L'auto-hébergement

Je suis chez numericable et je sais que mon routeur fait “pare feu”

Je n’ai jamais rien fait avec iptables, j’ouvre les ports à partir de mon routeur

j’ai lu que par sécurité il faut désactiver la signature sur les pages d’erreurs

par exemple:

vous en pensez quoi ? moi perso je l’ai fait dans le doute

La freebox est un routeur/modem qui tourne sous linux d’ailleurs. Donc par défaut tous les ports sont fermés dans la table INPUT et elle ne fait qu’accepter ce qui a été initié par des clients sur le LAN.
Dans le cas de ricardo il suffit de rajouter une redirection de port vers le poste serveur sur le LAN. Dans ce cas si je fais un nmap ricardo24.fr je vois bien le port 80 ouvert. Et un autre aussi peut-être ssh (planqué un peu bas dans ce cas).
Il faut vraiment voir la box comme une petite debian avec son iptables.

Grillé par reynald62600 mais je le mets quand même :
Petite note pour ricardo : que tu acceptes le directory listing pourquoi pas mais voir ça

ça pique un peu les yeux et ça donne des infos sur ta machine à d’éventuels attaquants.

Idem pour la page d’erreur :

[code]Not Found

The requested URL /turlututu was not found on this server.
Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_perl/2.0.4 Perl/v5.10.0 Server at ricardo24.fr Port 80[/code]

J’ai pas trop le temps cet après-midi mais ce soir j’irai pourrir tes logs tout en configurant mon instal kde toute neuve.

Bon, pour revenir au principe de l’auto-hébergement (désolé de la digression Ricardo), en regardant un peu la jungle des dédiés, en effet l’auto-hébergement est sûrement la meilleure des solutions, surtout avec les réseaux câble/fibre symétriques.

Dommage que je vive dans un T1 et que le bruit + la lumière d’un serveur dans la pièce où je dors ne me paraisse pas top…

je viens de regarder avec nmap et voici mon résultat

Host is up (0.00013s latency). Not shown: 994 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 53/tcp open domain 80/tcp open http 111/tcp open rpcbind 10000/tcp open snet-sensor-mgmt

voici celui de ricardo

[code]Starting Nmap 5.21 ( http://nmap.org ) at 2010-07-19 16:26 CEST
Nmap scan report for ricardo24.fr (88.181.42.135)
Host is up (0.077s latency).
rDNS record for 88.181.42.135: sta24-1-88-181-42-135.fbx.proxad.net
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
XXXX/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 14.92 seconds[/code]

chez moi c’est indiqué

chez ricardo

pourquoi cette différence ?

@ Arthur :

mon serveur est un vieux pc portable (intel celeron 1.6 ghz) qui a été installer dans un boitier, le ventilo du processeur se met en route à 52°C et je suis quasi toujours en dessous donc aucun bruit et il consomme environ une vingtaine de watts

[quote=“lol”][quote=“ricardo”]…
Explique-moi mieux ça, que le Box me protège ?
J’ai un parefeu installé sur mes clients mais la Box ? tu voudrais dire qu’elle prend les coups mais qu’elle s’en tamponne ?[/quote]

Enfin… Je ne connais pas bien la box, mais en principe ce genre de matériel contient déjà un pare-feu.
Les ports sont, par défaut, fermés. Il ne sont ouverts que lorsque tu le précise expressément (port forwarding).

Par exemple si je tente d’accéder au port 22 (ssh) sur ton ip publique, si aucun “port forwarding” n’est mis en place, je me casse les dents, impossible d’accéder aux machines qui sont derrière la box.
Par contre si tu as fait un “port forwarding” vers le port 22 de la machine locale qui a l’IP 192.168.0.14, alors là j’accède à ton serveur.

Quelqu’un qui possède une box t’expliquera (et confirmera) mieux que moi !

Moi ma Box, c’est un PC qui fait office de passerelle/pare-feu/routeur. Mais le principe est le même.[/quote]

Oui, mais justement, le problème, c(est qu’il y a une redirection pour le port xyz du ssh et pour le port 80, que je viens de créer, sur le conseil de ??? un peu plus haut sur ce fil.
Donc, il va me falloir penser à installer un parefeu sur le serveur.

oui, merci.

