Utilité de configurer netfilter derrière un routeur ?

Pause Café
#1

Bonjour à tous !

Petite question de café, parce qu’il ne s’agit pas de support mais plutôt de récolter vos avis éclairés (ou pas :mrgreen: ).

Après un an d’internet derrière un hotspot en wifi, j’ai craqué pour me payer un vrai accès au net.
Je suis chez numéricable derrière un routeur netgear.

Ma question est, étant donné que :

  • mon pc fait du http, ssh, ftp et torrent vers l’extérieur
  • ssh : mots de passe désactivés, authentification par clés publique/privée
  • les ports sont forwardés dans le routeur et tout marche bien
  • mon réseau local peut-être considéré comme sûr (wifi désactivé, windows interdit :smiley: )

Est-il utile (autrement que dans un but pédagogique) de me faire une configuration iptables, ou peut-on faire confiance en ces machin box pour bloquer le traffic entrant sur les ports autres que ceux que j’ai ouvert ?

En configurant mon accès SSh, j’ai remarqué que le port 22 du routeur était déjà utilisé par ce dernier. Je suppose que c’est mon fournisseur d’accès qui se garde une porte ouverte vers ma box. Dois-je considérer cela comme une faille dans le routeur (puisque je n’ai pas de pouvoir dessus) et donc me comporter en conséquence en blindant en amont ?

Qu’en pensez-vous, bande de debianneux confirmés (les autres peuvent s’exprimer aussi) ? :mrgreen:

#2

Réponse d’un debianneux non-confirmé (pas du tout même… :laughing: ) mais utilisateur de netgear:
J’utilise un “Netgear” (sans wifi, et ça, pour convaincre un vendeur que ça existe, faut faire preuve d’une grande patience… :unamused: ). Je n’ai jamais eu de soucis de sécrité avec (je touche du bois quand même :laughing: ), et ce même avec du windo* derrière (pas taper… c’est pas à moi… :laughing: )… (penses juste à changer le mot de passe par défaut qui n’est pas très sécurisé… :laughing: … et si tu n’en as pas besoin, n’actives pas la gestion de la bête depuis le net, désactivée par défaut, mais on peut l’activer…)

Par contre, pour le port 22, j’ai déjà vu ça chez un pote, perso, je demanderais des explications au fournisseur (ça ne serait pas un peu “cablé avec la télé” ton fournisseur?). 'fin bon, celà me gênerais beaucoup d’avoir un port utilisé sans savoir pourquoi (surtout celui-là)…

:smt006

#3

Merci Num’s pour ta réponse :smt001

Je suis bien chez “cablé avec la télé”, mais sans la télé :mrgreen:
En effet le netgear fourni semble être pas mal customisé par le fournisseur.

C’est d’ailleurs la guerre pour ouvrir le port 80 dessus : l’interface pour administrer le routeur à distance est désactivée par défaut, mais écoute quand même sur le port 80… il faut se connecter sur un compte avancé (dont le login et le mot de passe ne m’ont pas été fournis par mon fournisseur, je les ai trouvé sur un forum sur le net) pour la mettre en écoute sur le port 8080, pour enfin faire du http tranquille…
Et ssh, je suppose que c’est pareil… sauf que là comme vous pouvez imaginer l’interface “avancée” ne permet pas de modifier le port :mrgreen: . ça me gène pas techniquement (je fais du ssh sur un autre port) mais éthiquement… enfin je suppose qu’étant locataire de la trucbox et pas propriétaire, je peux pas m’attendre à avoir un contrôle total sur la chose…
Dommage d’ailleurs parce qu’une boîte comme ça avec une carte SD et un accès SSH, on en ferait un joli serveur web peu gourmand.

Bref selon toi donc, un routeur suffit à protéger mon pc, je suis pas pressé de me faire une config iptable donc.

