La Fibre
Datacenter et équipements réseaux => Routeurs => 
Routeur => Discussion démarrée par: Fuzy le 16 octobre 2015 à 11:33:32
-
Bonjour à tous.
Je voulais connaître les risques, même si ils me paraissent logique, de mettre un PC en direct derrière un Routeur en mode Bridge.
Et surtout que vous m'apportiez les moyens de pallier aux problèmes de sécurité que cela entraînes. Ports à bloquer sur le Firewall du PC
J'ai lu énormèment de choses sur le NET, mais je préfère me baser sur vos conseils.
Le but étant de pouvoir tout contrôler depuis le PC flux entrant et sortant, et ainsi prioriser, chose que ne me permet pas le routeur... trop brider.
J'ai 3 cartes ethernet : une en direct sur le routeur, une sur un switch pour les appareils connectés et la 3ème sur une xbox !
D'ailleurs, je voulais savoir également :
Sur un modem/routeur en mode routeur, le fait de décocher la case sécurité ou firewall, revient il au même, du point de vu sécurité, que de le mettre en mode bridge ?
(Modem/routeur sagemcom F@st 3284DC chez Red)
Le but étant de ne pas investir 200€ dans un routeur firewall si je peux le faire en direct avec le PC pour mon usage perso.
-
Salut,
Mes conseils :
Premièrement si tu veux faire ça ne le fait pas avec Windows mais sur un PC que tu dédie a ça avec une distribution linux : IPCop.
Deuxièmement en mode bridge ton PC est directement connecté a internet donc plus aucune sécurité.
Troisièmement en mode routeur si tu désactive le firewall sur le routeur il n'y a plus de firewall.
Les risque après c'est que le firewall de Windows c'est un passoire, si tu n'utilise pas quelque chose de dédier tu n'auras aucune sécurité.
-
j'ai moyen de trouvé une vielle bécane, après monter 2 cartes réseau gigabit c'est 10€ en espérant que la carte mère est de la place.
Quelle est la configuration minimal pour une bécane juste dédiée à ça ?
-
Pas besoin d'une grosse becan ...
un Pentium 4 avec 1Giga de ram et 50 giga de disque c'est largement suffisant.
-
Mets un vrai routeur derriere que tu peux gerer ca te coutera moins cher en electricite que de reutiliser un vieux PC.
Installer IPcop sur un pc ca le transforme en routeur donc je vois peu l'interet ...
De nos jours les routeurs se trouvent pour pas tres cher ...
-
Mets un vrai routeur derriere que tu peux gerer ca te coutera moins cher en electricite que de reutiliser un vieux PC.
Installer IPcop sur un pc ca le transforme en routeur donc je vois peu l'interet ...
De nos jours les routeurs se trouvent pour pas tres cher ...
Je suis partiellement d'accord avec toi.
Cependant la plus part des routeurs grand publique ne permette pas de faire de la QOS, ce que veut apparemment Fuzy.
-
UBNT ER-x routera tout ce qu'il veut pour 70€ max, et ca fonctionnera quelquesoit le provider.
Je suis sur qu'un P4 consomme plus que ca en 2ans voir 1an
-
J'avoue ne pas connaitre ce matériel.
Mais ca a l'aire vraiment pas mal :)
-
C'est la version pas cher de l'erl limitee a 500mb/s (pour faire simple).
C'est avec l'erl qu'on a reussi a bypasse toutes les box plus ou moins facilement, bref pour un bidouilleur c'est top.
Dans les bemols je dirais qu'il faut s'investir, c'est plutot ligne de commande (assez bien faite) que GUI pour les configuration particulieres
-
ERL ?
Hum tu as un lien ? je suis curieux
-
https://www.ubnt.com/edgemax/edgerouter-lite/
http://www.homelabs.fr/
https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/
et le meilleur site que j'ai trouve pour un achat groupe il y a un mois : http://www.eurodk.com/
-
Sur un modem/routeur en mode routeur, le fait de décocher la case sécurité ou firewall, revient il au même, du point de vu sécurité, que de le mettre en mode bridge ?
non le mode bridge laisse tout passer et ne fait pas de translation d'adresse (NAT). Le PC se retrouve avec une IP public directement sur sa carte Ethernet.
en mode routeur, le routeur ne laisse entrer que les flux qui correspondent a une demande interne et translate les addresses (NAT). Le PC a une IP privé sur sa carte Ethernet.
Windows a un mode 'réseau public' quand on configure la connexion réseau et ca verrouille le firewall un peu plus qu'en mode 'réseau privé'. Mais c'est quand meme pas recommandé de connecter un Windows directement en IP public sur le Net...
