La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Free => 
Actus fibre Free => Discussion démarrée par: ghue le 02 mars 2016 à 10:38:08
-
Juste pour info,
Ayant hérité des ports 0 à 16383, je peux continuer d'héberger mon site web localement. (Pour info, jamais Free n'a communiqué à ce sujet lors du démarchage de la fibre)
Surprise ce matin en voyant mon incapacité à me logger (même à partir du réseau local) sur mon serveur, qui utilise aussi un utilitaire "fail2ban", permettant de bannir les IP faisant des attaques en masse.
(pourtant, machine allumée, mais pas d'écran ni de clavier dessus, et le serveur Web répondait bien)
==> au final, d'après mes logs, la Freebox fait maintenant office de routeur interne, et change les "IP header source" (déduction)
D'après mes logs site web + ssh, toutes les trames qui proviennent de l'extérieur ont l'IP de la Freebox !!!
Et donc, mon serveur bannit les IP "insistantes", donc évidemment celle de la Freebox elle-même !
==> merci Free !
- comment je me protège maintenant d'une attaque force-brute ?
- pour faire de la différenciation réseau local / réseau WAN ?
- pour faire de la gestion d'accès site Web ?
- du log d'activité réseau local / WAN ?
Au final, je commence à me dire que je vais repasser sur l'ADSL, puis passer sur la prochaine Livebox.
-
Tu aurais un extrait de ton log pour voir un peu ce que ça donne ?
-
Si ça se confirme c'est assez ennuyeux ça... encore un truc qu'il faudrait faire remonter pour avoir un commentaire officiel.
-
Tu aurais un extrait de ton log pour voir un peu ce que ça donne ?
/var/log/auth.log :
Mar 2 10:10:27 linuxserver sshd[2261]: Failed password for root from 192.168.1.254 port 55903 ssh2
Mar 2 10:10:32 linuxserver sshd[2261]: Failed password for root from 192.168.1.254 port 55903 ssh2
Mar 2 10:10:36 linuxserver sshd[2261]: Failed password for root from 192.168.1.254 port 55903 ssh2
Mar 2 10:23:52 linuxserver sshd[2487]: Failed password for invalid user admin from 192.168.1.254 port 60976 ssh2
Mar 2 10:23:59 linuxserver sshd[2494]: Failed password for invalid user 1234 from 192.168.1.254 port 61214 ssh2
Mar 2 10:24:03 linuxserver sshd[2499]: Failed password for sshd from 192.168.1.254 port 61373 ssh2
Mar 2 10:24:13 linuxserver sshd[2506]: Failed password for sshd from 192.168.1.254 port 61601 ssh2
192.168.1.254 = IP de la Freebox
Evidemment, ces connexions ne viennent pas du réseau interne.
/var/log/apache2/..._access.log :
192.168.1.254 - - [02/Mar/2016:10:08:51 +0100] "GET / HTTP/1.1" 200 7742 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.1.254 - - [02/Mar/2016:10:08:54 +0100] "GET /wp-content/themes/twentyfourteen/genericons/genericons.css?ver=3.0.3 HTTP/1.1" 200 20142 "https://blog.famille-hue.fr/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.1.254 - - [02/Mar/2016:10:08:54 +0100] "GET /wp-content/uploads/2016/02/cropped-DSC_3882.jpg HTTP/1.1" 200 37029 "https://blog.famille-hue.fr/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.1.254 - - [02/Mar/2016:10:08:54 +0100] "GET /wp-content/uploads/2016/02/P_20160227_120145-450x253.jpg HTTP/1.1" 200 29648 "https://blog.famille-hue.fr/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
.....
-
Au final, je commence à me dire que je vais repasser sur l'ADSL, puis passer sur la prochaine Livebox.
Quel intérêt ? Pourquoi ne pas allez chez Orange ou SFR dès maintenant, qui eux proposent un vrai réseau qui permettra de faire ce que tu veux ?
-
Quel intérêt ? Pourquoi ne pas allez chez Orange ou SFR dès maintenant, qui eux proposent un vrai réseau qui permettra de faire ce que tu veux ?
