Filtrer IP entrantes - securisation raspberry

Vous avez réalisé ou vous voulez réaliser un truc impensable avec votre Raspberry Pi ? Cet endroit est pour vous...

Modérateur : Francois

Répondre
Zeldamaf
Messages : 3
Enregistré le : mar. 3 oct. 2017 15:26

Filtrer IP entrantes - securisation raspberry

Message par Zeldamaf » mar. 3 oct. 2017 17:29

Bonjour à tous,

J'espère ne pas créer de doublons mais malgré mes recherches, je n'ai pas trouvé de résultats probants.

Je suis heureux propriétaire d'un Raspberry Pi 3 avec la dernière mouture de raspbian.
J'en ai fait un NAS accessible en local et par internet.

Pour l'accès par internet j'ai ouvert les ports sur ma box/routeur et "fixé" l'ip avec no ip => ça fonctionne nickel.

Mon NAS ne sera utilisé de l'extérieur que par deux ip.
J'ai aussi configuré en no ip pour ces deux sites.
Site1.ddns.net
Site2.ddns.net

Par sécurité, je souhaiterais donc que le raspberry n'autorise que ces deux adresses ip/no ip à se connecter depuis l'extérieur .

Comment faire ?

Et aussi je le dis qu'il faudra créer une règle pour autoriser les ip locales 192.168.x.x
L'idéal pour moi étant d'autoriser toute la plage des ip locales.

Complément 1 : depuis ma box/routeur je peux filtrer des ip mais que sous format classique xxx.xxx.xxx.xxx
Donc ce n'est pas compatible car Site1 et Site2 sont en ip variable

Complément 2 : je me suis bien renseigné sur fail2ban qui serait ma solution de repli pour bannir des ip insistantes. Cependant, je trouve le concept de filtrage plus sécurisé.

Merci à tous pour vos propositions et votre aide.
:D

spourre
Raspinaute
Messages : 724
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Filtrer IP entrantes - securisation raspberry

Message par spourre » mar. 3 oct. 2017 18:10

Bonjour,

Juste une piste non testée: iptable.
Il y a pas mal de tutos sur le web, y compris pour le Raspberry (attention tout de même à la version de Raspbian).
Dans votre cas, vous pouvez faire très béton:
- reject (ou drop) toutes les adresses.
- autoriser site1 sur certains ports
- autoriser site 2 sur certains ports.

Les règles sont lues de haut en bas donc on ferme tout, puis on autorise cas par cas.
Vérifier si des services nécessaires ne sont pas bloqués puis les ouvrir par une règle.

--
Sylvain

Zeldamaf
Messages : 3
Enregistré le : mar. 3 oct. 2017 15:26

Re: Filtrer IP entrantes - securisation raspberry

Message par Zeldamaf » mar. 3 oct. 2017 20:12

Bonsoir Sylvain,

Merci pour cette réponse top rapide.
Merci pour cette piste, je n'imaginais pas cette utilisation de iptable.
Je creuse et vous ferai un retour.

a+

spourre
Raspinaute
Messages : 724
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Filtrer IP entrantes - securisation raspberry

Message par spourre » mer. 4 oct. 2017 00:29

Bonsoir,

Si vous avez besoin de disposer de l'@IP de vos Site1 et Site2 dans un script, , vous pouvez essayer d'installer les dnsutils puis la commande suivante:

Code : Tout sélectionner

$ dig Site1.ddns.net | grep ^Site1.ddns.net. | cut -f6
N'hésitez pas à me dire si cela fonctionne chez vous et si l'@IP retournée est la bonne. Si nécessaire, je pourrais vous décortiquer le fonctionnement de cette ligne de commande . Vous pouvez aussi passer cette commande, morceau par morceau, de la gauche vers la droite et observer l'évolution du résultat.

--
Sylvain

mike913
Raspinaute
Messages : 109
Enregistré le : mar. 7 oct. 2014 09:46
Localisation : Morsang / Orge - Essonne
Contact :

Re: Filtrer IP entrantes - securisation raspberry

Message par mike913 » mer. 4 oct. 2017 10:20

Bonjour,

Tu dis:
Mon NAS ne sera utilisé de l'extérieur que par deux ip.
Des IP fixes ou dynamiques ?
Tu utilise un serveur Apache,NGINX ou autre ?
La meilleures solution à mon avis c'est un .htaccess avec accès par authentification.

