Configuration avancée du firewall Livebox Sagem - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 06-04-2010 à 18:49:07
ReplyMarsh Posté le 06-04-2010 à 23:44:17
Salut Nouvel intégriste (pas barbu)
C'a doit etre sympa la coloc avec toi !!!
Marsh Posté le 07-04-2010 à 07:40:35
bidulux a écrit : Salut Nouvel intégriste (pas barbu) |
De quoi tu parles ?
Si je n'ai pas envie que mes colocataires téléchargent par P2P, pour respecter la loi (doit-je te rappeler Hadopi ? selon laquelle le propriétaire de l'abonnement est responsable s'il ne peut prouver le contraire), tout en permettant le téléchargement direct (toujours en respectant la loi, puisque non touché et non vérifiable ) et le fait qu'ils puissent utiliser de l'IMAP ou du POP pour leur messagerie, et le tout sans que je contrôle leur PC, t'appelle ça comment ?
Tant que les box ne proposent pas d'origine une "case à cocher" Voulez-vous bloquer le P2P (emule, bittorrent,...) ? je (on) est obligé de passer par de telles mesures non ?
Marsh Posté le 08-04-2010 à 13:17:30
il n'y a personne qui s'est intéressé au sujet ?
Marsh Posté le 11-04-2010 à 16:04:41
Bon, personne personne ?
Ceux qui utilisent IPTables ils mettent quoi ?
Marsh Posté le 17-04-2010 à 18:41:20
bardiel a écrit : Bon, personne personne ? |
personne de chez personne n'utilise IPTables ?
Marsh Posté le 27-04-2010 à 19:24:52
C'est bien désert pour une question comme celle-là
Marsh Posté le 29-04-2010 à 09:49:54
Bardiel
J'ai peur qu'il n'y ait pas de solution avec une box.
A mon sens la seule solution efficace serait un filtrage Layer 7 et ca nécessite un routeur additionnel.
Déjà les logiciel p2p doivent être en lowId puisque tu n'as pas fait de transfert de port.
Après si la box fait su suivi de connexion (conntrack) mais j'en doute !
Tu peux te contenter de bloquer en sorties et tu ne laisses les requêtes qui vont vers les ports 80, 110, 25, ...
Mais si le suivi de connexion n'est pas actif tu vas mettre un gros bordel.
@+
Marsh Posté le 29-04-2010 à 19:18:29
pour la mule oui, pour le torrent ça passe comme du beurre (j'ai fait l'essai sur la RC du lynx lucide).
Pour le conntrack, ça m'étonnerait fortement que la Livebox le gère au vu des résultats que j'avais mis dans le 1er post
Marsh Posté le 30-04-2010 à 16:24:59
bardiel a écrit : pour la mule oui, pour le torrent ça passe comme du beurre (j'ai fait l'essai sur la RC du lynx lucide). |
Je vois pas comment les clients peuvent te joindre si tu as pas de traférer les ports.
Tu vas pouvoir "télécharger " mais pas faire du "seed". Logiquement à terme ton ratio Upload/Download sera mauvais et tu ne pourras plus télécharger. Mais bon d'ici là ....
bardiel a écrit : |
Ouiap c'est clair.
Tu peux pas mettre un petit pc (genre ebox ou une vielle bécane) avec un ipcop pour gérér tous ca aux petits oignons ?
Je sais que tu est plutôt du genre économe et moi du genre grande manoeuvre mais bon ca permet d'apprendre aussi.
@+
Marsh Posté le 30-04-2010 à 19:07:11
m3z a écrit : Je sais que tu est plutôt du genre économe et moi du genre grande manoeuvre mais bon ca permet d'apprendre aussi. |
ça serait pas l'hôpital qui se fout de la charité là ?
En fait c'est surtout pour pouvoir le faire sans mettre de matos en plus, si je voulais vraiment je prendrais effectivement un eBox, ou une Debian avec ce qu'il faudrait dessus (module ipp2p pour iptables par exemple), ou encore un routeur sur lequel je claquerais un DD-WRT et les règles pour, mais bon
De plus si cela pouvait se faire "d'origine", ça intéresserait du monde (je pense à tous ceux qui sont en colocation, les parents, etc, ... avec une Livebox ou une autre box).