[quote=“ricardo”]…
Oui, mais justement, le problème, c(est qu’il y a une redirection pour le port xyz du ssh et pour le port 80, que je viens de créer, sur le conseil de ??? un peu plus haut sur ce fil.
Donc, il va me falloir penser à installer un parefeu sur le serveur.[/quote]

Tu as vraiment besoin d’accéder à ta machine en ssh depuis Internet ? Tu vire la redirection du ssh, et tu es tranquille !
Si vraiment tu en as besoin, il faut bloquer l’accès à root, et choisir un mot de passe béton pour l’utilisateur qui as le droit de se connecter en ssh! genre jcf’uaçp_çà787gxbtrcjeizap_t(h8789HoieezjrF657OYIKNFEg’éçR6Ub

Pour le reste c’est bon, et pas besoin de pare-feu pour le port 80…

[quote=“reynald62600”]
@ Arthur :

mon serveur est un vieux pc portable (intel celeron 1.6 ghz) qui a été installer dans un boitier, le ventilo du processeur se met en route à 52°C et je suis quasi toujours en dessous donc aucun bruit et il consomme environ une vingtaine de watts[/quote]

Je suis d’accord, mais y’a les diodes aussi qui font de la lumière (celles des cartes réseau du serveur ET de la box, difficile de contourner).

Et autant je pourrais faire avec, autant ma douce…

[quote=“reynald62600”]je viens de regarder avec nmap et voici mon résultat

Host is up (0.00013s latency). Not shown: 994 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 53/tcp open domain 80/tcp open http 111/tcp open rpcbind 10000/tcp open snet-sensor-mgmt

voici celui de ricardo

[code]Starting Nmap 5.21 ( http://nmap.org ) at 2010-07-19 16:26 CEST
Nmap scan report for ricardo24.fr (88.181.42.135)
Host is up (0.077s latency).
rDNS record for 88.181.42.135: sta24-1-88-181-42-135.fbx.proxad.net
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
XXXX/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 14.92 seconds[/code]

chez moi c’est indiqué

chez ricardo

pourquoi cette différence ?

@ Arthur :

mon serveur est un vieux pc portable (intel celeron 1.6 ghz) qui a été installer dans un boitier, le ventilo du processeur se met en route à 52°C et je suis quasi toujours en dessous donc aucun bruit et il consomme environ une vingtaine de watts[/quote]
Merci de ton aide mais il était inutile de communiquer en clair mon port ssh.
J’ai modifié moi-même parce que je le peux mais ce n’est pas le cas pour tout le monde, donc attention à ce genre de recopie.
Bon, je changerai tout ça plus tard.

Le nouveau bureau de Ricardo…

[quote=“ricardo”]
Merci de ton aide mais il était inutile de communiquer en clair mon port ssh.
J’ai modifié moi-même parce que je le peux mais ce n’est pas le cas pour tout le monde, donc attention à ce genre de recopie.
Bon, je changerai tout ça plus tard.[/quote]

oops désolé je m’auto

[quote=“lol”]Le nouveau bureau de Ricardo…
[/quote]
Non, seulement deux écrans, deux claviers + le portable … mais j’en ai un autre dans une autre pièce

[quote=“Arthur”]Bon, pour revenir au principe de l’auto-hébergement (désolé de la digression Ricardo), en regardant un peu la jungle des dédiés, en effet l’auto-hébergement est sûrement la meilleure des solutions, surtout avec les réseaux câble/fibre symétriques.

Dommage que je vive dans un T1 et que le bruit + la lumière d’un serveur dans la pièce où je dors ne me paraisse pas top…[/quote]
Je suis pas aussi enthousiaste (du moins je le suis moins qu’avant). Je ce qui pousse les gens a faire de l’auto-hébergement c’est surtout les données. Mais il est tout à fait possible d’avoir le contrôle de ses données avec un serveur distant.

C’est amusant ça oui. Au niveau du coup il faut avoir l’achat d’un PC dédié + consommation + la bande passante que ça te bouffe.

Je ne suis pas contre, je dis juste que c’est pas la seule solution ni la solution ultime.

@ricardo : si tu veux planquer ton port ssh faut pas le mettre si bas, un scan de port basique le voit, donc le faire apparaître sur le forum n’est pas grave. Je te l’ai déjà dit : envoie le port plus haut, vers l’infini et au delà.
Dans tous les cas dès qu’il n’est pas sur le port 22 tu limites très fortement les attaques en force brute, faut pas croire que les kiddies scripts vont venir se renseigner sur le forum pour avoir ton port ssh .

D’autant plus qu’avec un nmap, on voit de suite les ports ouverts

[quote=“ricardo”][quote=“M3t4linux”]Il y a aussi FDN, j’ai découvert cela depuis que j’ai écouté la conférence de Benjamin Bayard (lien donné par Ricardo)

Qui a déjà tenté FDN d’ailleurs??[/quote]
Oui, je suis aussi intéressé par les retours mais aussi par le prix pratiqué ???[/quote]

Tarifs : fdn.fr/Tarifs.html

On paie les frais de raccordement(FAS), vient ensuite l’abonnement mensuel qui varie suivant le débit demandé. A ce propos vaut mieux habiter en zone dégroupée 28€ contre 59€ en zone non-dégroupée.

