[3G]Peut on ouvrir des ports?

[quote=“nusul, post:19, topic: 49899”]heu, baser sa secu sur la gestion de N firewall pour N pc, c’est invivable pour un admin. Et beaucoup trop dangereux.

Enfin bon je vais pas chercher à te convaincre :)[/quote]

Mais bon d’une part, les firewalls matériels, tu en trouves à la pelles dès que t’as un minimum de budget à y consacrer, d’autre part, c’est pas comme si Windows ne proposait pas des stratégies de groupes et autres options de configuration applicables en quelques clics à des centaines de machines dans un réseau… Donc non, tu ne peux pas chercher à me convaincre avec de si faibles arguments :crying:. Et encore moins en tentant de me faire avaler que le détournement d’une solution technique à un manque d’adresses IP deviendrait miraculeusement une solution de sécurité idéale.

Sinon pour répondre à la question de Lsacrow : oui c’est possible de contourner le filtrage de ports en sortie sur wapsfr, mais disons que c’est pas d’une évidence totale. Il faut installer un serveur VPN SSL sur un port autorisé sur une machine à l’extérieur du réseau SFR. OpenVPN est un excellent choix, vu qu’il sait se faire passer pour un browser en mettant “http-proxy-option AGENT XXX” dans le client (XXX à remplacer par l’user agent d’un navigateur mobile autorisé).

[quote=« nusul, post:16, topic: 49899 »]ok pour passer les gateway en ipv6, ca tiendra jusqu’a ma mort. Par contre rendre les lan entier visible du wan, quel danger! Vive le nat!

Si tout le monde natait on aurait pas eu blaster et sasser aussi répandu[/quote]

Je ne dirais qu’une chose :

security through obscurity

Après, chacun sa religion. Mais si le nat apporte un semblant de sécurité au niveau particulier (encore que l’upnp vient tout ruiner), dès que le réseau est un peu complexe (voire compliqué), là c’est clairement une plaie en terme de sécurité (difficile de tracer une connexion naté, surtout plusieurs fois)

Les firewalls des box sont très bien puisque c’est de l’iptable. Après bloquer tout ce qui entre par défaut et autoriser tout ce qui sort (=niveau de sécurité du nat) c’est deux lignes :slight_smile:

je n’ai jamais remis en cause l’ipv6, je remet en cause les machines clients non natés. Si il n’y a pas besoin qu’elle soit visible pour une application donnée, pourquoi doivent-elles l’être pour toutes les failles potentielles, même de leurs propres firewall.

Je répete: baser sa sécurité sur la gestion de n firewall sur chaque machine c’est abhérant! Le risque est trop important qu’un des éléments soit défaillant et à surveiller c’est impossible. déja qu’une simple casscade sur certains sites ca peux occuper à plein temps, j’imagine pas si il faut gerer 2000 firewalls avec 2000 usages differents.

[quote=“zontrax, post:23, topic: 49899”]Je ne dirais qu’une chose :

security through obscurity

Après, chacun sa religion. Mais si le nat apporte un semblant de sécurité au niveau particulier (encore que l’upnp vient tout ruiner), dès que le réseau est un peu complexe (voire compliqué), là c’est clairement une plaie en terme de sécurité (difficile de tracer une connexion naté, surtout plusieurs fois)

Les firewalls des box sont très bien puisque c’est de l’iptable. Après bloquer tout ce qui entre par défaut et autoriser tout ce qui sort (=niveau de sécurité du nat) c’est deux lignes :)[/quote]

pourquoi un semblant? C’est un élément parmi les autres. Il ne doit pas être le seul.