Marsh Posté le 04-05-2010 à 09:07:26
bardiel a écrit :
|
Ben justement non
bardiel a écrit :
|
C'est bien ce que je dis tu la joue économe quand moi je sortirai l'artillerie la cavalerie et p'tet bien un peu d'unite aéro portée
Ca me semble LA bonne idée ipp2p
bardiel a écrit :
|
Oui c'est sûr ... mais en faîtes non !
C'est Orange hein ... t'as pas payé ... t'a pas ! mais oui mais z'etes plus cher que tout le monde quand même. Aaaahhhh la qualité M'sieur ca a un prix
Marsh Posté le 04-05-2010 à 17:09:52
Accessoirement, si un jour j'ai un soucis avec Hadopi, il me sera facile de montrer par A+B que le modem fourni par mon FAI (Orange) n'est pas compatible avec le minimum de sécurité demandé par rapport à la loi (quite à aller au tribunal pour cela ).
J'adore ce pays où d'un côté les principaux prestataires de services internet te donnent un modem sous-développé, et de l'autre des politiques qui passent des lois qui t'oblige à acheter du matériel supplémentaire pour satisfaire au minimum demandé... à quand un décret qui obligerait les FAI à proposer une option "anti-P2P" ? (j'en avais déjà parlé au député de mon coin )
Marsh Posté le 12-05-2010 à 16:09:03
bardiel a écrit : Accessoirement, si un jour j'ai un soucis avec Hadopi, il me sera facile de montrer par A+B que le modem fourni par mon FAI (Orange) n'est pas compatible avec le minimum de sécurité demandé par rapport à la loi (quite à aller au tribunal pour cela ). |
Je croyais qu'il ne fallait même pas écrire le mot P2P sur ce forum?
Qu'en dit Orange? Il y a aussi un forum Orange, vous savez... mais à priori, il n'y a pas de solution technique simple. Peut-être comme avec les enfants, mettre le PC dans le couloir, en port ethernet uniquement, au vu et au su de tout le monde, et passer régulièrement pour contrôler que les voisins ne téléchargent pas indûment les produits de Me*t*all*ic*a ou d'autres oeuvres impérissables qui ont fait les choux gras de la presse informatique.
Ou proposer aux colocataires une petite réduction s'ils acceptent de se brancher sur un autre poste dans le quartier fâcheusement mal protégé (oh comme c'est fâcheux!) et ne vous enquiquinent pas avec leur demande de wifi et ne vous en parlent même pas, on ne sait même pas que cela existe et vous ne savez pas qu'ils ont un PC...
Pour la remarque: à quand un décret qui obligerait les FAI à proposer une option "anti-P2P", là vous avez raison, cela va venir... quand on voit déjà la taxe sur la copie privée si illogique...
bon après-midi à tous!
S.
Marsh Posté le 13-05-2010 à 17:14:28
Sacripot a écrit : Je croyais qu'il ne fallait même pas écrire le mot P2P sur ce forum? |
Il s'agit dans le cas présent de bloquer le P2P pour un partage entre colocataires, ou pour une famille, en n'utilisant que le firewall de la Livebox si possible (Autrement et pour les intéressés, d'autres pistes ont été abordées)
Sacripot a écrit : Qu'en dit Orange? Il y a aussi un forum Orange, vous savez... mais à priori, il n'y a pas de solution technique simple. |
Orange ? Ils s'en foutent royalement. Aucune réponse.
