Forum ORANGE Migration
Forum des utilisateurs Orange Internet et de la Livebox
- Vous n'êtes pas identifié.
- Afficher tous les messages
Pages: 1
- Forums
- » Autres modems xDSL
- »
Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)
#1 07-03-2022 11:52:09
- michelangelo
- On est bien ici
- Date d'inscription: 17-10-2015
- Messages: 103
Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)
Bonjour.
Soucieux de sécurité, j'accorde (sans doute à tort) une confiance limitée dans ma Livebox (5). Je protège donc mon réseau par un pare-feu tiers (pfSense).
J'ai voulu éviter le double NAT en configurant la live box en pont... On m'a dit que c'était impossible (je dirais plutôt interdit). Est-ce toujours vrai ? (la prohibition Orange du mode "pont' du pont fibre, pare-feu, routeur qu'est la live box)
Pour contrôler mon mac à distance j'ai ouvert le port 22 (SSH) dans la live box. Malheureusement, au lieu de se cacher, ce port ouvert s'affiche à l'image du Trissottin des Femmes Savantes. Peut-on, dans la live box 5, rendre discrets les ports ouverts (qu'il cessent de répondre au PING "je suis là, je suis ouvert, profitez-en bien").
Et, sinon,s'il le faut, y aurait-il une alternative à la Livebox à demander à Orange ou à acheter, qui sache cacher ses port ouverts au lieu d'en faire la promo ?
Merci d'avance pour toute opinion sur ce sujet bien peu discuté.
--
Michelangelo - Fibre Orange Open Zen 2Go, Livebox 5 en double NAT avec pare-feu routeur Pfsense (Netgate SG-1000) distribuant trois VLAN, WIFI par bornes Airport Extreme et Express et Time Capsule, macOS 10.13.6 (privé, objets et invités)
Hors ligne
#2 07-03-2022 17:59:28
Re: Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)
Bonjour,
le mode bridge n'est plus disponible dans les livebox, ce n'est donc pas possible.
Si tu veux un bridge xDSL, il faut voir du coté de Zyxel et Draytek. En général les modem xDSL alternatif proposent tous un mode bridge.
Chez draytek tu as les vigor 130/165/167 : https://draytek.fr/products/routage/modems/
mais je trouve que c'est bien cher pour ce que c'est...
il vaut peut etre mieux trouver un modem xDSL d'occasion pour une 10ene d'euros, et s'assurer qu'il dispose d'un mode bridge dans sa doc. Par exemple, les Zyxel d'occasion sur le boncoin ne manquent pas:
https://www.leboncoin.fr/recherche?cate … %20VMG1312
Concernant les ports, le mode stealth consiste à ignorer les paquets reçus et de ne pas dire qu'on les a refusé. En fait le Firewall effectue ce que l'on appelle un "Drop".
L'autre mode qui consiste à refuser le paquet et a le signaler à celui qui l'a envoyé est le "REJECT". Dans les 2 cas le paquet est refusé, donc les 2 modes au final font la meme chose, et aucun des 2 n'est plus "sécurisé" que l'autre.
La livebox ne permet pas de choisir entre ces 2 modes, elle permet juste de ne pas répondre aux pings. A moins que désactiver la réponse aux pings active aussi le mode "Drop" des paquets ? a vérifier mais je ne crois pas.
Dans tous les cas, le fait de faire une redirection de port sur la livebox "renvoie la balle" vers l'équipement cible. Ce n'est pas la livebox qui dévoile qu'un équipement est dispo derriere ce port, c'est l'quipement lui même qui dévoile sa présence. Et il n'y a pas moyen de faire autrement, car sur ton MAC ton serveur SSH est à l'écoute, il est obligé de répondre à une requete entrente pour dire si oui ou non l'user/pass est accepté, il dévoile donc sa présence.
Par contre dans ta redirection de port tu as la possibilité d'insiquer une adresse IP source, si cette ip est fixe, seule cette IP pourra accéder à ton MAC. Cela relèvera un peu le niveau de sécurité.