Oui ca amene une gestion un peu difficile pour suivre des paquets dans les casscades, mais comme on dit: “une porte de coffre fort c’est lourd à bouger, mais c’est fait pour”

Clairement que je rejoins ce qui a été dit ici :

  • la ‹ sécurité › offerte par un NAT peut très facilement être reproduite par un firewall d’ ‹ entreprise › en amont. Ce n’est pas parce que le client dispose qu’une IP publique qu’il est réellement accessible sur Internet
  • certains NAT ne sont pas stateful, donc il est possible éventuellement de deviner la table de NAT, pour initier des connexions entrantes non solicitées
  • le NAT casse certains protocoles (certains VPN IPSEC, FTP actif, DCC IRC…) ; il faut une quantité délirante de rustines (conntrack anyone ?) pour arriver à tout faire marcher (et encore, c’est pas toujours possible - FTP SSL, par exemple)
  • Utiliser un NAT unique pour trop de connexions peut poser problème, vu qu’on a que 2^16 ports source. J’ose à peine imaginer les bidouilles inventées par les constructeurs de NAT pour contourner cette limitation… :confused:
  • Le NAT est horriblement couteux en termes de temps CPU, vu que tous les paquets entrants et sortants doivent être ré-écrits. Pour les novices : quand le NAT recoit un paquet de l’intérieur, il doit le forwarder en remplaçant l’IP src par la sienne, et modifier le port src pour éviter les conflits. Puis quand il reçoit une réponse, il doit regarder dans sa table NAT et forwarder en remplaçant IP et port à nouveau. Un firewall au contraire ne fait que matcher des paquets.

My 2 cents.

De toute façon, le NAT c’est le mal absolu. Je ne vais pas paraphraser ce qui a été dit plus haut, mais un bon FW en entrée, un bon antivirus sur les postes, et puis c’est tout.

sinon, pour revenir au sujet initial, la seule solution que je voit est un VPN vers une autre machine. et la, WOW risque de bien ramer, je pense.
En plus, je ne suis pas sur que ce soit autorisé par SFR / Orange / … (faut bien qu’ils vendent leurs offres “pro”).

Il faudrait ouvrir un fil là dessus, car on pollue trop celui sur la 3G. :slight_smile:

[quote=“gmargaro, post:26, topic: 49899”]De toute façon, le NAT c’est le mal absolu. Je ne vais pas paraphraser ce qui a été dit plus haut, mais un bon FW en entrée, un bon antivirus sur les postes, et puis c’est tout.

sinon, pour revenir au sujet initial, la seule solution que je voit est un VPN vers une autre machine. et la, WOW risque de bien ramer, je pense.
En plus, je ne suis pas sur que ce soit autorisé par SFR / Orange / … (faut bien qu’ils vendent leurs offres “pro”).[/quote]

En tout cas dans les CGV Bouygues, le teethering est facturé hors forfait illimité (après, ils précisent pas comment ils le détectent). Pour les autres, ça doit pas être très différent

Comment peuvent-ils? C’est encapsulé dans un flux crypté. Et je ne pense pas qu’ils aient acheté des équipements pour décrypt à la volée?

Edit: j’ai confondu le tethering et l’openvpn. Donc oui ils peuvent détecter le tethering pur (avec le user-agent je pense) mais pas ce qui passe dans un tunnel vpn

[quote=“nusul, post:29, topic: 49899”]Comment peuvent-ils? C’est encapsulé dans un flux crypté. Et je ne pense pas qu’ils aient acheté des équipements pour décrypt à la volée?

Edit: j’ai confondu le tethering et l’openvpn. Donc oui ils peuvent détecter le tethering pur (avec le user-agent je pense) mais pas ce qui passe dans un tunnel vpn[/quote]

L’user agent est facilement modifiable non? ou tout du moins on peut le cacher? Je parle de ça par rapport au module de firefox agentswitcher.

oui très facilement. Au plus dur c’est un coup de base de registre sous windows.

Euh juste pour info, il est strictement interdit de se servir de son téléphone comme modem avec un fortfait Illimythics de chez SFR. C’est mentionné assez explicitement sur a peu pret tout leur documents.

Maintenant il leur est impossible de savoir si les données transférés sur ton téléphones sont ensuite router vers un PC et leur (ridicule) protection c’est la vérification de l’useragent de ton browser qui est checké sur leur proxy mais évidement un useragent ça se change en 3 seconde sur n’importe quel firefox.

