Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1550134 fois)

yuwhan · « **Réponse #1068 le:** 02 décembre 2014 à 13:59:47 »

Effectivement, j'avais déjà vu ces deux sites.
Le premier étant plus cher et en France, le second à l'étranger mais moins cher, je m'étais laissé dire qu'en terme de coût final ( Produit+Livraison TTC ) ce serait similaire. De plus, j'avais un bon d'achat à durée limité à crâmer chez LDLC.

pag · « **Réponse #1069 le:** 04 décembre 2014 à 21:38:18 »

Salut,

Es-ce que quelqu'un aurait une petite idée de comment bloquer ssh entrant depuis le wan depuis le firewall, j'ai eu une petite surprise en voyant mon log ssh ce soir avec plein de bruteforce partout de copains chinois. Je suis pas a l'aise avec l'UI donc si quelqu'un peut partager son exp.

Merci

MikeTheFreeman · « **Réponse #1070 le:** 04 décembre 2014 à 22:13:07 »

Normalement si tu as utilisé la config de c0mm0n, il y a des règles de firewall sur le wan local/in qui dropent les paquets entrants non établis :

Citer

name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
enable-default-log
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}

Donc sauf si tu as créé une nouvelle rule prioritaire sur les existantes (et la redirection de port qui va bien aussi), ça ne devrait pas être le cas.

pag · « **Réponse #1071 le:** 04 décembre 2014 à 22:17:07 »

J'ai bien les même règles et en faisant un test depuis mon tel sur réseau mobile, j'ai dumpé pppoe0 sur le port ssh, les paquets passent bien.. même en ajoutant une règle spécifique rien ne change...

pag · « **Réponse #1072 le:** 04 décembre 2014 à 22:27:07 »

Je sais pas pour vous mais d'après votre config aucune interface n'est associée avec vos règles du coup elles ne sont jamais appliquées. En regardant les stats des règles si vous ne voyez aucun packet transiter, c'est le cas. J'ai crée un nouveau ruleset en associant avec pppoe0 et en créant une règle pour ssh, ça bloque normalement.

MikeTheFreeman · « **Réponse #1073 le:** 04 décembre 2014 à 22:55:51 »

Les rules sont bien associées au port eth1 sur lequel se trouve l'ONT :

Citer

ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
user-id fti/4c2dgr3
password 9ccvrwe
}
}

Perso de mon côté que vois bien les compteurs incrèmenter la règle des flux droppés.

Personne n'a de problème pour recevoir les appels entrants, je tombe à chaque fois sur ma messagerie Orange (alors que les appels sortants fonctionnent très bien eux) ?
Téléphone utilisé : analogique Gigaset C620A.

pag · « **Réponse #1074 le:** 04 décembre 2014 à 22:59:02 »

C'est exactement ça, je n'avais pas défini de règle firewall in et local dans mon interface pppoe0, donc pas de lien entre le ruleset et l'interface.
Merci pour ton aide, problème résolu.

MikeTheFreeman · « **Réponse #1075 le:** 05 décembre 2014 à 19:13:13 »

En traînant sur le forum d'Ubiquiti, j'ai vu qu'il valait mieux désactiver l'UBNT Discovery si l'on n'en faisait pas usage, en effet c'est un des responsables de l'envoi de messages syslog lorsqu'on log les paquets dropés par le firewall car lorsqu'on lance la web gui de l'ERL, UBNT Discovery va spammer des broadcasts pour essayer de trouver d'autres périphériques Ubiquiti.

Et je tiens peut-être une piste pour le téléphone qui ne reçoit plus d'appels entrants au bout d'un certain temps, mais je suis étonné que depuis le temps je sois le seul (?) à l'avoir remarqué.

Paul · « **Réponse #1076 le:** 05 décembre 2014 à 19:15:23 »

Qu'est-ce que l'UBNT Discovery ?

MikeTheFreeman · « **Réponse #1077 le:** 05 décembre 2014 à 19:48:15 »

Un programme (que tu peux d'ailleurs télécharger en stand alone sur leur site) qui te permet de détecter tous les périphériques Ubiquiti sur ton réseau, leurs interfaces, version de firmware etc.
C'est un peu le CDP de Cisco mais pour les équipements Ubiquiti.
Si tu n'as qu'un ERL, ça vaut peut-être le coup de le couper

Pour le couper : System > UBNT Discovery > décocher "Enable"

Paul · « **Réponse #1078 le:** 05 décembre 2014 à 19:51:53 »

Ah oui je vois ce que c'est, un truc du genre SNMP mais à la Ubiquity

MikeTheFreeman · « **Réponse #1079 le:** 05 décembre 2014 à 21:47:22 »

On considère plutôt le SNMP comme distinct même si on peut trouver des points commun avec le CDP/LLDP ou UBNT Discovery.