant que moint point d'accès Wi-Fi est la FBX, et que logiquement, si mon FW est bien configuré, il ne devrait pas laisser passer les requêtes DHCP venant de la FBX ! me voilà bien em........

Donc, me voilà potentiellement obligé de m'acheter une carte Wi-Fi et de recycler une deuxième machine si je veux faire les choses propres et dans les règles du lard !

Ou alors, un truc du genre:

```
FBX --> FW en DMZ --> serveur feuteupeuh / hacheteuteupeu

           |      |

           |      --> Serveurs DNS, DHCP, Samba, NFS, iSCSI

           |

            --> Autres machines qui passent par le FW qui a deux pattes, une externe et une interne.
```

Mais ça résoud pas mon problème de Wi-Fi pour autant.....

EDIT: Typo

----------

## Bio

 *montesq wrote:*   

> Je vois pas trop ce que fait le firewall de plus que le routeur? Pour moi l'intérêt du firewall est d'empécher l'intrusion d'un tiers sur un lan. Donc si aucune règle de routage n'est fixée sur le routeur, il ne devrait pas y avoir d'intrusion=rôle du firewall non?
> 
> 

 

Un routeur c'est comme un aiguillage... Il transfére les paquets d'un point A à un point B. Tu ouvres le port 1200 sur ton routeur que tu reroutes sur le port 2000 de la machine A de ton réseau. Le routeur va donc se contenter d'acheminer les paquets arrivés sur le port 1200 vers le port 2000 de ta machine sans se poser plus de questions que ça. Bien sûr si tu ne définis aucune règle de routage, aucun paquet n'arrivera sur ta machine.

A la différence un firewall filtre les données qui transitent sur le réseau, il va s'intéresser au contenu de chaque trame IP qui passe et s'il identifie des règles d'exclusions il se met en marche. 

Un exemple basique : ton réseau de 4 machines est derrière un routeur et un firewall. L'une de tes machines héberge un serveur de mail. Tu vas configurer ton routeur pour que toutes les requêtes mails soient redirigées vers la bonne machine du réseau. En même temps tu ne veux pas que des fichiers zip transitent par ton serveur de mail alors tu configures ton firewall pour qu'il les filtre.

----------

## GentooUser@Clubic

Par contre si vous êtes derrière un routeur pas la peine d'installer un FireWall avec comme options (format iptables)  :

```

-A INPUT -i 6to4 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o 6to4 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

```

Parce que c'est exactement, ce que fait le routeur déjà (sauf qu'a son niveau c'est plutôt du FORWARD).

Bon OK c'est minimal, c'est ce que faisait le FireWall de WindowsXP avant le SP2, mais sous Linux c'est tout a fait suffisant pour un poste client (c'est ce que j'ai comme règles pour l'IPv6, d'où l'interface 6to4)

Bref si vous ne comptez pas allez plus loin que filtrage simple + ouverture de ports, pas la peine d'installer un firewall !

----------

## lesourbe

 *Possum wrote:*   

> 
> 
> De plus, comment faire sachant que moint point d'accès Wi-Fi est la FBX, et que logiquement, si mon FW est bien configuré, il ne devrait pas laisser passer les requêtes DHCP venant de la FBX ! me voilà bien em........
> 
> 

 

dmz et lan deux réseaux différents + les requetes DHCP ne sont pas routables = Ca doit t'enlever un bout du problème.

EDIT : ou alors j'ai rien compris à ce que tu veux faire...

----------

## El_Goretto

@Possum: tu te fais des noeuds au cerveau...

Commence par définir tes moyens: tu as les machines supplémentaires (2) avec les cartes réseau pour faire "dans les règles de l'art"?

Sinon, tu fais au mieux, en virant déjà le mode DMZ de la freebox... Et tu forward uniquement les ports des services que tu veux laisser accessible depuis ton serveur interne (qui a toujours 2 pattes).

```
FBX --> FW --> serveur feuteupeuh / hacheteuteupeu accessible depuis exterieur par NAT

                     |

                     --> Serveur DNS, DHCP, Samba, NFS, iSCSI en écoute sur l'interface LAN.

                     |

                      --> Autres machines du LAN qui passent par le FW.
```

Ca améliore quand même la sécu des flux réseau.

