swingrock Posté(e) le 20 janvier 2015 Partager Posté(e) le 20 janvier 2015 Bonjour, Je vous explique ma situation : J'ai un réseau composé ainsi Net <-----> BOX <------> NAS <------> PC La BOX a une adresse 1.1.1.1 côté Net et 192.1.1.250 côté réseau local Le NAS et le PC ont une adresse attribuée par la BOX avec une adresse fixe pour le NAS : 192.1.1.10 J'ai aussi un nom de domain "chez_moi.fr" qui a été positionné vers l'adresse 1.1.1.1 La BOX redirige le port 443 vers le port 443 du NAS Lorsque le pare feu du NAS autorise tout, je peux contacter mon NAS depuis mon PC local en tapant https://192.1.1.10/photoou https://chez_moi.fr/photo mais si le mode par défaut du pare-feu du NAS et DENY et que j'ajoute les règles suivantes 192.1.1.1/24 ALLOW et 1.1.1.1 ALLOW alors : je peux contacter le NAS via https://192.1.1.10/photomais pas par https://chez_moi.fr/photo Que faut-il que je mette comme règle pour que https://chez_moi.fr/photofonctionne ? Par avance, merci pour vos idées. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 20 janvier 2015 Partager Posté(e) le 20 janvier 2015 C'est normale, car en gros la avec ta seconde règle, tu n'autorise que l'iP public de ta box, qui ne sera certainement pas la même que ton mobile ou autre appareil, vire les deux règles pour : Port 443 - toute iP - autoriser ;-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 21 janvier 2015 Partager Posté(e) le 21 janvier 2015 (modifié) mais si le mode par défaut du pare-feu du NAS et DENY et que j'ajoute les règles suivantes 192.1.1.1/24 ALLOW et 1.1.1.1 ALLOW alors : je peux contacter le NAS via https://192.1.1.10/photomais pas par https://chez_moi.fr/photo Que faut-il que je mette comme règle pour que https://chez_moi.fr/photofonctionne ? Plutôt qu'un problème de firewall, je pencherai sur le fait que ta box ne gère pas le loopback (rebouclage automatique en interne de "chez_moi.fr") Modifié le 21 janvier 2015 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
swingrock Posté(e) le 21 janvier 2015 Auteur Partager Posté(e) le 21 janvier 2015 C'est normale, car en gros la avec ta seconde règle, tu n'autorise que l'iP public de ta box, qui ne sera certainement pas la même que ton mobile ou autre appareil, vire les deux règles pour : Port 443 - toute iP - autoriser ;-) Je comprends, mais justement je ne veux pas autoriser tous le monde. C'est juste que je ne comprend pas quelle règle je dois mettre pour que mon PC qui est connecté à ma box tout comme le NAS puisse discuter ensemble via le nom de domaine chez-moi.fr Quand je suis en dehors de chez moi, tout fonctionne bien et je me connecte à mon NAS, mais quand je suis chez moi, ça ne fonctionne pas. Plutôt qu'un problème de firewall, je pencherai sur le fait que ta box ne gère pas le loopback (rebouclage automatique en interne de "chez_moi.fr") D'accord, mais pourquoi quand j'autorise tout sur le firewall ça fonctionne. c'est bien que le rebouclage "chez_moi.fr" fonctionne... non ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
swingrock Posté(e) le 21 janvier 2015 Auteur Partager Posté(e) le 21 janvier 2015 Je me répond à moi même si cela peut en aidé d'autres. En fait, le NAS voit les paquel comme s'il venaient de la BOX et donc de l'adresse 192.1.1.254 (adresse de la box sur le réseau local) du coup, il suffit d'ajouter une règle qui autorise le trafic en provenance de 192.1.1.254 Pour trouver ça, j'ai activer le log des paquets. iptables -N LOGGING iptables -A INPUT -j LOGGING iptables -A LOGGING -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A LOGGING -j DROP 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 23 janvier 2015 Partager Posté(e) le 23 janvier 2015 En fait, le NAS voit les paquel comme s'il venaient de la BOX