Au delà du troll (n-a-t-il pas précisé qu'il repasserait sur la prochaine livebox ? donc l'actuelle ne répondrait peut être pas à ses besoins, IPv6 est disponible depuis quand chez Orange ? est-ce qu'il est éligible SFR ?), il me semble légitime de se demander (je n'ai pas d'information à ce sujet) si la future option IPv4 dédiée évoquée dans un autre sujet ne viendra pas résoudre ce "problème".
-
/var/log/auth.log :
Mar 2 10:10:27 linuxserver sshd[2261]: Failed password for root from 192.168.1.254 port 55903 ssh2
Mar 2 10:10:32 linuxserver sshd[2261]: Failed password for root from 192.168.1.254 port 55903 ssh2
Mar 2 10:10:36 linuxserver sshd[2261]: Failed password for root from 192.168.1.254 port 55903 ssh2
Mar 2 10:23:52 linuxserver sshd[2487]: Failed password for invalid user admin from 192.168.1.254 port 60976 ssh2
Mar 2 10:23:59 linuxserver sshd[2494]: Failed password for invalid user 1234 from 192.168.1.254 port 61214 ssh2
Mar 2 10:24:03 linuxserver sshd[2499]: Failed password for sshd from 192.168.1.254 port 61373 ssh2
Mar 2 10:24:13 linuxserver sshd[2506]: Failed password for sshd from 192.168.1.254 port 61601 ssh2
192.168.1.254 = IP de la Freebox
Evidemment, ces connexions ne viennent pas du réseau interne.
/var/log/apache2/..._access.log :
192.168.1.254 - - [02/Mar/2016:10:08:51 +0100] "GET / HTTP/1.1" 200 7742 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.1.254 - - [02/Mar/2016:10:08:54 +0100] "GET /wp-content/themes/twentyfourteen/genericons/genericons.css?ver=3.0.3 HTTP/1.1" 200 20142 "https://blog.famille-hue.fr/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.1.254 - - [02/Mar/2016:10:08:54 +0100] "GET /wp-content/uploads/2016/02/cropped-DSC_3882.jpg HTTP/1.1" 200 37029 "https://blog.famille-hue.fr/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.1.254 - - [02/Mar/2016:10:08:54 +0100] "GET /wp-content/uploads/2016/02/P_20160227_120145-450x253.jpg HTTP/1.1" 200 29648 "https://blog.famille-hue.fr/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
.....
L'adresse IP source est donc 192.168.1.254, et pas 192.168.0.254, qui est l'adresse habituelle de la freebox ? Free utiliserait donc une autre plage d'adresses privées pour le "retour" ?
-
Est-ce qu'il y a une bonne raison pour que la box se comporte comme ça ? Ça pourrait aussi être un simple bug...
-
Ce qui me saute aux yeux c'est le port de retour SSH
Mar 2 10:24:13 linuxserver sshd[2506]: Failed password for sshd from 192.168.1.254 port 61601 ssh2
Il est carrèment en dehors de la plage de ports retours disponibles sur la Freebox. Peut être une sorte de PAT, inversé? :o
Par contre ça n'explique pas pourquoi l'IP est 192.168.1.254
Edit : que donne un ping vers 192.168.1.254 (depuis le réseau local)?
-
[...] est-ce qu'il est éligible SFR ? [...]
Il est en partage de ports sur Free FTTH -> donc ZMD -> donc ZMD Orange -> donc co-financement SFR non ?
[...] il me semble légitime de se demander (je n'ai pas d'information à ce sujet) si la future option IPv4 dédiée évoquée dans un autre sujet ne viendra pas résoudre ce "problème".
[HS]
Certes, mais de tous les sujets qui fleurissent en ce moment avec les difficultés/nouveautés liées à ce nouveau système à priori en "test" chez Free -> ça ne fait pas beaucoup envie.
Ce système à l'air de générer pas mal de problèmes collatéraux, et l’utilisateur lambda pourrait galérer à comprendre pourquoi ce qui marchait avant ne marche plus d'un coup.
Orange est souvent décrié pour ces problèmes notamment coté "boxS", mais là en l'état ce que nous propose Free ne fait pas rêver.
Ce serait Orange à la place, il y aurait un sacré bashing !