Cordialement
DS712+ 2x Western Digital WD10EADS-00L 1000 GB (SHR) - Firmware: DSM 6.1.6-15266
Raspberry - RFXTRX433 - Aeon Labs ZStick V2 - Domoticz
FreeBox v6
https://meteo.folcke.net
https://wiki.folcke.fr

spourre
Raspinaute
Messages : 724
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Filtrer IP entrantes - securisation raspberry

Message par spourre » mer. 4 oct. 2017 13:01

mike913 a écrit :Bonjour,

Tu dis:
Mon NAS ne sera utilisé de l'extérieur que par deux ip.
Des IP fixes ou dynamiques ?
Bonjour,

A la première lecture, j'ai compris que les 2 @IP correspondent à des @IP dynamiques, référencées par DDNS sous les noms de Site1... et Site2....
J’obtiens bien une @IP pour Site1 avec ma ligne de commande.

On verra bien ce que le PO va nous répondre.

Sylvain

Zeldamaf
Messages : 3
Enregistré le : mar. 3 oct. 2017 15:26

Re: Filtrer IP entrantes - securisation raspberry

Message par Zeldamaf » mer. 4 oct. 2017 22:46

Huhu, merci pour toute cette activité.

@mike913 : effectivement comme le précise Sylvain les @IP de site1 et site2 sont dynamiques et référencées par DDNS.
L'accès au NAS se fait par sftp. Simple, efficace et de base avec raspbian.

En complément : derrière les @IP de site1 et site2 il pourra y avoir du pc windows ou de l'android (tablette ou interface bbox tv)
Compatible avec .htaccess ?

@Sylvain : je teste dès que j'ai 5 min.

Je vous tiens au jus,

@+

mike913
Raspinaute
Messages : 109
Enregistré le : mar. 7 oct. 2014 09:46
Localisation : Morsang / Orge - Essonne
Contact :

Re: Filtrer IP entrantes - securisation raspberry

Message par mike913 » mer. 4 oct. 2017 23:01

Si tu te connecte par sftp, il faut un mot de passe pour se connecter, si tu veux plus de sécurité il faut faire un échange de clefs.
DS712+ 2x Western Digital WD10EADS-00L 1000 GB (SHR) - Firmware: DSM 6.1.6-15266
Raspberry - RFXTRX433 - Aeon Labs ZStick V2 - Domoticz
FreeBox v6
https://meteo.folcke.net
https://wiki.folcke.fr

spourre
Raspinaute
Messages : 724
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Filtrer IP entrantes - securisation raspberry

Message par spourre » mer. 4 oct. 2017 23:23

Je précise un point car je vais être absent une paire de jours.
l'idée sous-jacente à mon script est, quelle que soit la solution retenue (ssh, .htacces, iptable..), de récupérer l'@IP de Site1 et de Site2 afin de pouvoir l'utiliser:
- dans un script
- dans un fichier de paramétrage qui exige une adresse IP numérique et non un FDQN.
Je parle de script car il comprendra 2 lignes du type de mon exemple (1 ligne pour Site1, 1 ligne pour Site2).
Ce script pourra mettre le résultat dans une variable d'environnement qui pourra être exportée pourra être rendue disponible par un export.
Ce script est à lancer, au minimum, au boot du Raspberry puis, régulièrement, par un cron pour tenir compte du risque que Site1 ou Site2 change d'@IP, alors que le Raspberry est déjà en route.
Une autre solution serait que Site1 et Site2 envoient leur @IP au Raspberry, dans un mail formaté, chaque fois qu'ils changent d'adresse.
Il se peut que, selon la solution que vous retiendrez, vous soyez obligé d'étoffer le script, avec relance du service (http, iptable, ssh..) pour prendre une éventuelle modification d'adresse en compte.
Je pense vous avoir donné de quoi alimenter votre réflexion et vos recherches pour quelques jours.
A bientôt.

Sylvain

Répondre

Retourner vers « Utilisateurs avancés »