J’ai un petit souci, un petit malin ne cesse de tenter d’accèder à mon serveur FTP, il n’a bien sûr pas les bons identifiants. Le problème est que du fait de ses accès répétés, mon NAS ne passe plus du tout en veille.
J’ai récemment installé le Firmware DD-WRT sur mon routeur WRT54GS et j’ai pu voir qu’il existe une partie firewall “texte” permettant à priori de déclarer des règles de filtrages supplémentaires.
Seulement voilà, je suis une buse dans ce domaine et je ne sais même pas quoi écrire comme commandes pour mettre en place des règles de filtrage avancées. Je parle d’avancées car je souhaiterais faire un filtrage par domaine (ou adresse IP) et non sur les ports (çà, c’est déjà possible dans le firmware d’origine via l’interface).
Déjà, est-il possible de faire celà ? Si oui , l’un de vous aurait-il l’amabilité de me donner un petit cours ?
[quote=“zontrax, post:2, topic: 29669”]Il y a une fonction firewall texte ? ah bon je savais pas. Je regarde dès que j’ai le temps.
Il est possible d’utiliser fwbuilder avec le firmware de sveasoft, come dd-wrt est un mod de celui ci, peut-être c’est possible aussi ?[/quote]
Oui apparemment il y a Firewall Builder.
Gratuit sous Linux, mais payant sous OSX et Windows (mais y’a une démo 30j)
C’est pas mal. Mais ne révez pas, ça ne vaut pas un bon Checkpoint
Ensuite, avec, tu crées une règle qui drop tout ce qui vient du mec qui essaie de se connecter. Voire de la plage d’IP complète s’il change d’adresse. Mais à mon avis, ce sont de simples scans de ranges entiers d’IP. C’est sûr, c’est lourd.
Sinon, un tuto pour FWBuilder plus ton routeur avec un firmware Sveasoft Alchemy.
Alchemy est maintenant gratos et se trouve chez Sveasoft (prendre le 2e fichier,Alchemy-V1.0.bin.zip (public))
tout le monde n’a pas 1000 € à foutre dans un firewall et pis checkpoint sapu
En plus, niveau fonctionnalité, ça se vaut, c’est niveau perf que ça change.
DD-WRT est une évolution de Alchemy, donc autant utiliser celui ci.
1000€ tu es loin du compte
Sinon y’a bien Talisman ensuite, après Alchemy. Mais lui faut être abonné.
D’ailleurs il est pas mal Talisman, mais je n’arrive pas à le foutre à jour de la 1.0.5 vers la 1.2rc-quelque chose
Enfin de toute façon j’utilise pas la partie FW du routeur, j’ai un Netscreen à la maison
Le problème est que je ne sais pas comment interpréter cette adresse; est-ce que l’ IP est 71.36.119.80 ou bien *.71.36.119 ? Lorsque je fais un whois sur gaoland.net , je tombe apparemment sur un compte 9 telecom alors que l’adresse 71.36.119.80 me renvoit aux états unis, je ne pense pas que celà soit la bonne.
De plus un whois sur adresse incomplete (*.71.36.119) me renvoit un message d’erreur. Iptables sait-il gérer les adresses DNS tel que gaoland.net ?
EDIT : Voilà ce que j’obtiens avec la commande suivante :
/jffs # iptables -A INPUT -s 71.36.119.* -j DROP
iptables v1.3.5: host/network `71.36.119.*’ not found
Je ne comprend pas bien, l’adresse IP doit nécessairement appartenir au réseau local ? ou bien les adresses incompletes ne sont-elles pas gérées ?
[quote=“ColdFire, post:8, topic: 29669”]gaoland.Net c’est bien 9 telecom
J’ai eu la surprise une fois de voir ça connecté à mon ftp, et c’était mon frère en 9 telecom
Coldfire, tu fais peur la. T’as pas lu ou quoi?
Pour la quasi integralite des providers, quand on a « 71.36.119-80.rev.gaoland.net », ce qu’il y a dans le reverse est l’ip INVERSE de l’utilisateur. Ca veut dire que l’ip, c’est quoi? hein? Oui, c’est encore un militaire qui gagne une tringle a rideaux!
80.119.36.71
Je rappelle que ce que je viens d’enoncer ici N’EST PAS UNE REGLE ABSOLUE. Pour etre sur, rien ne vaut la commande « host 71.36.119-80.rev.gaoland.net » qui vous permettra d’etre sur.
Pour les windowsiens, je rappelle qu’a priori, host n’est pas present sur le systeme (sous XP y a pas) et que donc, la solution « workaround » pour chopper une IP a partir d’un domaine est « ping »
Merci Lonewolf, je ne connaissais pas le principe de l’IP inverse. Je suppose que le “rev” de rev.gaoland.net est pour “reverse”. Je le saurai pour les prochaines.
[quote=« LoneWolf, post:10, topic: 29669 »]Coldfire, tu fais peur la. T’as pas lu ou quoi?
Pour la quasi integralite des providers, quand on a « 71.36.119-80.rev.gaoland.net », ce qu’il y a dans le reverse est l’ip INVERSE de l’utilisateur. Ca veut dire que l’ip, c’est quoi? hein? Oui, c’est encore un militaire qui gagne une tringle a rideaux!
80.119.36.71
Je rappelle que ce que je viens d’enoncer ici N’EST PAS UNE REGLE ABSOLUE. Pour etre sur, rien ne vaut la commande « host 71.36.119-80.rev.gaoland.net » qui vous permettra d’etre sur.
Pour les windowsiens, je rappelle qu’a priori, host n’est pas present sur le systeme (sous XP y a pas) et que donc, la solution « workaround » pour chopper une IP a partir d’un domaine est « ping »
LoneWolf
Faut toujours vous surveiller :P[/quote]
Exact j’ai pas tout lu
comme il avait mis ensuite dans sa règle iptables le 71.36.119.*, je n’ai regardé que ça
Ben, à terme, le jour où je prendrai le temps de m’y repencher, j’inverserai le routeur et le firewall. Le firewall fera aussi routeur et recevra la freebox sur sa patte Untrust, et mon Linksys WRT54G ne fera plus routeur, juste switch wifi, en étant relié entre sa partie switch et la partie switch-Trust du Netscreen par un cable croisé. Ce qui me laissera 2x3 ports « sécurisés » et switchés, le strict nécessaire quoi, entre les 3 PC, le Tvix et la Xbox360 reliés en RJ45, me reste plus qu’un port de libre, mais bon
Par contre, si tu savais quel prix j’ai payé pour mon netscreen 5GT en licence illimitée, tu serais deg
Et sinon je n’ai qu’un netscreen, parce que je n’ai pas trouvé de petit Nokia IP 130 d’occase pour lui coller un CheckPoint (je préfère CheckPoint)
Bah si ça marche tu ne nous le diras jamais, vu que tu ne le verras pas. Sauf si tu changes le DROP par un LOG_DROP, et que tu épluches régulièrement tes logs B)