Par contre, si c'est un LAN d'entreprise, là effectivement il faut voir plus grand, car si ton service HTTP ou FTP est cassé et la machine comprise, tu es à poil. Mais dans ce cas, ya jamais de compromis à faire, c'est "règle de l'art" et c'est tout (un FW qui ne fait que FW et "crée" la zone DMZ par ses règles et avec ses 3 interfaces réseau, un serveur qui serre les miches en DMZ, et un serveur dans le LAN pour le reste). (après, tu peux toujours tenter la virtualisation, mais les impacts sont à étudier côté sécu).

Ensuite, si tu pars dans l'optique "règle de l'art", je vois plus pourquoi tu laisserais ta freebox en mode routeur...

Bref, t'as 2 choix possibles suivant l'enjeu et les moyens, et le reste est techniquement simple.

----------

## nico_calais

 *El_Goretto wrote:*   

> 
> 
> Ensuite, si tu pars dans l'optique "règle de l'art", je vois plus pourquoi tu laisserais ta freebox en mode routeur...
> 
> Bref, t'as 2 choix possibles suivant l'enjeu et les moyens, et le reste est techniquement simple.

 

Je suis du côté de El_Goretto sur ce point.

De la façon dont les "box" sont etudiées, tu ne pourras pas avoir une sécurité satisfaisante à mon avis.

Tu devrais utiliser un PC pour faire office de firewall/routeur. Non seulement tu est bien plus libre au niveau configuration, mais tu as une bien meilleure idée de ce qui se trame dans ton LAN et au niveau du WAN avec les logs.

De plus il t'es possible de créer une vraie dmz si besoin (ce qui peux commencer à faire beaucoup de cartes réseaux pour le dit firewall   :Wink:  ).

----------

## Possum

Continuons donc la réflexion.

Je dispose du matos suivant, en comptant ce qui est installé, ce qui ne l'est pas encore et ce qui est prévu à l'achat:

une FBX V4 configurée en mode routeur, DMZ désactivée, point d'accès Wi-Fi

un PC qui hébergera myth-tv pour se transformer en HTPC, pour l'instant, mon serveur / WS

un PC qui pourrait être serveur de fichier pour le réseau, voire FTP et HTTP. Je lui ferai bien faire serveur CUPS aussi. Il balancera sûrement de l'iSCSI

un PC qui sera ma WS, pour l'instant, c'est un boitier avec juste un DD, j'attends les Core 2 Quad en 45 nm  :Smile: 

un Portable qui se connecte indiféremment en Wi-Fi ou par câble

le portable du boulot l'url histoire de vous faire profiter, connection câble ou Wi-Fi

un switch gigabit full-duplex supportant les jumbo-frames pour l'iSCSI

Quelques câbles rezo

En cherchant bien, une carte rézo supplémentaire, enfin, c'est pas le prix que ça coûte qui va m'arrêter  :Smile: 

Du café en pagaille

Donc, je devrais, si je vous lis bien faire un truc du genre:

```
FBX routeur --> switch <-- FW deux pattes / Serveur fichiers --> Station, HTPC

    |               |

    |               ---> cafetière **Important**

    |

    --> Portables en Wi-Fi
```

Si je mets un FW derrière le routeur, ça me parait un poil bizarre..

J'aurais plutôt tendance à coller une troisième carte sur le FW et à lui faire faire lui du routage en ayant une patte directement sur l'extérieur. Mais du coup, il me faut un point d'accès à l'intérieur...

Donc, je vois mal comment faire dans les règles de l'art vu le matos dont je dispose

PS: Et oui, c'est pour chez moi, mais je suis dingo  :Smile: 

PPS: Et, bien sûr, est-il besoin de le préciser, les seuls Windows qu'il y a dans le réseau c'est le dual-boot de mon portable et la machine virtuelle sur le portable du taff.

----------

