CoolRaoul Posté(e) le 5 février Posté(e) le 5 février Bonjour, Je suis loin de maitriser IPV6 et c'est pourquoi je m'interroge sur ce mystère Lorsque je référence mon NAS sur mon PC Windows dans une commande en utilisant son nom NetBIOS, c'est son adresse IPV6 globale (2a01:e0a:** chez moi) qui est utilisée au lieu de l'adresse locale (fe80::/10) J'aurais souhaité pouvoir configurer le firewall du NAS comme ça : <LAN local IPV4> * accept <Scope link local IPV6> * accept /../ quelques règles spécifiques ALL ALL deny Par suite si je laisse activée la dernière règle plus possible de se connecter en local par le nom avec Putty Bizarrement ça marche avec le client openssh natif de Windows 10 car ce dernier bascule automatiquement en IPV4 quand il ne parvient pas à se connecter en IPV4: C:\WINDOWS\system32>ssh -vv <username>@<nbname> pwd OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2 debug1: Reading configuration data C:\\Users\\Gilles/.ssh/config debug1: C:\\Users\\Gilles/.ssh/config line 6: Applying options for * debug1: C:\\Users\\Gilles/.ssh/config line 11: Applying options for <nbname> debug2: resolving "<nbname>" port 22 debug2: ssh_connect_direct debug1: Connecting to <nbname> [2a01:e0a:........] port 22. debug2: fd 3 setting O_NONBLOCK debug1: connect to address 2a01:e0a:........ port 22: Connection timed out debug1: Connecting to <nbname> [192.168..n.p] port 22. debug2: fd 3 setting O_NONBLOCK debug1: fd 3 clearing O_NONBLOCK debug1: Connection established. NB : bien entendu il est toujours possible de mettre une entrée statique avec juste l'IP V4 avec le hostname dans le fichier hosts de Windows mais j'aime bien comprendre 0 Citer
PiwiLAbruti Posté(e) le 5 février Posté(e) le 5 février S'agissant d'un service local, je trouve inquiétant qu'il résolve les adresses IPv6 globales des différents hôtes du réseau (ça devrait effectivement se limiter au fe80::/10 et fc00::/7). Ça ne va pas beaucoup t'aider mais NetBIOS c'est mal (exposition d'informations sensibles comme les ID des utilisateurs, informations sur les sessions, …), l'alternative étant une zone DNS locale. Bon on peut considérer que le réseau local est peu sensibles aux détections, mais il suffit d'une fois (machine compromise, intrusion, …) pour que ce soit un carnage. Pour ceux qui souhaitent désactiver NetBIOS sous DSM 7 : user@host:~$ sudo systemctl stop pkg-synosamba-nmbd.service user@host:~$ sudo systemctl disable pkg-synosamba-nmbd.service Attention, la mise à jour du paquet Samba réactivera systématiquement le service nmbd car il est actif par défaut. Une solution peut être de planifier l'exécution d'un script qui va désactiver ce service s'il est actif. 1 Citer
CoolRaoul Posté(e) le 5 février Auteur Posté(e) le 5 février il y a 5 minutes, PiwiLAbruti a dit : Ça ne va pas beaucoup t'aider mais NetBIOS c'est mal (exposition d'informations sensibles comme les ID des utilisateurs, informations sur les sessions, …), Ici ce n'est que la fonction résolution de nom qui est utilisée il y a 6 minutes, PiwiLAbruti a dit : S'agissant d'un service local, je trouve inquiétant qu'il résolve les adresses IPv6 globales des différents hôtes du réseau (ça devrait effectivement se limiter au fe80::/10 et fc00::/7). Précisément je ne comprends pas pourquoi Windows se comporte ainsi il y a 7 minutes, PiwiLAbruti a dit : l'alternative étant une zone DNS locale. Ca implique d'activer le serveur DNS du NAS j'imagine ? Autant editer le fichier hosts de mon PC alors. 0 Citer
PiwiLAbruti Posté(e) le 5 février Posté(e) le 5 février il y a 13 minutes, CoolRaoul a dit : Ca implique d'activer le serveur DNS du NAS j'imagine ? Oui. il y a 13 minutes, CoolRaoul a dit : Autant editer le fichier hosts de mon PC alors. Ça dépend si le nom doit être accessible à une ou plusieurs machines. 0 Citer