Si aujourd'hui j'avais la chance d'être éligible en FTTH sur ma ZMD, avec comme choix SFR/Orange/Free à coups sûr je ne choisirai pas Free...
C'est comme si j'achetais une voiture, et qu'on me forçait à faire du covoiturage lorsque je voulais m'en servir ...
[/HS]
-
Il est en partage de ports sur Free FTTH -> donc ZMD -> donc ZMD Orange -> donc co-financement SFR non ?
Pas partout mais au Plessis Trévise à priori c'est bon (cf. le sujet dédié sur ce forum).
-
Ce système à l'air de générer pas mal de problèmes collatéraux, et l’utilisateur lambda pourrait galérer à comprendre pourquoi ce qui marchait avant ne marche plus d'un coup.
à part des trucs sur la play station si j'ai bien suivi (le chat vocal ?), il y a quoi comme problème qui concernent les utilisateurs lambda ?
Merci
-
Ce qui me saute aux yeux c'est le port de retour SSH
Il est carrèment en dehors de la plage de ports retours disponibles sur la Freebox. Peut être une sorte de PAT, inversé? :o
Par contre ça n'explique pas pourquoi l'IP est 192.168.1.254
Edit : que donne un ping vers 192.168.1.254 (depuis le réseau local)?
Je n'avais pas remarqué pour le port, mais c'est effectivement une autre bizarrerie. Sinon, si la box fournit toujours des adresses en 192.168.0.x et avec un masque 255.255.255.0, il faut du routage pour accéder à 192.168.1.254.
-
Mieux qu'un ping, faire un traceroute 192.168.1.254.
-
à part des trucs sur la play station si j'ai bien suivi (le chat vocal ?), il y a quoi comme problème qui concernent les utilisateurs lambda ?
Merci
Il y a des problèmes de MTU (liés au 4rd) qui empêchent certains utilisateurs d'accéder aux sites HTTPS notamment (cf ici (https://lafibre.info/free-10g-epon/port-443-non-accessible-sur-free-ftth/) et là (http://www.aduf.org/viewtopic.php?t=277220)).
-
Aussi impossibilité d'accéder au site de gestion du Freewifi, wifi.free.fr, adresse source 91.160.x.y rejetée, pas connue. Les mêmes adresses IPv4 sont inconnues de 3244 etc...
-
ca fait reverse proxy et pas routeur interne.
un routeur ne touche pas aux adresses source et de destination (sauf en sortie s'il fait du NAT ce qui n'est plus vraiment du routage).
Test avec un autre port pour voir si c'est general a tout flux entrant.
Ce qui me saute aux yeux c'est le port de retour SSH
Il est carrèment en dehors de la plage de ports retours disponibles sur la Freebox. Peut être une sorte de PAT, inversé? :o
Par contre ça n'explique pas pourquoi l'IP est 192.168.1.254
Edit : que donne un ping vers 192.168.1.254 (depuis le réseau local)?
dans ce sens le port n'a pas besoin d'être dans la plage de l'abonné. c'est du trafic local.
192.168.1.254 c'est sa freebox, il l'a indiqué dans son 1er message.
-
Au delà du troll (n-a-t-il pas précisé qu'il repasserait sur la prochaine livebox ? donc l'actuelle ne répondrait peut être pas à ses besoins, IPv6 est disponible depuis quand chez Orange ? est-ce qu'il est éligible SFR ?), il me semble légitime de se demander (je n'ai pas d'information à ce sujet) si la future option IPv4 dédiée évoquée dans un autre sujet ne viendra pas résoudre ce "problème".
Chaque adresse éligible Free est éligible Orange et chaque adresse éligible Orange est éligible SFR sur notre ville ;)
Pour l'IPv6 Orange la plaque a été migrée récemment.
C'est surtout le fait de "repasser à l'ADSL" qui me fait tiquer, quand il y a 3 opérateurs FTTH sont dispo. Sachant que l'ADSL plafonne à 3/4 mégas instables...
-
Quel intérêt ? Pourquoi ne pas allez chez Orange ou SFR dès maintenant, qui eux proposent un vrai réseau qui permettra de faire ce que tu veux ?
