[TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Vous venez de déballer votre Raspberry Pi et vous vous posez des questions ? C'est ici que ça se passe !

Modérateur : Francois

Artemus24
Raspinaute
Messages : 1077
Enregistré le : ven. 15 sept. 2017 19:15

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par Artemus24 » ven. 24 janv. 2020 09:29

Dans ma BOX/SFR, ce que SFR nomme pare-feu est en fait le NAT. Sinon, je n'ai rien qui fasse filtre.
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32

cbalo

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par cbalo » ven. 24 janv. 2020 10:13

C'est exactement ce que j'avais dit dans mon poste :
"Pour ceux dont la boxe ne permet pas le filtrage........"

Artemus24
Raspinaute
Messages : 1077
Enregistré le : ven. 15 sept. 2017 19:15

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par Artemus24 » ven. 24 janv. 2020 10:20

Un flux entrant peut être autorisé à passer ou pas.
Normalement, c'est le rôle du NAT d'autoriser le flux ou pas.
Et c'est une fonctionnalité du routeur de faire du routage !

Je ne comprends pas comment, autrement que par le NAT, tu désires faire du filtrage dans une BOX ?
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32

cbalo

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par cbalo » ven. 24 janv. 2020 10:34

Je le sais bien !!!!!!!!
Je n'ai fait qu'ajouter du détail au membre du forum qui a parler de la fonction de filtrage (intéressante aussi) !
Il faut lire le contenu des messages pour comprendre la discussion.
Donc, non, post ne parlait pas de NAT mais de filtrage, parce que le NAT, c'est la base et cela avait déjà été traité.
Sans NAT : pas d'accès distant.
Le NAT fait aussi pare-feu minimaliste (blocage des ports non ouverts) mais c'est le strict minimum, un vrai pare-feu sait faire bien plus de chose que ça, dont du filtrage (entre autre chose)

Artemus24
Raspinaute
Messages : 1077
Enregistré le : ven. 15 sept. 2017 19:15

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par Artemus24 » sam. 25 janv. 2020 05:58

Salut cbalo.

Ce que tu me dis, je le sais aussi, et j'ai lu les posts de ce sujet, sinon je n'aurai pas répondu.

Il n'y a pas de pare-feu ou de filtrage dans une box, autrement que par le NAT ou PAT.
C'est en cela que j'ai réagit, et au final nous sommes d'accord.

Il faut se procurer un pare-feu matériel, si tu désires faire du "filtrage" autrement que dans un ordinateur (iptables).

@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32

maxty01
Modérateur
Messages : 790
Enregistré le : dim. 16 nov. 2014 20:53
Localisation : Charleroi - Belgique

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par maxty01 » sam. 25 janv. 2020 13:17

Bonjour à tous,

Les fonctions de NAT sont des parties intégrantes des firewall.

Dans iptables, les fonctions se trouvent dans la table "NAT".
Pour les afficher, il faut utiliser la commande «iptable -t nat -L -nv».

Toutes les box utilisent par défaut l'option "masquerade", cette fonction de natting permet au firewall de la box de transformer votre adresse IP interne avec l'adresse IP externe de votre box.
Par défaut, les firewall traditionnels (que ce soit layer 4 ou layer 7) ne déclenchent pas automatiquement cette fonction, il n'est donc pas rare de trouver un firewall en mode "Routage pur" tout en y appliquant du filtrage (L4) ou de l'analyse de flux (L7).

Dans une box, ce qui prime, c'est la simplicité, le firewall est donc préprogrammé pour ne laisser entrer aucun flux entrant et laisser sortir tous les flux sortants tout en y appliquant le masquerading.
Le masquerading n'est généralement pas modifiable dans une box et obligatoire pour naviguer sur internet.

Pour laisser entrer un flux depuis internet, le seul moyen est de créer une règle NAT, ce qui crée une règle "automatique" dans le firewall de la box pour autoriser le flux entrant, cette partie étant invisible pour l'utilisateur.

Pour placer un firewall derrière votre box internet, vous avez 2 solutions :
Soit programmer la DMZ de votre box vers votre Firewall, ce qui aura pour effet de nater tous les ports vers l'adresse IP interne de votre firewall.
Soit de bridger votre box, ce qui aura comme effet de transformer votre box en modem en désactivant toutes les fonctions de filtrages, mais également de gestion de la ligne.
Par exemple : sur une ADSL/VDSL, vous devrez gérer la connectivité PPPoE en y renseignant vos login/password de votre ligne internet.
Sur une ligne de type Coax/Fibre, cela n'est pas nécessaire puisqu'elles travaillent en Ethernet, mais cela dépendra de la technologie utilisée par votre FAI.
(Personnellement, j'ai les deux technologies à la maison pour une bonne redondance, je dois travailler en PPPoE sur la première et en Ethernet sur la seconde).

Attention ! En mode Bridge, votre firewall obtiendra directement une adresse IP Publique et plus une adresse Privée !
Ce mode de fonctionnement n'est pas conseillé si on ne connaît pas un minimum en routage, filtrage firewall et en sécurité de façon générale.
Par contre, ce mode de fonctionnement permet une plus grande liberté dans la gestion de sa/ses ligne(s) internet et de son/ses réseau(x) interne(s).

Dernière information : peu importe le mode que vous utilisez, votre FAI effectuera toujours un pré-filtrage sur ces propres routeurs internet, le port 25, par exemple, est par défaut bloqué et il est impossible de le débloquer.

Bonne après-midi,
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn

Artemus24
Raspinaute
Messages : 1077
Enregistré le : ven. 15 sept. 2017 19:15

Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur

Message par Artemus24 » sam. 25 janv. 2020 16:41

Merci maxty01 pour toutes ses explications.

@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32

Répondre

Retourner vers « Débutants »