[TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Modérateur : Francois
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Dans ma BOX/SFR, ce que SFR nomme pare-feu est en fait le NAT. Sinon, je n'ai rien qui fasse filtre.
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
C'est exactement ce que j'avais dit dans mon poste :
"Pour ceux dont la boxe ne permet pas le filtrage........"
"Pour ceux dont la boxe ne permet pas le filtrage........"
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Un flux entrant peut être autorisé à passer ou pas.
Normalement, c'est le rôle du NAT d'autoriser le flux ou pas.
Et c'est une fonctionnalité du routeur de faire du routage !
Je ne comprends pas comment, autrement que par le NAT, tu désires faire du filtrage dans une BOX ?
Normalement, c'est le rôle du NAT d'autoriser le flux ou pas.
Et c'est une fonctionnalité du routeur de faire du routage !
Je ne comprends pas comment, autrement que par le NAT, tu désires faire du filtrage dans une BOX ?
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Je le sais bien !!!!!!!!
Je n'ai fait qu'ajouter du détail au membre du forum qui a parler de la fonction de filtrage (intéressante aussi) !
Il faut lire le contenu des messages pour comprendre la discussion.
Donc, non, post ne parlait pas de NAT mais de filtrage, parce que le NAT, c'est la base et cela avait déjà été traité.
Sans NAT : pas d'accès distant.
Le NAT fait aussi pare-feu minimaliste (blocage des ports non ouverts) mais c'est le strict minimum, un vrai pare-feu sait faire bien plus de chose que ça, dont du filtrage (entre autre chose)
Je n'ai fait qu'ajouter du détail au membre du forum qui a parler de la fonction de filtrage (intéressante aussi) !
Il faut lire le contenu des messages pour comprendre la discussion.
Donc, non, post ne parlait pas de NAT mais de filtrage, parce que le NAT, c'est la base et cela avait déjà été traité.
Sans NAT : pas d'accès distant.
Le NAT fait aussi pare-feu minimaliste (blocage des ports non ouverts) mais c'est le strict minimum, un vrai pare-feu sait faire bien plus de chose que ça, dont du filtrage (entre autre chose)
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Salut cbalo.
Ce que tu me dis, je le sais aussi, et j'ai lu les posts de ce sujet, sinon je n'aurai pas répondu.
Il n'y a pas de pare-feu ou de filtrage dans une box, autrement que par le NAT ou PAT.
C'est en cela que j'ai réagit, et au final nous sommes d'accord.
Il faut se procurer un pare-feu matériel, si tu désires faire du "filtrage" autrement que dans un ordinateur (iptables).
@+
Ce que tu me dis, je le sais aussi, et j'ai lu les posts de ce sujet, sinon je n'aurai pas répondu.
Il n'y a pas de pare-feu ou de filtrage dans une box, autrement que par le NAT ou PAT.
C'est en cela que j'ai réagit, et au final nous sommes d'accord.
Il faut se procurer un pare-feu matériel, si tu désires faire du "filtrage" autrement que dans un ordinateur (iptables).
@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
-
- Modérateur
- Messages : 790
- Enregistré le : dim. 16 nov. 2014 20:53
- Localisation : Charleroi - Belgique
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Bonjour à tous,
Les fonctions de NAT sont des parties intégrantes des firewall.
Dans iptables, les fonctions se trouvent dans la table "NAT".
Pour les afficher, il faut utiliser la commande «iptable -t nat -L -nv».
Toutes les box utilisent par défaut l'option "masquerade", cette fonction de natting permet au firewall de la box de transformer votre adresse IP interne avec l'adresse IP externe de votre box.
Par défaut, les firewall traditionnels (que ce soit layer 4 ou layer 7) ne déclenchent pas automatiquement cette fonction, il n'est donc pas rare de trouver un firewall en mode "Routage pur" tout en y appliquant du filtrage (L4) ou de l'analyse de flux (L7).
Dans une box, ce qui prime, c'est la simplicité, le firewall est donc préprogrammé pour ne laisser entrer aucun flux entrant et laisser sortir tous les flux sortants tout en y appliquant le masquerading.
Le masquerading n'est généralement pas modifiable dans une box et obligatoire pour naviguer sur internet.
Pour laisser entrer un flux depuis internet, le seul moyen est de créer une règle NAT, ce qui crée une règle "automatique" dans le firewall de la box pour autoriser le flux entrant, cette partie étant invisible pour l'utilisateur.
