Clubinternet.box = parefeu + flicage ?

Bonjour,

Je viens de rentrer d’Allemagne et je squatte chez mon père quelques semaines avant de repartir en Autriche.
Entre temps mon radin de père a changé son abonnement internet et se retrouve avec une clubinternet.box.

Au moment de me connecter problème. La connexion est établie mais pas moyen accéder à internet… Après moult bidouillages j’ai trouvé la source : le parefeu. Marrant, il faut désactiver firestarter pour pouvoir surfer… D’après ce que j’ai lu dans la doc ce serait dû au fait que la clubinternet.box contient déjà un parefeu.

D’où un certain nombre d’interrogation :

D’abord purement technique car je ne connais presque rien aux réseaux :

1. Pourquoi le fait qu’il y ait déjà un parefeu m’empêche t’il d’activer le mien ?

2. N’y a t’il aucun moyen de contourner cela ?

Puis quelque peu philosophiques…
2) je suis donc en matière de sécurité totalement dépendant de mon FAI, qu’est-ce qui me garantie qu’il n’aménage pas une faille permettant de me surveiller ? Par exemple sur demande de l’Etat ?

3. Mais si la possibilité d’installer une telle faille existe pour mon FAI qu’est-ce qui garantie qu’un tiers malveillant ne peut en faire de même ??

Bon je gamberge sans doute un peu mais c’est aussi parce que j’y connais rien… Des connaissances/références seraient les bienvenues !

Merci d’avance :smt002

Simplement un problème de configuration.

Il suffit de tout configurer correctement .
Je rappelle qu’un firewall mal configuré ne sert à rien.

Le FAI ne peut pas regarder ce que tu fais chez toi mais il peut très facilement regarder ce que tu fais sur Internet. Il peut donc très facilement connaître les sites que tu fréquentes, écouter tes conversations de messagerie instantannée, lire les mails que tu reçois ou envoies, etc.

Le seul moyen d’empêcher ça est de crypter les connexions.
À voir : torproject.org/index.html.fr

Par exemple, si tu utilises un connexion wifi non ou faiblement protégée (WEP par exemple), n’importe qui autour de ta maison avec un ordinateur portable peut voir ce que tu fais sur Internet.

Il est vrai que Tor est efficace mais il ralenti beaucoup .

[quote=“Desintegr”]Il suffit de tout configurer correctement .
Je rappelle qu’un firewall mal configuré ne sert à rien.[/quote]

COMMENT ON FAIT ???

Normalement j’ai jamais eu de problème avec mon parefeu - je fait des test réguliers sur des site fait pour ça m’a jamais trouvé un port ouvert… Là non plus remarque même avec firestarter désactivé il me trouve rien. Ce que je ne comprend pas c’est techniquement qu’est-ce qui peu faire merder deux parefeus se trouvant l’un après l’autre… Je croyais que le parefeu ne faisait que bloquer les ports sur demande. Comment mon parefeu peut-il m’autoriser a aller sur internet, celui de la box aussi et les deux ensemble non ??? Les règles de parefeu ne s’ajoutent elles pas de façon linéaire ???

Qu’est-ce qui les rend incompatible ??

en complément de tor on peut aussi crypter ses mails avec openPGP
sous icedove/thunderbird le paquet à installer est enigmail

pour comprendre les parefeux je te conseille cette doc
http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/

Juste une remarque, des sites comme ShieldsUP regardent les ports ouverts sur ta box, pas ceux de ton PC. Normal, vu que c’est ta box qui fait le pont entre ton réseau local et le réseau internet.
Comme Desintegr, je pense à un problème de configuration.

Je profite de ces remarques pour faire un peu de pub à FDN, un FAI français libre.
Contrairement à ce que veut nous faire croire Free, la liberté a un prix.

Bizarre tout de même, des parefeux consécutifs augmente le filtrage mais ne sont pas incompatbiles. Je miserais plus sur un problème de DNS. Essaye sur un serveur par son IPO par exemple 82.66.248.156/

J’en ai discuté avec mon frère qui est informaticien qui m’a dit que le parefeu du routeur utilise peut être des ports exotiques pour coupé l’accès qux virus les plus courant. Faudrait que je trouve le port qui ouvre l’accès à internet.

euh désolé je ne comprends pas.