La priorisation sera de toute facon plus simple et possible à faire en mettant son propre routeur , style un ERL, que Windows qui n'a pas, de base, les fonctions pour faire ce la (pas simplement du moins). Bref Windows n'est pas un routeur de toute facon.
La priorisation peut impacter la performance du routeur et tout n'est pas toujours possible car on ne contrôle qu'une des extrémités du lien (coté utilisateur) et pas les 2. Pour faire de la vrai priorisation (QoS) il faut la main sur les 2 cotés (donc coté FAI aussi).
-
https://www.ubnt.com/edgemax/edgerouter-lite/
http://www.homelabs.fr/
https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/
et le meilleur site que j'ai trouve pour un achat groupe il y a un mois : http://www.eurodk.com/
Merci
-
Merci pour le retour !
Je vais étudier la solution sans me prendre le choux !
Mais à moindre frais, ça m'a l'air d'être la meilleur option !!!
-
Qu'est-ce qu'un routeur sinon un ordinateur spécialisé ? ;D
Je ne connaissais pas UBNT, mais j'ai fait des install avec des Soekris plus distribution spécialisée (m0n0wall ou pfSense) il y a quelques années qui marchaient tellement bien qu'elles n'ont été redécouvertes que quand la boîte a fait faillite...
-
Qu'est-ce qu'un routeur sinon un ordinateur spécialisé ? ;D
C'est pas faux :)
-
J'aurais bien aime un pfsense mais le cout du hardware m'a refroidi
-
Oui enfin il y a 15 ans il n'y avait que des modem, on ne parlait pas de routeur. C'était direct PC ==> NET et tu ne chopais pas plus de merdes.
Je ne vois pas en quoi ça serait dangereux, c'est l'interface "chaise/clavier" qui est le danger, routeur ou pas.
-
J'aurais bien aime un pfsense mais le cout du hardware m'a refroidi
Pour ma part j'ai recup le Hardware, manque plus que la ram pour tester.
-
Oui enfin il y a 15 ans il n'y avait que des modem, on ne parlait pas de routeur. C'était direct PC ==> NET et tu ne chopais pas plus de merdes.
Je ne vois pas en quoi ça serait dangereux, c'est l'interface "chaise/clavier" qui est le danger, routeur ou pas.
Il me semble que tu mets un bete PC sous windows firewall desactive et tu te prends des attaques dans les 24h, mais je n'ai jamais voulu tester
Tu as quoi comme hardware pour ton pfsense et a quel prix ?
-
Les risque après c'est que le firewall de Windows c'est un passoire,
en quoi?
si tu n'utilise pas quelque chose de dédier tu n'auras aucune sécurité.
vraiment?
-
Veuillez excuser ma méconnaissance en ce domaine mais j'ai une Freebox V5: il me semble bien qu'elle joue à la fois la fonction de routeur et de switch ! Sinon, quelle différence faites-vous entre les deux ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Je découvre plus haut l'éventualité de mettre un PC-fille de faible configuration entre le routeur et le PC-mère afin qu'il serve de routeur; j'avais déjà lu quelque part une installation analogue afin de faire du PC-fille un pare-feu. Personnellement, sur Win7, j'utilise le pare-feu de Comodo. Quelle est la meilleure solution ? Les deux sont-ils compatibles l'un avec l'autre ? (https://lafibre.info/images/smileys/Confus/Confus_36.gif)
Enfin, qu'entendez-vous par "mode bridge" ? (https://lafibre.info/images/smileys/Confus/Confus_18.gif)
Merci d'avance pour vos précisions.
-
Il y a le miniswitch Ethernet 4 ports.
Il y a le point d'accès Wifi (si activé par l'utilisateur).
Il y a la prise USB qui joue le rôle d'un port Ethernet (très lent).
Il y a le port Ethernet jaune.
Il y a un pont Ethernet qui relie tous ces éléments ensemble et à la Freebox qui peut être
- en mode (soi-disant) "bridge"
- en mode routeur
Donc tu as différents composants reliés entre eux.
Le "mode bridge" était le mode par défaut au départ, c'est le mode où ton PC obtient l'adresse IPv4 publique. Si un autre appareil est branché alors il récupère la même IP, en conflit avec le premier, donc on peut brancher qu'un seul appareil sur la box.
En mode routeur la Freebox fait un travail assez complexe de modification des adresses de terminaison TCP, UDP, etc.
Attention : le réglage pour IPv6 est indépendant. Il n'y a plus de "mode bridge" en IPv6, on peut juste activer "support IPv6" ou non, et la Freebox est toujours un routeur en IPv6.
-
Il y a le miniswitch Ethernet 4 ports.
Il y a le point d'accès Wifi (si activé par l'utilisateur).
