Auteur Sujet: pare feu livebox, incompréhension (Lu 1207 fois)

trekker92 · « **le:** 13 mai 2023 à 21:23:49 »

bonjour

après plusieurs déboires sur une livebox 4 (je crois, la petite boite noire sosh), je viens vers vous pour d'étonnantes problématiques :

un des ordinateurs utilise linux avec un dns en 127.0.0.53 (je sais pas pourquoi) et semble etre le seul à ne pas parevenir à accéder à internet
auriez vous une idée? aucun proxy configuré, les IP bien reçues et conformes, navigateur vérifié, mais rien ne passe avec un nslookup, bien qu'un ping 8.8.8.8 soit valide

la mise du pare feu en mode "faible" ou "moyen" sur livebox semble rendre internet à l'appareil, mais je vois pas pourquoi les deux-trois ports bloqués (jeux vidéos) en sortie bloqueraient tout le trafic sur une seule des différentes machines connectées (web/firefox)

en complément :
ipv6 sur tout le réseau via livebox standard
deux ordis vpnisé sous nux et windows, avec protonvpn free sur des serveurs différents : à certains moments l'ipv4 tombe et il reste que l'ipv6, je comprends pas pourquoi....
je me rends compte que le téléphone SIP (qu ifait aussi ligne tel) a également ses lignes "déconnectées" en profil pare feu personnalisé sur LB. sur standard/faible, tout fonctionne, alors que deux ports sont bloqués sur le p/f de la livebox, et ne semblent bloquer en rien le reste... là, c'est l'incompréhension totale..
est ce que certains ont des problemes pour accéder en ipv4 à proton via wireguard? j'ai rien touché et seul l'ipv6 livebox "sauve" l'accces internet..

si quelqu'un a une idée..merci!

la livebox a été réinitialisée
la savuegarde a été récupérée
la question étant pour tout remettre à z, il n'y a pas de configuration de pare feu par défaut qui circule? nombreuses règles présentes, mais la plupart mises automatiquement par l'opérateur..

Fyr · « **Réponse #1 le:** 13 mai 2023 à 22:51:34 »

Citation de: trekker92 le 13 mai 2023 à 21:23:49

[...] un dns en 127.0.0.53 (je sais pas pourquoi) et semble etre le seul à ne pas parevenir à accéder à internet
auriez vous une idée?

Oui. 127/8 c'est routable via l'interface loopback par défaut. Les paquets DNS sortent même pas de ton Linux. Tes requêtes DNS vont nulle part. Bon courage avec ton Linux et systemd.

trekker92 · « **Réponse #2 le:** 14 mai 2023 à 01:10:43 »

Citation de: Fyr le 13 mai 2023 à 22:51:34

Oui. 127/8 c'est routable via l'interface loopback par défaut. Les paquets DNS sortent même pas de ton Linux. Tes requêtes DNS vont nulle part. Bon courage avec ton Linux et systemd.

alors j'ai fini par comprendre
à priori pour le linux, passer coté livebox le p/f en minimum/modéré "résoud" ce premier probleme. Mais ca en rajoute un : on sait pas ce qu'il applique comme règles (un pauvre texte explicatif sans transparence aucune), et surtout ca nous empeche d'en rajouter.

solution trouvée :
faire du p/f personnalisé, ajouter les règles d'autorisation ou interdiction, et en tout dernier, mettre tcp/udp les ports 1-65535 (distant ou destination) sur accepter (ou refuser dans le sens inverse, mais pour moi j'ai choisi 'accepter' avec d'autres règles de refus de traffic'), en considérant la regle 1-65535 comme regle par defaut pour tout ce qui ne concerne pas le reste - mais à priori elle n'est "considérée" (ou prise en charge) que si placée à la toute fin.. or ce p/f n'a vraiment aps de gestion intuitive..

en complément, beaucoup de retours défavorables de cette boiboite orange :
https://old.reddit.com/r/france/comments/hh2df9/livebox_et_pihole/
https://communaute.orange.fr/t5/Vos-enfants-sont-hyper-connect%C3%A9s/Bloquer-l-acc%C3%A8s-%C3%A0-la-livebox-aux-ados/td-p/1626648/page/2
https://bbs.archlinux.org/viewtopic.php?id=226084
https://communaute.orange.fr/t5/prot%C3%A9ger-mes-donn%C3%A9es-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313
https://blog.seboss666.info/2020/12/cette-livebox-est-vraiment-bonne-a-jeter-loperateur-avec/

moi qui envisageais justement, au choix un pi-hole, c'est la douche froide
j'ai deux "routeurs" avec dhcp désactivé en mode AP uniquement, j'envisageais de reprendre leur serveur DHCP comme "secours" en les mettant sur une IP spécifique chacun, et en mettant dans le DHCP l'adresse de la passerelle + le DNS de fdn (1) et celui de la LB en secours..

qu'en pensez vous?

1: https://www.fdn.fr/ouverture-des-services-dot-doh/ , rien que pour du dns non menteur..

xp25 · « **Réponse #3 le:** 14 mai 2023 à 03:07:30 »

Bonjour,

Voir ici, ça parle de proton et 127.0.0.53 qui se met tout seul -> https://forum.ubuntu-fr.org/viewtopic.php?id=2072014

zoc · « **Réponse #4 le:** 14 mai 2023 à 08:22:49 »

Citation de: trekker92 le 13 mai 2023 à 21:23:49

un des ordinateurs utilise linux avec un dns en 127.0.0.53

Normal sur un système qui utilise systemd-resolved. Du coup la vrai adresse du resolver utilisé n’est pas dans /etc/resolve.conf, mais dans la config de netplan, systemd-networkd ou NetworkManager selon l’outil de configuration réseau utilisé. Ceci dit ça ne devrait avoir aucun impact, et ça n’a surtout rien à voir normalement avec une quelconque configuration sur le firewall de la box.

J’ai une VM Linux (Ubuntu) en mode pont sur mon MacBook qui fonctionne sans soucis chez mes parents qui sont chez Sosh avec une LB4 et sa configuration firewall par défaut.

Fyr · « **Réponse #5 le:** 14 mai 2023 à 13:05:40 »

Citation de: trekker92 le 14 mai 2023 à 01:10:43

1: https://www.fdn.fr/ouverture-des-services-dot-doh/ , rien que pour du dns non menteur..

Bah rien. Une fois que tu as ton linux tu peux installer ton resolver (si c est pas déjà fait) et basta. Pourquoi dépendre du service d'un tier quand tu as mis les outils pour le faire toi même ?