Simplement car Orange (de ce que je sais) :
- ne propose pas d'IP fixe : on peut le contourner avec un dyndns, dispo chez mon provider
- ne propose pas de DNS loopback : nettement plus embêtant à corriger
- est plus cher
- faut "reformer" la famille à l'utilisation d'une nouvelle box
- et j'ai surtout une immense flemme de reconfigurer mon réseau chez un autre provider
Ce qui me saute aux yeux c'est le port de retour SSH
Il est carrèment en dehors de la plage de ports retours disponibles sur la Freebox. Peut être une sorte de PAT, inversé? :o
Par contre ça n'explique pas pourquoi l'IP est 192.168.1.254
Edit : que donne un ping vers 192.168.1.254 (depuis le réseau local)?
192.168.1.254, c'est simple, c'est l'adresse de la Freebox :-) ; par contre, pourquoi c'est pas 192.168.0.254, peut-être car je l'ai changé pour garder mon système d'adressage précédent, quand je n'avais pas de box; c'était ya quelques années, je ne sais plus, sorry.
Mais effectivement, j'ai l'impression que la Freebox fait une sorte de PAT.
Pas partout mais au Plessis Trévise à priori c'est bon (cf. le sujet dédié sur ce forum).
Oui, eligible Orange + SFR depuis environ 1 an, et Free depuis fin Janvier 2016.
ca fait reverse proxy et pas routeur interne.
un routeur ne touche pas aux adresses source et de destination (sauf en sortie s'il fait du NAT ce qui n'est plus vraiment du routage).
Test avec un autre port pour voir si c'est general a tout flux entrant.
--> fait sur port 22 (SSH) /var/log/auth.log, port 80 et 443
--> donc oui, tous les flux entrants !
-
la Freebox fait maintenant du routage vers le réseau local
-> la Freebox fait maintenant du SNAT en direction du LAN
plutôt?
-
Il y a des problèmes de MTU (liés au 4rd) qui empêchent certains utilisateurs d'accéder aux sites HTTPS notamment (cf ici (https://lafibre.info/free-10g-epon/port-443-non-accessible-sur-free-ftth/) et là (http://www.aduf.org/viewtopic.php?t=277220)).
D'après ce que je comprends, ça serait un seul et même problème lié à la MTU non ?
-
L'adresse IP source est donc 192.168.1.254, et pas 192.168.0.254, qui est l'adresse habituelle de la freebox ?
Peut être que notre ami l'a configuré ainsi, tout simplement?
-
Peut être que notre ami l'a configuré ainsi, tout simplement?
Yes, c'est le cas :-)
-
D'après ce que je comprends, ça serait un seul et même problème lié à la MTU non ?
Oui, j'ai dit "des problèmes" parce que je ne sais pas trop ce que ça cache.
-
--> fait sur port 22 (SSH) /var/log/auth.log, port 80 et 443
--> donc oui, tous les flux entrants !
effectivement je n'avais pas vu ton auth.log.
Essais avec un port >1024 il se peut qu'il y ait un traitement particulier pour les 'well known ports (1 et 1024)' comme indiqué dans la doc du 4rd.
-
[HS]
C'est comme si j'achetais une voiture, et qu'on me forçait à faire du covoiturage lorsque je voulais m'en servir ...
[/HS]
Oui, c'est une assez bonne analogie.
-
Ce qui me saute aux yeux c'est le port de retour SSH
Non
Il est carrèment en dehors de la plage de ports retours disponibles sur la Freebox.
Et alors?
Peut être une sorte de PAT, inversé? :o
Cela s'appelle du SNAT (source-NAT).
Ici dans le mauvais sens. En plus du DNAT (destination-NAT).
Beurk!
-
effectivement je n'avais pas vu ton auth.log.
Essais avec un port >1024 il se peut qu'il y ait un traitement particulier pour les 'well known ports (1 et 1024)' comme indiqué dans la doc du 4rd.
J'ai fait le test en ouvrant un SSHd sur le port 8765
Mar 2 16:49:05 serverlinux sshd[13071]: Failed password for root from 192.168.1.254 port 45792 ssh2
Mar 2 16:49:05 serverlinux sshd[13071]: Received disconnect from 192.168.1.254: 3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
Mar 2 16:49:20 serverlinux sshd[13082]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=freebox-server.local user=root
Mar 2 16:49:22 serverlinux sshd[13082]: Failed password for root from 192.168.1.254 port 45796 ssh2
Mar 2 16:49:22 serverlinux sshd[13082]: Received disconnect from 192.168.1.254: 3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
--> Idem au niveau des ports.