J’ai été abonné à FDN. Rien à dire, ça fonctionne bien. J’ai arrêté car ces 3 dernières années j’ai déménagé 3 fois et je risque encore de redéménager sous peu. Il vaut donc mieux être “stable” et être sûr d’être installé dans son logement pour un bout de temps, vu que l’on repaie à chaque fois les Frais de raccordement.

Sinon, 28€/mois, je ne trouve pas ça encore super excessif.

Un autre lien : fdn.fr/Comment-FDN-calcule-ses-prix.html

Après faut voir selon ses usages, c’est du net pur sans TV ni téléphone.

Effectivement, cela paraît moins interessant que les offres “triple play” des FAI sur le marché.

Bon, la TV on peut se passer de quelques chaines du câble mais pour le téléphone…

Disons que ce n’est pas la même philosophie. Pour le téléphone, il faut prendre un abonnement VoIP en +.

FDN fournit ce service??

J’avoue ne pas trop comprendre le fonctionnement de FDN.

Est ce un FAI ou un opérateur qui fournit de l’internet, ou les deux??

Peux tu expliquer le principe stp??

Et, être “chez FDN”, est ce compliqué en termes d’installation du net, du matériel fournit (ils fournissent un modem/routeur)??

Merci

ps: je comprends si tu me réponds en mettant le lien vers le site FDN, mais je voudrais avoir un résumé clair

Non, il faut recourir à un opérateur SIP tiers. A l’époque, j’avais pris un abonnement chez Wengo, 7€/mois pour les appels nationaux.

Je cite fdn.fr/Explications-pour-debutants.html

[quote]FDN fournit de l’accès Internet. FDN est trop petite (au moins pour le moment) pour avoir les moyens d’installer des DSLAM.

Quand un adhérent de l’association s’abonne à ADSL chez FDN, voilà ce qui se passe :

• FDN transmet à son fournisseur un ordre demandant le raccordement de la ligne de l’adhérent au réseau DSL du fournisseur ;
• si le fournisseur dégroupe lui-même, il transmet l’ordre de dégroupage à France Télécom (cas rarissime), s’il passe par un opérateur dégroupeur, il transmet la commande à cet opérateur, si la ligne n’est pas dégroupable, il transmet la commande à France Télécom pour construction d’une ligne sur les équipements FT ;
• le dégroupeur transmet à France Télécom les ordres nécessaires (demande de raccordement ADSL, dégroupage partiel) ;
• le fournisseur fera suivre, par la suite, toutes les informations entre l’abonné et les machines de FDN.

Pour ce qui est du choix du fournisseur, il n’y en a pas beaucoup. Il n’y a que trois opérateurs qui installent des DSLAM en France :

• France Télécom
• NeufCegetel, alias SFR, alias Vivendi
• Free.

Le troisième ne fait pas de revente. On avait donc le choix entre France Télécom et NeufCegetel. On a pris le moins cher des deux, NeufCegetel. Depuis, SFR a mis fin au contrat avec FDN. FDN a donc signé un contrat, avec un des clients de SFR qui fasse de la revente à d’autres opérateurs : Nerim.

FDN fait de la revente de dégroupage partiel option 1, pour que les adhérents puissent quand même avoir un accès téléphonique (ça reste pratique, quand l’accès Internet est en panne, pour prévenir).

FDN ne fait pas encore de dégroupage total. Pour le moment, ce n’est pas rentable pour l’adhérent : le montant que FDN devrait payer à France Télécom (via NeufCegetel, via Nerim) est quasiment le même que le prix de l’abonnement que l’adhérent aurait payé chez France Télécom. Sauf qu’en contrepartie de cette somme, France Télécom ne fournit rien. S’il y a une panne sur la ligne, l’abonné ne peut pas appeler France Télécom pour la faire réparer (il n’est plus client) par exemple.

Bref, pour nos adhérents, ça reviendrait à peu près au même prix (une économie de l’ordre de 1 ou 2 euros par mois) pour un service de moins bonne qualité.[/quote]

Bref, en parcourant les pages du site de FDN, on se rend bien compte que le net triple play à 30€/mois, c’est de la vente à perte, il faut bien que les opérateurs s’y retrouvent quelque part (pub, revente des infos des abonnés, etc.).
Il y avait avant une dizaine de FAI (Tiscali, Club Internet, AOL, Tele2, etc.). Ça n’a toujours été que du vent, les 3 vrais FAI en France ont toujours été France Telecom, Free et NeufCegetel.