Dernière modification par shdf (07-03-2022 18:25:03)
Fibre RED FTTH ↓ 1Gbps | ↑ 1Gbps - nPerf
Hors ligne
#3 07-03-2022 18:42:13
- AlphaZoulou
- Avant FONO j'avais une vie
- Date d'inscription: 17-03-2011
- Messages: 2878
Re: Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)
Bonjour shdf et michelangelo
Mauvais forum "Autres modems xDSL" pour la discussion portant sur une LB5, donc fibre 
Dernière modification par AlphaZoulou (07-03-2022 18:43:03)
Hors ligne
#4 07-03-2022 19:13:23
- sambapati
- Avant FONO j'avais une vie
- Date d'inscription: 12-03-2015
- Messages: 1739
Re: Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)
Bonjour le forum,
AlphaZoulou a écrit:
Mauvais forum "Autres modems xDSL" pour la discussion portant sur une LB5, donc fibre
+1.
@michelangelo: Se déplacer svp dans la section "Livebox Fibre Optique" où nous mettons tout ce qui concerne la LB5, en absence d'une section pour la LB5.
Puis effacer le texte de ces messages, ici.
Merci d'avance.
Hors ligne
#5 08-03-2022 09:21:48
- michelangelo
- On est bien ici
- Date d'inscription: 17-10-2015
- Messages: 103
Re: Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)
shdf a écrit:
Bonjour,
[...]
Concernant les ports, le mode stealth consiste à ignorer les paquets reçus et de ne pas dire qu'on les a refusé. En fait le Firewall effectue ce que l'on appelle un "Drop".
L'autre mode qui consiste à refuser le paquet et a le signaler à celui qui l'a envoyé est le "REJECT". Dans les 2 cas le paquet est refusé, donc les 2 modes au final font la meme chose, et aucun des 2 n'est plus "sécurisé" que l'autre.
La livebox ne permet pas de choisir entre ces 2 modes, elle permet juste de ne pas répondre aux pings. A moins que désactiver la réponse aux pings active aussi le mode "Drop" des paquets ? a vérifier mais je ne crois pas.
Dans tous les cas, le fait de faire une redirection de port sur la livebox "renvoie la balle" vers l'équipement cible. Ce n'est pas la livebox qui dévoile qu'un équipement est dispo derriere ce port, c'est l'quipement lui même qui dévoile sa présence. Et il n'y a pas moyen de faire autrement, car sur ton MAC ton serveur SSH est à l'écoute, il est obligé de répondre à une requete entrente pour dire si oui ou non l'user/pass est accepté, il dévoile donc sa présence.
Par contre dans ta redirection de port tu as la possibilité d'insiquer une adresse IP source, si cette ip est fixe, seule cette IP pourra accéder à ton MAC. Cela relèvera un peu le niveau de sécurité.
Merci, à vous tous, merci surtout pour l'explication sur le fond. Je viens de fermer ma redirection de port et teste actuellement la solution ZeroTier. Il y a apparement d'autres réponses en catalogue qui permettent de se passer de faire un trou dans le pare-feu. Ce matin, je faisais mon 2° test de connexion partage d'écran par ZeroTier, Test réussi.
Pour le choix du forum(vdsl et non fibre), je suis désolé, je n'avais pas remarqué mais, c'est vrai, j'ai abandonné le VDSL et suis passé à la fibre Orange. Mon village a basculé, et j'ai suivi, et j'ai abandonné mon routeur Zixel au profit d'une live box.
Déménager les posts, Sambapati (bonjour, Sambapati), je ferai avec plaisir ce qui est attendu de moi, à condition de savoir quoi faire et comment le faire.
Dernière modification par michelangelo (08-03-2022 09:23:21)
--
Michelangelo - Fibre Orange Open Zen 2Go, Livebox 5 en double NAT avec pare-feu routeur Pfsense (Netgate SG-1000) distribuant trois VLAN, WIFI par bornes Airport Extreme et Express et Time Capsule, macOS 10.13.6 (privé, objets et invités)
Hors ligne
Pages: 1
- Forums
- » Autres modems xDSL
- » Ouvrir un port dans sa Livebox, MAIS le faire discrètement (stealth)