Pour placer un firewall derrière votre box internet, vous avez 2 solutions :
Soit programmer la DMZ de votre box vers votre Firewall, ce qui aura pour effet de nater tous les ports vers l'adresse IP interne de votre firewall.
Soit de bridger votre box, ce qui aura comme effet de transformer votre box en modem en désactivant toutes les fonctions de filtrages, mais également de gestion de la ligne.
Par exemple : sur une ADSL/VDSL, vous devrez gérer la connectivité PPPoE en y renseignant vos login/password de votre ligne internet.
Sur une ligne de type Coax/Fibre, cela n'est pas nécessaire puisqu'elles travaillent en Ethernet, mais cela dépendra de la technologie utilisée par votre FAI.
(Personnellement, j'ai les deux technologies à la maison pour une bonne redondance, je dois travailler en PPPoE sur la première et en Ethernet sur la seconde).
Attention ! En mode Bridge, votre firewall obtiendra directement une adresse IP Publique et plus une adresse Privée !
Ce mode de fonctionnement n'est pas conseillé si on ne connaît pas un minimum en routage, filtrage firewall et en sécurité de façon générale.
Par contre, ce mode de fonctionnement permet une plus grande liberté dans la gestion de sa/ses ligne(s) internet et de son/ses réseau(x) interne(s).
Dernière information : peu importe le mode que vous utilisez, votre FAI effectuera toujours un pré-filtrage sur ces propres routeurs internet, le port 25, par exemple, est par défaut bloqué et il est impossible de le débloquer.
Bonne après-midi,
Les fonctions de NAT sont des parties intégrantes des firewall.
Dans iptables, les fonctions se trouvent dans la table "NAT".
Pour les afficher, il faut utiliser la commande «iptable -t nat -L -nv».
Toutes les box utilisent par défaut l'option "masquerade", cette fonction de natting permet au firewall de la box de transformer votre adresse IP interne avec l'adresse IP externe de votre box.
Par défaut, les firewall traditionnels (que ce soit layer 4 ou layer 7) ne déclenchent pas automatiquement cette fonction, il n'est donc pas rare de trouver un firewall en mode "Routage pur" tout en y appliquant du filtrage (L4) ou de l'analyse de flux (L7).
Dans une box, ce qui prime, c'est la simplicité, le firewall est donc préprogrammé pour ne laisser entrer aucun flux entrant et laisser sortir tous les flux sortants tout en y appliquant le masquerading.
Le masquerading n'est généralement pas modifiable dans une box et obligatoire pour naviguer sur internet.
Pour laisser entrer un flux depuis internet, le seul moyen est de créer une règle NAT, ce qui crée une règle "automatique" dans le firewall de la box pour autoriser le flux entrant, cette partie étant invisible pour l'utilisateur.
Pour placer un firewall derrière votre box internet, vous avez 2 solutions :
Soit programmer la DMZ de votre box vers votre Firewall, ce qui aura pour effet de nater tous les ports vers l'adresse IP interne de votre firewall.
Soit de bridger votre box, ce qui aura comme effet de transformer votre box en modem en désactivant toutes les fonctions de filtrages, mais également de gestion de la ligne.
Par exemple : sur une ADSL/VDSL, vous devrez gérer la connectivité PPPoE en y renseignant vos login/password de votre ligne internet.
Sur une ligne de type Coax/Fibre, cela n'est pas nécessaire puisqu'elles travaillent en Ethernet, mais cela dépendra de la technologie utilisée par votre FAI.
(Personnellement, j'ai les deux technologies à la maison pour une bonne redondance, je dois travailler en PPPoE sur la première et en Ethernet sur la seconde).
Attention ! En mode Bridge, votre firewall obtiendra directement une adresse IP Publique et plus une adresse Privée !
Ce mode de fonctionnement n'est pas conseillé si on ne connaît pas un minimum en routage, filtrage firewall et en sécurité de façon générale.
Par contre, ce mode de fonctionnement permet une plus grande liberté dans la gestion de sa/ses ligne(s) internet et de son/ses réseau(x) interne(s).
Dernière information : peu importe le mode que vous utilisez, votre FAI effectuera toujours un pré-filtrage sur ces propres routeurs internet, le port 25, par exemple, est par défaut bloqué et il est impossible de le débloquer.
Bonne après-midi,
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Merci maxty01 pour toutes ses explications.
@+
@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32