(Configuration Freebox : port 8765 --> 8765)
-
Simplement car Orange (de ce que je sais) :
- ne propose pas d'IP fixe
Si, l'IP fixe est apportée conjointement à l'IPv6 par la nouvelle architecture, déployée chez toi.
-
J'ai fait le test en ouvrant un SSHd sur le port 8765
Mar 2 16:49:05 serverlinux sshd[13071]: Failed password for root from 192.168.1.254 port 45792 ssh2
Mar 2 16:49:05 serverlinux sshd[13071]: Received disconnect from 192.168.1.254: 3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
Mar 2 16:49:20 serverlinux sshd[13082]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=freebox-server.local user=root
Mar 2 16:49:22 serverlinux sshd[13082]: Failed password for root from 192.168.1.254 port 45796 ssh2
Mar 2 16:49:22 serverlinux sshd[13082]: Received disconnect from 192.168.1.254: 3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
--> Idem au niveau des ports.
(Configuration Freebox : port 8765 --> 8765)
donc c'est global a tout les ports.
Et si tu mets la box en "192.168.0.254" ? Il se peut qu'une bidouille interne chez Free fasse du NAT entrant dans la Freebox si on change le LAN par défaut. J'en doute mais ca coûte rien de vérifier rapidement et on en aura la certitude.
-
donc c'est global a tout les ports.
Et si tu mets la box en "192.168.0.254" ? Il se peut qu'une bidouille interne chez Free fasse du NAT entrant dans la Freebox si on change le LAN par défaut. J'en doute mais ca coûte rien de vérifier rapidement et on en aura la certitude.
Je teste ce week-end, car couper les machines qui tournent actuellement pour changer l'IP de la Freebox n'est pas vraiment possible ! Réponse rapidement :-)
-
Truc à tester également : tu fais du NAT pour tes ports TCP 22, 80 et 443. Le comportement est-il similaire si tu mets ton serveur web en DMZ ?
-
Est-ce que Free aurait mis un proxy TCP pour gérer les problèmes de performance causés par le 4rd.
Mettre un proxy TCP permet de changer les paramètres TCP.
En principe on utilise l'option qui va bien et qui donne la bonne illusion. L'adresse de la Freebox n'a pas à apparaître.
-
Ca ressemble plus a du NAT en entrée, l'adresse destination est remplacée par l'IP lan de la freebox.
Il se peut que ce soit pour éviter des problèmes entre 2 abonnés Freebox dont l'un héberge un serveur (web ou autre) et l'autre veut y accéder ET que , pas de chance, ils se partagent la meme IPv4. (a vérifier quand meme).
-
Bon, dans ce cas là, on peut espérer que les deux soient en IPv6, et que l'un accède au site de l'autre avec son adresse IPv6, unique.
-
Bon, dans ce cas là, on peut espérer que les deux soient en IPv6, et que l'un accède au site de l'autre avec son adresse IPv6, unique.
espérer? on parle d'IPv4 la et pas forcement de 2 personnes qui se connaissent.
Si Free te permet d'ouvrir des ports pour héberger du contenu ou faire du P2P ou "hoster" des jeux en ligne en IPv4, ca doit fonctionner quelque soit l'IPv4 des autres en face.
-
Bon, dans ce cas là, on peut espérer que les deux soient en IPv6, et que l'un accède au site de l'autre avec son adresse IPv6, unique.
Oui mais il y a des cas où tu as renseigné un DNS en IPv4 comme "dyn DNS" et IPv6 n'est pas proposé!
Il y a plein de cas où la connexion ne se fait qu'en IPv4 même si l'IPv6 est disponible.
-
Ca ressemble plus a du NAT en entrée, l'adresse destination est remplacée par l'IP lan de la freebox.
S+D NAT : pour une connexion venant de l'extérieur, l'adresse source est remplacée par l'IP LAN de la Freebox, l'adresse destination par l'adresse cible (spécifiée en redirection de port ou DMZ)