Aller au contenu

Le Pare-Feu Bloque Les Requ


swingrock

Messages recommandés

Bonjour,

Je vous explique ma situation : J'ai un réseau composé ainsi

Net <-----> BOX <------> NAS
                <------> PC

La BOX a une adresse 1.1.1.1 côté Net et 192.1.1.250 côté réseau local

Le NAS et le PC ont une adresse attribuée par la BOX avec une adresse fixe pour le NAS : 192.1.1.10

J'ai aussi un nom de domain "chez_moi.fr" qui a été positionné vers l'adresse 1.1.1.1

La BOX redirige le port 443 vers le port 443 du NAS

Lorsque le pare feu du NAS autorise tout, je peux contacter mon NAS depuis mon PC local en tapant https://192.1.1.10/photoou https://chez_moi.fr/photo

mais si le mode par défaut du pare-feu du NAS et DENY et que j'ajoute les règles suivantes 192.1.1.1/24 ALLOW et 1.1.1.1 ALLOW alors :

je peux contacter le NAS via https://192.1.1.10/photomais pas par https://chez_moi.fr/photo

Que faut-il que je mette comme règle pour que https://chez_moi.fr/photofonctionne ?

Par avance, merci pour vos idées.

Lien vers le commentaire
Partager sur d’autres sites

mais si le mode par défaut du pare-feu du NAS et DENY et que j'ajoute les règles suivantes 192.1.1.1/24 ALLOW et 1.1.1.1 ALLOW alors :

je peux contacter le NAS via https://192.1.1.10/photomais pas par https://chez_moi.fr/photo

Que faut-il que je mette comme règle pour que https://chez_moi.fr/photofonctionne ?

Plutôt qu'un problème de firewall, je pencherai sur le fait que ta box ne gère pas le loopback (rebouclage automatique en interne de "chez_moi.fr")

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

&nbsp;

C'est normale, car en gros la avec ta seconde règle, tu n'autorise que l'iP public de ta box, qui ne sera certainement pas la même que ton mobile ou autre appareil, vire les deux règles pour :

Port 443 - toute iP - autoriser

;-)

&nbsp;

Je comprends, mais justement je ne veux pas autoriser tous le monde.

C'est juste que je ne comprend pas quelle règle je dois mettre pour que mon PC qui est connecté à ma box tout comme le NAS puisse discuter ensemble via le nom de domaine chez-moi.fr

Quand je suis en dehors de chez moi, tout fonctionne bien et je me connecte à mon NAS, mais quand je suis chez moi, ça ne fonctionne pas.

&nbsp;

Plutôt qu'un problème de firewall, je pencherai sur le fait que ta box ne gère pas le loopback (rebouclage automatique en interne de "chez_moi.fr")

&nbsp;

D'accord, mais pourquoi quand j'autorise tout sur le firewall ça fonctionne. c'est bien que le rebouclage "chez_moi.fr" fonctionne... non ?

Lien vers le commentaire
Partager sur d’autres sites

Je me répond à moi même si cela peut en aidé d'autres.

En fait, le NAS voit les paquel comme s'il venaient de la BOX et donc de l'adresse 192.1.1.254 (adresse de la box sur le réseau local)

du coup, il suffit d'ajouter une règle qui autorise le trafic en provenance de 192.1.1.254

Pour trouver ça, j'ai activer le log des paquets.

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
Lien vers le commentaire
Partager sur d’autres sites

En fait, le NAS voit les paquel comme s'il venaient de la BOX et donc de l'adresse 192.1.1.254 (adresse de la box sur le réseau local)

du coup, il suffit d'ajouter une règle qui autorise le trafic en provenance de 192.1.1.254

Je ne comprend pas pourquoi la règle initiale (192.1.1.1/24 ALLOW) ne suffisait pas.

Elle autorise toutes les IPs du LAN, celle de la box faisant partie du même subnet ne devrait pas être bloquée non ?

Lien vers le commentaire
Partager sur d’autres sites

et pour le problème de la regle qui fonctionne pas : 192.1.1.1/24 allow

si on se refère à la doc :

-s, --source [!] adresse[/masque]

Spécification de la source. L'adresse peut être un nom de réseau, un nom d'hôte (attention : spécifier un nom à résoudre avec une requête distante de type DNS est vraiment une mauvaise idée), une adresse de réseau IP (avec /masque) ou une simple adresse IP. Le masque peut être un masque de réseau ou un nombre entier spécifiant le nombre de bits égaux à 1 dans la partie gauche du masque de réseau (bits de poids fort). Par conséquent, un masque de 24 est équivalent à 255.255.255.0. Un «!» avant la spécification d'adresse inverse la sélection d'adresse. L'option --src est un synonyme de --source.

on parle bien d'un adresse de réseau ip --> pour un /24 ca ne peut etre que 192.1.1.0

mettre un e adresse réseau imaginaire peut tout à fait avoir des effets de bords

Lien vers le commentaire
Partager sur d’autres sites

bonjour les trolleurs....

Alors, pour couper court à toute discussion, les @ip que j'ai mis sont complètement fictives car cela n'avait pas d'importance vis à vis du sujet qui m'intéressait.

Pour CoolRaoul, la règle en 192.1.1.1/24 ALLOW ne fonctionnait pas car je n'avais pas sélectionné les bons services. Erreur bête de ma part.

Pour Gaetan, tu as raison, la config présenté n'a rien a voir avec la vraie, je l'ai fait dans un soucis de simplification car la vraie configuration est autrement plus compliquée.L'adresse du réseau en /24 doit bien finir par un .0

Lien vers le commentaire
Partager sur d’autres sites

Je ne comprend pas comment mettre des IP fictives ainsi qu'un 1 au lieu d'un 0 peut rendre les choses plus simples.

En outre, j'espère qu'on comprendra que s'abstenir d'indiquer que la règle iptables comportait des restrictions de ports (toujours dans un "soucis de simplification" je suppose ?) n'a pas non plus contribué à rapidement trouver la cause du problème.

Lien vers le commentaire
Partager sur d’autres sites

ben, c simple, pour finir, on va ,nous exposé un problème avec toute les données différentes, et on devra chercher quelle est la question réelle

il y a aucune raison de cacher une ip privée, ni la regle de firewall

en fait pour ceux qui sont sur de leur securité, ils n'ont pas peur non plus de partager leur ip publique, c'est pas en vivant cacher que l'on vis plus en securité sur le net

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.