Simple: l’accès à Internet se résume souvent à

• Un accès à des serveurs Web i.e port 80 (http) ou 443 (https) le plus souvent en sortie.
• Un accès à des serveurs pop (port 110), SMTP port 25
• Un accès aux DNS (port 63 si je me souviens bien).
  etc.

Bref, le test que tu fait consiste en général à aller sur google par exemple:

Pour cela tu tapes google.fr/
Les serveurs DNS déclarés dans /etc/resolv.conf (souvent 192.168.0.1 soit ta box qui fait DNS cache) sont intérrogés et renvoit une adresse (ici: 209.85.129.104 par exemple). Puis to navigateur interroge le site 209.85.129.104 sur le port 80 (tu adresses le portr 80 en sortie).

Chez toi ça ne marche pas: je vois plusieurs possibilités:

• Les DNS (de ton FAI usuel) ne marchent pas parce qu’ils sont programmés en dur chez toi (et comme tu n’es pas sur la plage d’IP de ton FAI usuel, tes DNS ne te répondent pas. Dans ce cas, en tapant 82.66.248.156/ dans la barre d’URL, tu devrais accéder à mon site tout directement car tu n’as pas besoin de DNS, donnant l’IP directement.
• Le port 80 est bloqué en sortie par ton parefeu (exclus car ça marche ailleurs) ou la box (idiot, c’est bien le dernier port qu’on bloquerait en sortie). J’exclue donc cette hyôthèse.
• Il y a un filtrage MAC de la box comme c’est le cass sur les livebox par exemple où il faut appuyer sur un bouton avant de connecter une nouvelle machine sinon elle est bloquée entièrement au niveau de la box.

Le plus probable me parait la première hypothèse (le DNS).

Alors j’ai testé 82.66.248.156/ ne marche pas (quand mon parefeu est activé)

ça c’est mon fichier /etc/resolv.conf suite à bidouille sur le gestionnaire de réseaux de gnome et wicd :

[quote]nameserver 194.117.200.10
nameserver 194.117.200.15[/quote]

Mon Fai dit :
DNS primaire : 194.117.200.10
DNS secondire : 194.117.200.15

masque de sous réseau 255.255.255.0
nom de domaine : club-internet.fr

Proxy : proxy.club-internet.fr sur le port 8080

Bsoir,

A ta place je laisserais les adresse DNS du FAI sur ta clubbox et mettrais l’adresse de ta club box dans ton /etc/resolv.conf (192.168.1.1 ?)

Excusez moi, je vais peut-être dire une bêtise mais dans la mesure où la connexion marche quand firestarter est désactivé, est-ce qu’il ne vaudrait pas mieux aller voir de son coté. Il doit y avoir un port à ouvrir où un truc du genre… non ??

a et : 192.168.1.1 c’est l’adresse ip qu’il donne à l’ordi de mon père, moi je prends 192.168.1.3

Si tu veux mon avis, je trouve bizare aussi qu’un parefeu te bloque des accès simple au net… A des services exotiques (jeux, p2p,etc…) je veux bien, mais attaquer un port 80 ou 53 vers l’extérieur c’est le minimum autorisé quand même.

En mettant ton resolv.conf avec l’IP de la clubbox, alors tu t’assure que les echange DNS se feront en reseau local, et ça ton iptable il devrait déjà mieux le digérer que les IP en 194.XXX.XXX.XXX.

Dans ton resolv.conf il te faut mettre la même ip que ta passerelle par défaut

Et tu veux que je t’achève ? Si je me connecte en wifi ça marche nicquel même avec le parefeu !!!
bon c’est n’imp je laisse tomber et vive le wifi !

Bah non laisse pas tomber

Donne au moins le résultat d’un

Si jamais un iptableur (c’est un metier ça non ?..) passe dans le coin il te trouvera ptet un truc qui cloche

Je n’avais pas vu que ça fonctionnait sans ton pare feu, donnes le résultat de
iptables -L
iptables -t nat -L

C’est pas plus simple de demander le résultat d’iptables save qui fournit le contenu >toutes< les tables en même temps, non ?
Qui sait si il n’y a pas une couille dans mangle ou raw…