CoolRaoul Posté(e) le 5 février Auteur Posté(e) le 5 février il y a 1 minute, PiwiLAbruti a dit : Ça dépend si le nom doit être accessible à une ou plusieurs machines. En SSH la seule machine Windows à partir de laquelle me connecte c'est mon PC. Autant faire simple. 0 Citer
.Shad. Posté(e) le 5 février Posté(e) le 5 février A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française). L'IP globale (2a0...) a un scope illimité, on peut aussi bien causer en local qu'à distance, tandis que l'adresse link-local permet de joindre les proches voisins (hop) et que l'adresse unique locale s'apparente plus ou moins aux réseaux de la RFC1918. Lorsque je contacte un périphérique local via son IPv6 c'est aussi l'adresse globale qui est utilisée dans mon cas, car le préfixe est distribué par le routeur. Utiliser du link-local ou unique local permet de s'affranchir de problèmes en cas de changement du préfixe (fréquent chez Proximus en Belgique). 1 Citer
CoolRaoul Posté(e) le 5 février Auteur Posté(e) le 5 février il y a 1 minute, .Shad. a dit : que l'adresse link-local permet de joindre les proches voisins (hop) C'est en effet ce que je cherche à faire. En fait j'imagine que c'est plutôt un problème de résolution nom => ipv6 : le client putty windows fait un "gethostbyname" (enfin l'équivalent compatible ipv4/ipv6, je suis loin de maitriser ça). Et il reçoit en réponse, pour IPV6, adresse en scope "global" et pas en scope "link" Mais il est moins smart que le client ssh qui lui, si ça échoue bascule en IPV4 et parvient à se connecter si le firewall ne laisse pas passer les addresses en scope global. 0 Citer
PiwiLAbruti Posté(e) le 5 février Posté(e) le 5 février Renseigner l'adresse EUI-64 (fe80::0211:22ff:fe33:4455) dans le fichier hosts serait la solution la plus simple. Attention cependant à ne pas utiliser le même nom en local qu'à distance (ce à quoi une zone DNS locale est une solution). 0 Citer
CoolRaoul Posté(e) le 5 février Auteur Posté(e) le 5 février il y a 1 minute, PiwiLAbruti a dit : Renseigner l'adresse EUI-64 (fe80::0211:22ff:fe33:4455) dans le fichier hosts serait la solution la plus simp C'est en effet exactement ce que je viens de faire 🙂 0 Citer
CMDC Posté(e) le 5 février Posté(e) le 5 février Un peu de recherche sur Internet suffit pour se convaincre que IPv6 et NetBios cohabitent difficilement , pour ne pas dire pas du tout 0 Citer
PiwiLAbruti Posté(e) le 6 février Posté(e) le 6 février NetBIOS ne cohabite plus tout court. Ce protocole est tellement une verrue héritée des année '90 qu'il devrait être désactivé par défaut. Certes il a un côté pratique, mais il dégrade tellement la sécurité d'un réseau qu'il vaut mieux s'en passer. Les auditeurs en sécurité réseau se frottent les mains lorsqu'ils le trouve activé sur une seule machine d'un domaine Microsoft. 0 Citer
Jeff777 Posté(e) le 6 février Posté(e) le 6 février Il y a 16 heures, .Shad. a dit : A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française). Oui c'est ce que je constate chez moi 0 Citer
Jeff777 Posté(e) le 6 février Posté(e) le 6 février Il y a 18 heures, PiwiLAbruti a dit : Pour ceux qui souhaitent désactiver NetBIOS sous DSM 7 : Je viens de le faire et ne constate pour l'instant aucune modification. Comment vérifier la désactivation ? 0 Citer
PiwiLAbruti Posté(e) le 6 février Posté(e) le 6 février il y a 22 minutes, Jeff777 a dit : Je viens de le faire et ne constate pour l'instant aucune modification. C'est-à-dire ? Qu'as-tu testé ? user@host:~$ sudo systemctl is-active pkg-synosamba-nmbd.service disabled user@host:~$ sudo systemctl is-active pkg-synosamba-nmbd.service inactive 0 Citer
Jeff777 Posté(e) le 6 février Posté(e) le 6 février il y a 2 minutes, PiwiLAbruti a dit : C'est-à-dire ? Qu'as-tu testé ? root@xxxxxxxx:~# systemctl is-active pkg-synosamba-nmbd.service inactive J'ai cherché une modification de comportement au hasard et n'ai trouvé aucune modif. Peut-être tout simplement parce que je n'utilise pas Netbios ? Alors quel est le côté pratique dont tu parles ? 0 Citer