Il y a la prise USB qui joue le rôle d'un port Ethernet (très lent).
Il y a le port Ethernet jaune.
Il y a un pont Ethernet qui relie tous ces éléments ensemble et à la Freebox qui peut être
- en mode (soi-disant) "bridge"
- en mode routeur
Donc tu as différents composants reliés entre eux.
Merci d'avoir pris la peine de me répondre: depuis 10 ans que j'en possède une, je connais les différents éléments de ma Freebox. Ce que j'aimerais comprendre, c'est comment tout cela fonctionne. (https://lafibre.info/images/smileys/Travail/travail_3.gif)
Le "mode bridge" était le mode par défaut au départ, c'est le mode où ton PC obtient l'adresse IPv4 publique. Si un autre appareil est branché alors il récupère la même IP, en conflit avec le premier, donc on peut brancher qu'un seul appareil sur la box.
En mode routeur la Freebox fait un travail assez complexe de modification des adresses de terminaison TCP, UDP, etc.
Attention : le réglage pour IPv6 est indépendant. Il n'y a plus de "mode bridge" en IPv6, on peut juste activer "support IPv6" ou non, et la Freebox est toujours un routeur en IPv6.
...Cela m'intéresse déjà un peu plus ! (https://lafibre.info/images/smileys/@GregLand/er.gif)
-
Comment ça fonctionne à quel niveau? Hard?
-
Comment ça fonctionne à quel niveau? Hard?
Au niveau "connard" climato-réaliste ! (https://lafibre.info/images/smileys/@GregLand/dk.gif)
-
#JeSuisUnConnard
-
en quoi?
vraiment?
Ben disons que Windows seul n'a jamais eu la prétention de faire du routage ... c'est pas vraiment fait pour.
linux de base tu as iptables qui est déjà capable de le faire ;)
-
Windows dispose d'une fonction partage de connexion, dont on ne sait pas ce qu'elle fait.
Mais d'un autre coté 90% des gens qui jouent avec iptables ne savent pas ce qu'ils font (et seraient incapables de décrire le fonctionnement de -j SNAT de façon même approximative).
-
Windows dispose d'une fonction partage de connexion, dont on ne sait pas ce qu'elle fait.
Mais d'un autre coté 90% des gens qui jouent avec iptables ne savent pas ce qu'ils font (et seraient incapables de décrire le fonctionnement de -j SNAT de façon même approximative).
Oui le partage de connexion Windows, une vaste histoire de pétage de plombs puis de gros mots hurlé très fort pour finir par acheter un modem routeur :).
Pour iptables je suis d'accord mais c’était un exemple :) après il y a des super GUI pour iptables qui aide bcp :)
-
Pas d'accord, la GUI ne peut que mettre du cliquant sur une interface dont le défaut n'est pas d'être textuelle mais de faire appel à des concepts incompréhensibles pour 90% des utilisateurs (comme le concept de "connexion").
D'ailleurs la plupart des ensembles de règles iptables que j'ai lu contenaient au moins une incohérence : quelque chose était bloqué à un niveau mais autorisé à un autre.
De toute façon iptables opère à un niveau qui n'est pas celui que l'immense majorité des administrateurs ont envie de manipuler. Il n'est utile de travailler à ce niveau que dans une poignée de cas.
La plupart des gens mettent des *NAT sans trop savoir ce qu'il font et ça marche avec beaucoup de "magie" derrière, mais qu'on ne me parle pas de neutralité du net après.
De façon plus général la plupart des informaticiens sont assez incompétents, et ça vaut aussi pour des chercheurs et des universitaires en général (et même pour à l'INRIA, où j'ai entendu des choses assez effarantes).
-
Pas d'accord, la GUI ne peut que mettre du cliquant sur une interface dont le défaut n'est pas d'être textuelle mais de faire appel à des concepts incompréhensibles pour 90% des utilisateurs (comme le concept de "connexion").
D'ailleurs la plupart des ensembles de règles iptables que j'ai lu contenaient au moins une incohérence : quelque chose était bloqué à un niveau mais autorisé à un autre.
De toute façon iptables opère à un niveau qui n'est pas celui que l'immense majorité des administrateurs ont envie de manipuler. Il n'est utile de travailler à ce niveau que dans une poignée de cas.
La plupart des gens mettent des *NAT sans trop savoir ce qu'il font et ça marche avec beaucoup de "magie" derrière, mais qu'on ne me parle pas de neutralité du net après.
De façon plus général la plupart des informaticiens sont assez incompétents, et ça vaut aussi pour des chercheurs et des universitaires en général (et même pour à l'INRIA, où j'ai entendu des choses assez effarantes).
Oui d'accord :) ....
D’où les distrips spécialisés ...