#4

Ben de nada… :wink:

[quote=“valAa”]Bref selon toi donc, un routeur suffit à protéger mon pc, je suis pas pressé de me faire une config iptable donc.[/quote]Dans la mesure où ton réseau local est “sûr”, celà limite déjà beaucoup… en effet, la seule “chose” visible sur le net est ton routeur (et je ne suis pas encore tombé sur des “failles” de ce coté…). Par contre, si ton réseau local est “moins sûr”, là… :unamused: … il vaut mieux une protection “en plus”…

Mais cette histoire de ports déjà utilisés me déplais et “juste pour ça”, oui, je mettrais une protection “en plus”… (mais ça… c’est toi qui vois…)

:smt006

#5

Tente une connexion en SSH sur la box histoire de voir si c’est la box ou le routeur qui ont un serveur SSH.

#6

~$ ssh 192.168.0.1 ssh: connect to host 192.168.0.1 port 22: Connection refused

De même quand je tente une connexion sur mon Ip publique sur le port 22 (mon ssh à moi écoute sur un autre port)
Il semble bien qu’il y ait un serveur qui tourne…

Quelle est la différence entre la box et le routeur ? la box n’est pas un routeur ? (j’y connais rien en box)

#7

Je croyais que tu avais deux choses séparée une boxe est un routeur.

#8

[quote=“MisterFreez”]Je croyais que tu avais deux choses séparée une boxe est un routeur.[/quote]Et nop… il a “simplement” un routeur NetGear (qui doit faire wifi au passage, si c’est le même que celui du pote en question…) “couplé” à un “modem” vers le cable (c’est pas exactement un modem… je n’ai pas le nom là tout de suite… :blush: )… “Son” problème, c’est que ce routeur est fourni par l’opérateur et qu’on ne sait pas exactement comment il est configuré… (je m’étais heurté au problème du port 22 chez le pote… contourné en redirigeant un autre port… mais bon … :confused: … faudrait essayer avec un autre routeur pour être sûr… mais cet opérateur est “connu” pour ce genre de pratique: avant l’utilisation des netgear, les abonnés se retrouvaient sur un réseau “local” où on pouvait accéder à certaines ressources des abonnés imprudents… si ils changeaient de carte réseau, ça marchait plus… l’adresse MAC servait d’indentification sur leur “réseau”… :confused: … chose qu’on pouvait contourner avec les netgear d’ailleur, ils étaient capables de “simuler” une @ MAC particulière… :laughing: )

Pour “répondre” à valAa, une 'box = un routeur “évolué” (avec un modem intégré)… (les routeurs netgear sont déjà pas mal dans le genre… sauf qu’en génral ils n’ont pas de “modem”… c’est le cas d’une des mes connections: un bête et vieux modem adsl en éthenet, un routeur netgear derrière pour la connection et filtrage/redirection de port et zou… un LAN… :laughing: … la seule limite étant le nombre de “config” possibles… une dizaine pour “chaque” fonction il me semble, pour un petit LAN celà suffit…)

:smt006

#9

En effet, en me relisant je me suis mal exprimé. Comme Num’s l’a deviné, le netgear est donc bien fourni par mon opérateur, c’est lui qui fait office de trucbox.
Pour cette histoire de port 22, je vais donc faire mon mouton et considérer qu’il est légitime que mon opérateur se garde de façon tout à fait opaque une backdoor ouverte sur mon LAN… :confused:
Je pourrais me payer une tranche en appelant la hotline en leur demandant pourquoi je n’arrive pas à rediriger le port 22 mais je risque de perdre un temps précieux (“SSH ? c’est quoi ça ?”)

#10

Sinon tu pourrais peut-être installer OpenWRT [1] sur le routeur, ce qui te permettrait de le configurer comme tu le souhaites. Vérifie avant si ton FAI ne l’interdit pas.

[1] openwrt.org/

#11

Merci pour le lien, je connaissais pas du tout !
Je vais me renseigner là dessus.

Bon dimanche ! :smt001