Sacripot a écrit : Peut-être comme avec les enfants, mettre le PC dans le couloir, en port ethernet uniquement, au vu et au su de tout le monde, et passer régulièrement pour contrôler que les voisins ne téléchargent pas indûment les produits de Me*t*all*ic*a ou d'autres oeuvres impérissables qui ont fait les choux gras de la presse informatique. Ou proposer aux colocataires une petite réduction s'ils acceptent de se brancher sur un autre poste dans le quartier fâcheusement mal protégé (oh comme c'est fâcheux!) et ne vous enquiquinent pas avec leur demande de wifi et ne vous en parlent même pas, on ne sait même pas que cela existe et vous ne savez pas qu'ils ont un PC... |
Le PC "partagé" à tous, pas vraiment une bonne idée. Mes colocataires étant assez loin de chez eux, c'est MSN&Co le soir. Sans compter un joueur (autre que moi).
Pour l'accès à une autre connexion, ce n'est pas réellement possible non plus, vu que je suis le seul à disposer d'un abonnement (les voisins d'en face c'est "on prend pas dans 6 mois on se barre", ceux d'en dessous c'est "on prend pas car nous on n'utilise pas Internet on n'a pas de PC" )
Sacripot a écrit : Pour la remarque: à quand un décret qui obligerait les FAI à proposer une option "anti-P2P", là vous avez raison, cela va venir... quand on voit déjà la taxe sur la copie privée si illogique... |
Justement, c'est cela qui est illogique : on nous bassine à force média d'un Hadopi et Hadopi 2, de la DADVSI, d'une éventuelle ACTA, etc...
Les FAI lèvent les yeux dès qu'il faut parler d'une coupure d'accès à un Internet ("ohlala, mais qu'est ce que vous nous demandez, c'est trop cher dur techniquement" ) et finalement ça passe.
Rien du côté justement du fameux "logiciel" (le firewall d'OpenOffice ) qui devait fliquer nos PC pour prouver notre "innocence".
La mise à disposition des codes sources (enfin d'une partie) de certaines box n'a pas franchement incité les FAI à proposer d'office ce fameux composant "anti-p2p" (plutôt "démerdez vous on ramasse les copies après" ), ou le renforcement vers un niveau acceptable de la sécurité WiFi (bon perso c'est WPA/TKIP sur passphrase de 24 caractères)
EDITION RAPIDE : démonstration par l'absurde : en Allemagne on sécurise mal son WiFi, 100€ d'amende
Marsh Posté le 05-04-2010 à 21:14:23
Salut à tous.
Vu que mon petit projet de serveur multi-fonction est pour le moment "en attente" (en gros, faire gérer la connexion sans fil par un PC, qui servira aussi de partage de fichiers), je me suis plongé dans le merveilleux monde de la Livebox Sagem dont je dispose (généreusement mis en location pour 3€/mois par Orange sans possibilité d'avoir une version plus récente, enfin bon).
Ainsi j'ai "découvert" que l'on pouvait paramétrer le firewall pour qu'il suive des règles suivant la connexion (globale, ethernet ou - ce qui m'intéresse - le WiFi).
Le but : bloquer tout P2P (je pense pas que mes colocataires disposent d'un niveau suffisant pour penser à changer les paramètres par défaut de leurs logiciels )
Alors voici comment j'avais paramétré :
Etat entrant et état sortant :
1ère règle :
POP3 - TCP Tous vers Tous -> 110
SMTP - TCP Tous vers Tous -> 25
IMAP - TCP Tous vers Tous -> 143
HTTP - TCP Tous vers Tous -> 80
HTTPS - TCP Tous vers Tous -> 443
FTP - TCP Tous vers Tous -> 21
2ème règle (pour MSN/LiveMessenger) :
TCP 1863 -> 1863
TCP 7001 -> 7001
UDP 9 -> 9
UDP 7001 -> 7001
J'avais voulu mettre en 3ème règle de rejeter tout le reste.
Soucis : ils ne pouvaient plus se connecter pour l'un (Vista) mais voyait la Livebox en WiFi ( hein ?), le 2ème souffrait d'une lenteur incroyable juste pour avoir Google (version simple, sans widget divers).
Je me suis trompé où ?
Je penche pour la règle sur la sortie (en gros pour gérer plus proprement, mettre une règle 1024 -> 65536 en sortie autorisé en TCP ?)
---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D