CoolRaoul Posté(e) le 6 février Auteur Posté(e) le 6 février (modifié) Après, j'ai parlé de NetBIOS, mais ce n'est pas forcément via ce protocole que la résolution nom => IP est effectuée sous Windows hein ! Comme je suis abonné Free, c'est la box qui diffuse le nom via différents protocoles : Et ne sais pas sur lequel Windows s'appuie pour trouver adresse IP Modifié le 6 février par CoolRaoul 0 Citer
PiwiLAbruti Posté(e) le 6 février Posté(e) le 6 février il y a 40 minutes, Jeff777 a dit : Alors quel est le côté pratique dont tu parles ? Le côté pratique est de pouvoir parcourir les partages d'hôtes du réseau depuis un simple \\host (il me semble que SAMBA est aujourd'hui capable de le faire sans NetBIOS). De manière générale, je désactive la quasi totalité des protocoles de découverte locale (bonjour, mDNS, WS-Discovery, NetBIOS, …) car la plupart sont trop permissifs quand ils ne sont pas directement une faille de sécurité. Ceci dit, ce n'est pas quelque chose que je recommande aux novices (à défaut d'avoir une zone DNS locale). il y a 36 minutes, CoolRaoul a dit : Et ne sais pas sur lequel Windows s'appuie pour trouver adresse IP Wireshark permet de révéler tous ces mystères. 0 Citer
CoolRaoul Posté(e) le 6 février Auteur Posté(e) le 6 février à l’instant, PiwiLAbruti a dit : Wireshark permet de révéler tous ces mystères Je sais bien mais j'ai un peu la flemme 😔 2 Citer
Jeff777 Posté(e) le 6 février Posté(e) le 6 février Il y a 1 heure, PiwiLAbruti a dit : De manière générale, je désactive la quasi totalité des protocoles de découverte locale (bonjour, mDNS, WS-Discovery, NetBIOS, …) J'avais bonjour et WS-Discovery . Je les ai désactivés sur les deux nas. Mis à part la partie réseau du navigateur de fichiers de windows (où je ne vois plus les nas) je ne vois pas d'autres différences (les lecteurs réseaux sont toujours opérationnels). 0 Citer
CoolRaoul Posté(e) le 6 février Auteur Posté(e) le 6 février (modifié) il y a 17 minutes, Jeff777 a dit : Je les ai désactivés sur les deux nas. Ne pas oublier que, depuis le début, mon interrogation porte exclusivement sur ce qui se passe sur mon PC, sous Windows donc, et en particulier sur la façon dont ce dernier gère la résolution de noms dans le cas d'une machine supportant IPV6. Ca aurait été pareil avec un autre système (tel qu'un Raspberry Pi par exemple= Modifié le 6 février par CoolRaoul 0 Citer
Jeff777 Posté(e) le 6 février Posté(e) le 6 février @CoolRaoul Désolé d'avoir pollué ton sujet par des considérations hors sujet. 0 Citer
CoolRaoul Posté(e) le 6 février Auteur Posté(e) le 6 février (modifié) il y a 3 minutes, Jeff777 a dit : @CoolRaoul Désolé d'avoir pollué ton sujet par des considérations hors sujet. Aucun problème bien entendu. Juste que conserve toute ma perplexité sur le mécanisme qui est réellement utilisé par Windows pour faire la résolution de nom. Et je ne me vois pas partir à faire du reverse engineering via Wireshark 😌 Modifié le 6 février par CoolRaoul 0 Citer
PiwiLAbruti Posté(e) le 6 février Posté(e) le 6 février C'est pas du reverse engineering, ça va bêtement afficher le protocole utilisé pour résoudre le nom juste avant l'exécution de la commande ping. Tu peux aussi désactiver NetBIOS dans les services Windows (Assistance NetBIOS sur TCP/IP). 0 Citer
CoolRaoul Posté(e) le 6 février Auteur Posté(e) le 6 février il y a une heure, PiwiLAbruti a dit : C'est pas du reverse engineering, Bien entendu, j'ai un peu joué sur les mots. En posant la question je pensais que peut-être quelqu'un aurait déjà la réponse Maintenant que j'ai un contournement je suis moins motivé pour partir dans des analyses pour comprendre le mécanisme 0 Citer
Jeff777 Posté(e) le 6 février Posté(e) le 6 février Il y a 5 heures, Jeff777 a dit : les lecteurs réseaux sont toujours opérationnels Ceci m'étonnait....et effectivement au redémarrage du PC ils ne se reconnectent pas. Je suis obligé de garder "bonjour" 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.