Filtrer IP entrantes - securisation raspberry

[Zeldamaf]

Bonjour à tous,

J'espère ne pas créer de doublons mais malgré mes recherches, je n'ai pas trouvé de résultats probants.

Je suis heureux propriétaire d'un Raspberry Pi 3 avec la dernière mouture de raspbian.
J'en ai fait un NAS accessible en local et par internet.

Pour l'accès par internet j'ai ouvert les ports sur ma box/routeur et "fixé" l'ip avec no ip => ça fonctionne nickel.

Mon NAS ne sera utilisé de l'extérieur que par deux ip.
J'ai aussi configuré en no ip pour ces deux sites.
Site1.ddns.net
Site2.ddns.net

Par sécurité, je souhaiterais donc que le raspberry n'autorise que ces deux adresses ip/no ip à se connecter depuis l'extérieur .

Comment faire ?

Et aussi je le dis qu'il faudra créer une règle pour autoriser les ip locales 192.168.x.x
L'idéal pour moi étant d'autoriser toute la plage des ip locales.

Complément 1 : depuis ma box/routeur je peux filtrer des ip mais que sous format classique xxx.xxx.xxx.xxx
Donc ce n'est pas compatible car Site1 et Site2 sont en ip variable

Complément 2 : je me suis bien renseigné sur fail2ban qui serait ma solution de repli pour bannir des ip insistantes. Cependant, je trouve le concept de filtrage plus sécurisé.

Merci à tous pour vos propositions et votre aide.

[spourre]

Bonjour,

Juste une piste non testée: iptable.
Il y a pas mal de tutos sur le web, y compris pour le Raspberry (attention tout de même à la version de Raspbian).
Dans votre cas, vous pouvez faire très béton:
- reject (ou drop) toutes les adresses.
- autoriser site1 sur certains ports
- autoriser site 2 sur certains ports.

Les règles sont lues de haut en bas donc on ferme tout, puis on autorise cas par cas.
Vérifier si des services nécessaires ne sont pas bloqués puis les ouvrir par une règle.

--
Sylvain

[Zeldamaf]

Bonsoir Sylvain,

Merci pour cette réponse top rapide.
Merci pour cette piste, je n'imaginais pas cette utilisation de iptable.
Je creuse et vous ferai un retour.

a+

[spourre]

Bonsoir,

Si vous avez besoin de disposer de l'@IP de vos Site1 et Site2 dans un script, , vous pouvez essayer d'installer les dnsutils puis la commande suivante:

Code : Tout sélectionner

$ dig Site1.ddns.net | grep ^Site1.ddns.net. | cut -f6

N'hésitez pas à me dire si cela fonctionne chez vous et si l'@IP retournée est la bonne. Si nécessaire, je pourrais vous décortiquer le fonctionnement de cette ligne de commande . Vous pouvez aussi passer cette commande, morceau par morceau, de la gauche vers la droite et observer l'évolution du résultat.

--
Sylvain

[mike913]

Bonjour,

Tu dis:

Mon NAS ne sera utilisé de l'extérieur que par deux ip.

Des IP fixes ou dynamiques ?
Tu utilise un serveur Apache,NGINX ou autre ?
La meilleures solution à mon avis c'est un .htaccess avec accès par authentification.

Cordialement

[spourre]

Bonjour,

Tu dis:

Mon NAS ne sera utilisé de l'extérieur que par deux ip.

Des IP fixes ou dynamiques ?

Bonjour,

A la première lecture, j'ai compris que les 2 @IP correspondent à des @IP dynamiques, référencées par DDNS sous les noms de Site1... et Site2....
J’obtiens bien une @IP pour Site1 avec ma ligne de commande.

On verra bien ce que le PO va nous répondre.

Sylvain

[Zeldamaf]

Huhu, merci pour toute cette activité.

@mike913 : effectivement comme le précise Sylvain les @IP de site1 et site2 sont dynamiques et référencées par DDNS.
L'accès au NAS se fait par sftp. Simple, efficace et de base avec raspbian.

En complément : derrière les @IP de site1 et site2 il pourra y avoir du pc windows ou de l'android (tablette ou interface bbox tv)
Compatible avec .htaccess ?

@Sylvain : je teste dès que j'ai 5 min.

Je vous tiens au jus,

@+

[mike913]

Si tu te connecte par sftp, il faut un mot de passe pour se connecter, si tu veux plus de sécurité il faut faire un échange de clefs.

[spourre]

Je précise un point car je vais être absent une paire de jours.
l'idée sous-jacente à mon script est, quelle que soit la solution retenue (ssh, .htacces, iptable..), de récupérer l'@IP de Site1 et de Site2 afin de pouvoir l'utiliser:
- dans un script
- dans un fichier de paramétrage qui exige une adresse IP numérique et non un FDQN.
Je parle de script car il comprendra 2 lignes du type de mon exemple (1 ligne pour Site1, 1 ligne pour Site2).
Ce script pourra mettre le résultat dans une variable d'environnement qui pourra être exportée pourra être rendue disponible par un export.
Ce script est à lancer, au minimum, au boot du Raspberry puis, régulièrement, par un cron pour tenir compte du risque que Site1 ou Site2 change d'@IP, alors que le Raspberry est déjà en route.
Une autre solution serait que Site1 et Site2 envoient leur @IP au Raspberry, dans un mail formaté, chaque fois qu'ils changent d'adresse.
Il se peut que, selon la solution que vous retiendrez, vous soyez obligé d'étoffer le script, avec relance du service (http, iptable, ssh..) pour prendre une éventuelle modification d'adresse en compte.
Je pense vous avoir donné de quoi alimenter votre réflexion et vos recherches pour quelques jours.
A bientôt.

Sylvain