et donc de l'adresse 192.1.1.254 (adresse de la box sur le réseau local) du coup, il suffit d'ajouter une règle qui autorise le trafic en provenance de 192.1.1.254 Je ne comprend pas pourquoi la règle initiale (192.1.1.1/24 ALLOW) ne suffisait pas. Elle autorise toutes les IPs du LAN, celle de la box faisant partie du même subnet ne devrait pas être bloquée non ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 23 janvier 2015 Partager Posté(e) le 23 janvier 2015 (modifié) Déjà, c'est du grand n'importe quoi cette config : utiliser des adresses publique comme adresse privée, ça ne peut que créer des problèmes. Cf: rfc1918 Modifié le 23 janvier 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 23 janvier 2015 Partager Posté(e) le 23 janvier 2015 Déjà, c'est du grand n'importe quoi cette config : utiliser des adresses publique comme adresse privée, ça ne peut que créer des problèmes. Cf: rfc1918 Oups, bien vu: j'avais même pas tilté sur le 198.1.1.* que j'autocorrigais à la volée en 192.168.1.*! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 23 janvier 2015 Partager Posté(e) le 23 janvier 2015 et pour le problème de la regle qui fonctionne pas : 192.1.1.1/24 allow si on se refère à la doc : -s, --source [!] adresse[/masque] Spécification de la source. L'adresse peut être un nom de réseau, un nom d'hôte (attention : spécifier un nom à résoudre avec une requête distante de type DNS est vraiment une mauvaise idée), une adresse de réseau IP (avec /masque) ou une simple adresse IP. Le masque peut être un masque de réseau ou un nombre entier spécifiant le nombre de bits égaux à 1 dans la partie gauche du masque de réseau (bits de poids fort). Par conséquent, un masque de 24 est équivalent à 255.255.255.0. Un «!» avant la spécification d'adresse inverse la sélection d'adresse. L'option --src est un synonyme de --source. on parle bien d'un adresse de réseau ip --> pour un /24 ca ne peut etre que 192.1.1.0 mettre un e adresse réseau imaginaire peut tout à fait avoir des effets de bords 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
swingrock Posté(e) le 24 janvier 2015 Auteur Partager Posté(e) le 24 janvier 2015 bonjour les trolleurs.... Alors, pour couper court à toute discussion, les @ip que j'ai mis sont complètement fictives car cela n'avait pas d'importance vis à vis du sujet qui m'intéressait. Pour CoolRaoul, la règle en 192.1.1.1/24 ALLOW ne fonctionnait pas car je n'avais pas sélectionné les bons services. Erreur bête de ma part. Pour Gaetan, tu as raison, la config présenté n'a rien a voir avec la vraie, je l'ai fait dans un soucis de simplification car la vraie configuration est autrement plus compliquée.L'adresse du réseau en /24 doit bien finir par un .0 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 24 janvier 2015 Partager Posté(e) le 24 janvier 2015 Je ne comprend pas comment mettre des IP fictives ainsi qu'un 1 au lieu d'un 0 peut rendre les choses plus simples. En outre, j'espère qu'on comprendra que s'abstenir d'indiquer que la règle iptables comportait des restrictions de ports (toujours dans un "soucis de simplification" je suppose ?) n'a pas non plus contribué à rapidement trouver la cause du problème. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 24 janvier 2015 Partager Posté(e) le 24 janvier 2015 ben, c simple, pour finir, on va ,nous exposé un problème avec toute les données différentes, et on devra chercher quelle est la question réelle il y a aucune raison de cacher une ip privée, ni la regle de firewall en fait pour ceux qui sont sur de leur securité, ils n'ont pas peur non plus de partager leur ip publique, c'est pas en vivant cacher que l'on vis plus en securité sur le net 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.