Bon il était un peu trop tard pour ma patience… reprenons

[code]debian:/home/jean-louis# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp – 192.168.1.1 anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp – 192.168.1.1 anywhere
ACCEPT tcp – 192.168.1.1 anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp – 192.168.1.1 anywhere
ACCEPT all – anywhere anywhere
ACCEPT udp – anywhere anywhere udp dpt:33434
ACCEPT icmp – anywhere anywhere icmp destination-unreachable
ACCEPT icmp – anywhere anywhere icmp host-unreachable
ACCEPT icmp – anywhere anywhere icmp timestamp-request
ACCEPT icmp – anywhere anywhere icmp timestamp-reply
ACCEPT icmp – anywhere anywhere icmp address-mask-request
ACCEPT icmp – anywhere anywhere icmp address-mask-reply
ACCEPT icmp – anywhere anywhere icmp redirect limit: avg 2/sec burst 5
ACCEPT icmp – anywhere anywhere icmp source-quench limit: avg 2/sec burst 5
LSI icmp – anywhere anywhere
DROP all – anywhere 255.255.255.255
DROP all – 224.0.0.0/8 anywhere
DROP all – anywhere 224.0.0.0/8
DROP all – 255.255.255.255 anywhere
DROP all – anywhere default
DROP all – anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all – anywhere anywhere
LOG_FILTER all – anywhere anywhere
LOG all – anywhere anywhere LOG level info prefix `Unknown Input’

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT udp – anywhere anywhere udp dpt:33434
ACCEPT icmp – anywhere anywhere icmp destination-unreachable
ACCEPT icmp – anywhere anywhere icmp host-unreachable
ACCEPT icmp – anywhere anywhere icmp address-mask-request
ACCEPT icmp – anywhere anywhere icmp address-mask-reply
ACCEPT icmp – anywhere anywhere icmp redirect limit: avg 2/sec burst 5
ACCEPT icmp – anywhere anywhere icmp source-quench limit: avg 2/sec burst 5
LSI icmp – anywhere anywhere
LOG_FILTER all – anywhere anywhere
LOG all – anywhere anywhere LOG level info prefix `Unknown Forward’

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all – anywhere anywhere
DROP all – 224.0.0.0/8 anywhere
DROP all – anywhere 224.0.0.0/8
DROP all – 255.255.255.255 anywhere
DROP all – anywhere default
DROP all – anywhere anywhere state INVALID
OUTBOUND all – anywhere anywhere
LOG_FILTER all – anywhere anywhere
LOG all – anywhere anywhere LOG level info prefix `Unknown Output’

Chain INBOUND (1 references)
target prot opt source destination
ACCEPT tcp – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp – anywhere anywhere tcp dpt:msnp
ACCEPT udp – anywhere anywhere udp dpt:msnp
ACCEPT tcp – anywhere anywhere tcp dpt:6891
ACCEPT udp – anywhere anywhere udp dpt:6891
LSI all – anywhere anywhere

Chain LOG_FILTER (5 references)
target prot opt source destination
DROP tcp – anywhere anywhere tcp dpt:14013
DROP udp – anywhere anywhere udp dpt:14013

Chain LSI (4 references)
target prot opt source destination
LOG_FILTER all – anywhere anywhere
LOG tcp – anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix Inbound ' DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefixInbound '
DROP tcp – anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
LOG icmp – anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix Inbound ' DROP icmp -- anywhere anywhere icmp echo-request LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefixInbound '
DROP all – anywhere anywhere

Chain LSO (0 references)
target prot opt source destination
LOG_FILTER all – anywhere anywhere
LOG all – anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT all – anywhere anywhere reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target prot opt source destination
ACCEPT icmp – anywhere anywhere
ACCEPT tcp – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all – anywhere anywhere
debian:/home/jean-louis# [/code]

Ça c’est avec le pare feu parce que comme dit :

[quote]Juste une remarque, des sites comme ShieldsUP regardent les ports ouverts sur ta box, pas ceux de ton PC. Normal, vu que c’est ta box qui fait le pont entre ton réseau local et le réseau internet.
Comme Desintegr, je pense à un problème de configuration.[/quote]
Et comme en Allemagne on avait aussi un routeur/box …
Normalement il doit y avoir le filtrage normal moins deux port ouvert via firestarter pour amsn

[quote]debian:/home/jean-louis# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
debian:/home/jean-louis# [/quote]

ça c’est sans.

toujours sans :

[code]debian:/home/jean-louis# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
debian:/home/jean-louis#[/code]

et iptables save me renvoit un pas content !

debian:/home/jean-louis# iptables save Bad argument `save' Try `iptables -h' or 'iptables --help' for more information.

Et franchement les gars merci beaucoup !!!