Le reste ne regarde que toi.

Ah oui et la limite des 500Mo n’est pas une limite stricte mais plutôt un droit qu’il se réserve (genre en cas de congestion du réseau). J’ai régulièrement dépassé cette limite sans jamais voir mon débit altérer.

Ceci dit pour jouer a WoW ce n’est pas le débit qui va te manquer mais la latence (surtout si tu passe par un solution de httpport) je crains que au mieux ça soit injouable et au pire tu n’arrives même pas à te connecter.

J’ai passé quelques mois avec un Nokia E95 en modem, et changer le user-agent, c’est sympa, sauf pour les sites qui passent AUTOMATIQUEMENT en format “mobile”, et qui ne laissent pas le choix. Ou les sites qui refusent certains user-agents, sympa aussi.

Bon après pas mal d’essai infructueux j’ai décider de prendre un vrai forfait 3g+, je suis donc aller chez Bouygue avec le forfait 3g+ illimité (5go> chercher l’erreur) et clé usb 3G+.

Je pensais être enfin tranquille, grossière erreur :smiley: . Alors oui j’ai internet, oui je peux jouer à wow avec + ou - 200/300 de latence (c’est très bien pour ce que je veux faire), par contre, impossible de télécharger quoique se soit Oo.
Si j’éssaye, par exemple de dl un fichier quelconque sur clubic, le dl commence avec un débit de 240Ko/sec + ou - puis après 3sec, il se fige et si j’attend, ça me marque délais dépassé, veuillez réessayer, ce que j’ai fait sans résultat.
Pareil, dans le même principe, je regarde beaucoup d’animé VOST sur wat.tv ou daylimotion…et avec cette clé la vidéo se bloque de la même façon après 3/4 sec.

Quelqu’un à t’il une idée sur ce prob? Biensûr quand je parle de DL de fichier, aucun rapport avec du p2p, car ceci ne m’intéresse pas le moindre avec une clé 3G, là je parle vraiment de téléchargement, tous ce qu’il y a de plus basique genre là je voulais justement dl sur mon portable VLC ben du coup je ne peux pas, c’est balot quand même^^.

En tout cas merci d’avance.

[quote=« Lsacrow, post:34, topic: 49899 »]Bon après pas mal d’essai infructueux j’ai décider de prendre un vrai forfait 3g+, je suis donc aller chez Bouygue avec le forfait 3g+ illimité (5go> chercher l’erreur) et clé usb 3G+.

Je pensais être enfin tranquille, grossière erreur :smiley: . Alors oui j’ai internet, oui je peux jouer à wow avec + ou - 200/300 de latence (c’est très bien pour ce que je veux faire), par contre, impossible de télécharger quoique se soit Oo.
Si j’éssaye, par exemple de dl un fichier quelconque sur clubic, le dl commence avec un débit de 240Ko/sec + ou - puis après 3sec, il se fige et si j’attend, ça me marque délais dépassé, veuillez réessayer, ce que j’ai fait sans résultat.
Pareil, dans le même principe, je regarde beaucoup d’animé VOST sur wat.tv ou daylimotion…et avec cette clé la vidéo se bloque de la même façon après 3/4 sec.

Quelqu’un à t’il une idée sur ce prob? Biensûr quand je parle de DL de fichier, aucun rapport avec du p2p, car ceci ne m’intéresse pas le moindre avec une clé 3G, là je parle vraiment de téléchargement, tous ce qu’il y a de plus basique genre là je voulais justement dl sur mon portable VLC ben du coup je ne peux pas, c’est balot quand même^^.

En tout cas merci d’avance.[/quote]

essaie de limiter ton debit à 50ko/sec avec un outil quelconque, j’ai eu le probleme et c’est la seule solution que j’ai trouvé

Ok je vous tiens au courrant, je vais éssayer cette solution mais de toute manière, je n’en resterai pas là avec se forfait, si pas de réponse du service client, je retourne la clé avec résiliation immédiate et refus de prélèvement^^.