L'ouverture de port fait du SNAT vers le LAN et perd l'IP externe source

[Fabliv]

Bonsoir,

Ma configuration est la suivante :

La Freebox PRO n'ayant pas de mode bridge (que l'on attend avec impatience), je dois faire du double NAT en fixant l'adresse IP de ma passerelle et en la déclarant en DMZ selon la configuration préconisée par Free PRO, afin que tout le trafic Internet soit redirigé vers celle-ci. En effet, j'ai besoin d'une adresse LAN différente de celle proposée par la Freebox PRO (non modifiable), d'utiliser un masque autre que le /24 et de pouvoir gérer plusieurs VLAN.

Mon problème avec le firewall est donc le suivant (au delà du fait que le firewall ne laisse pas non plus passer tous les protocoles comme GRE, AH, ESP etc... voir l'issue #21) :

Il m'est impossible de faire du filtrage IP et lutter contre d'éventuelles attaques par brute force sur mes serveurs FTP, RDP etc... puisque toutes les demandes de connexion s'annoncent avec l'adresse privée de la Freebox PRO, soit 192.168.10.254. C'est un véritable problème de sécurité pour mon infra. Bien évidement, il m'est impossible de bloquer les demandes provenant de 192.168.10.254, auquel cas je bloque toutes les connexions provenant du WAN vers mes serveurs.

Avec une Livebox pro et la même configuration, les demandes de connexion s'annoncent bien avec les IP publiques de mes utilisateurs distants.

Est-il possible d'avoir un vrai firewall sur cette Freebox PRO, permettant la configuration d'une vraie DMZ ? Ou mieux, de nous proposer le mode bridge au plus vite ???

[Patrick93110]

Je suis dans la même attente pour la même raison.

Kevin Polizzi le patron de FreePro m’avait promis début juin sur Twitter que la DMZ serait dispo dans quelques jours, mais rien pour le moment.

[kgersen]

Il m'est impossible de faire du filtrage IP et lutter contre d'éventuelles attaques par brute force sur mes serveurs FTP, RDP etc... puisque toutes les demandes de connexion s'annoncent avec l'adresse privée de la Freebox PRO, soit 192.168.10.254. C'est un véritable problème de sécurité pour mon infra. Bien évidement, il m'est impossible de bloquer les demandes provenant de 192.168.10.254, auquel cas je bloque toutes les connexions provenant du WAN vers mes serveurs.

Avec une Livebox pro et la même configuration, les demandes de connexion s'annoncent bien avec les IP publiques de mes utilisateurs distants.

je ne vois pas comment les demandes provenant de l'exterieur peuvent "s'annoncer avec l'adresse privée de la Freebox PRO, soit 192.168.10.254" . Aucune ouverture de ports fonctionnerait sinon ...

vérifiez bien la configuration de votre passerelle en DMZ.

[tdml-fr]

Je confirme aussi l'impossibilité de faire du filtrage IP, exemple sur mon serveur UISP tout s'annonce avec l'adresse 192.168.10.254 Je n'avais pas ce problème avec le mode bridge de la FreeBox ou ma livebox PRO. Mon edgerouter 8 pro aussi ne peux plus faire de filtrage IP pour les mêmes raisons.

[kgersen]

c'est tellement gros que je pensais que vous faisiez une erreur... mais en vérifiant effectivement... c'est juste hallucinant.

La Freebox fait du SNAT coté LAN ... ce n'est pas spécifique au pseudo DMZ, meme une simple ouverture d'un port a ce problème...

exemple: ouverture du port 8080 vers un PC en 192.168.10.3
notation: source:port/destination:port
X.Y.Z.T: ip public de la freebox

A.B.C.D:25000/X.Y.Z.T:8080 ---> freepro --> 192.168.10.254:25000/192.168.10.3:8080 --> PC

au lieu de:

A.B.C.D:25000/X.Y.Z.T:8080 ---> freepro --> A.B.C.D:25000/192.168.10.3:8080 --> PC

il y a du DNAT (normal) et en plus du SNAT (anormal).

[Fabliv]

@kgersen, Bonjour Kirth, moi aussi je ne comprends pas pourquoi. C'est incroyable mais pourtant véridique.

Edit : Je viens de voir ta réponse et je comprends mieux pourquoi maintenant. Là, c'est vraiment un problème de sécurité critique plus que majeur, amha.

[Fabliv]

@kgersen, merci pour la modification du titre, bien plus explicite. ;)

[kgersen]

c'est dingue quand meme!

[mgerini]

@Fabliv @kgersen Ce problème a été identifié et est fixé dans la prochaine version du Firmware.

[Fabliv]

@mgerini, Bonjour Marc,

Merci de cette réponse. Kevin POLIZZI me l'a en effet annoncé en DM sur Twitter ce matin. Une idée du temps qu'il faudra patienter avant que vous ne poussiez les correctifs ? Je ne peux me permettre de faire patienter mes clients trop longtemps. et leur faire prendre un quelconque risque.

Pour le moment, j'ai annulé une installation le 5/07 via le ST et mes futures souscriptions auprès d'Aurélia au SC.

[mgerini]

@Fabliv , Bonjour Fabrice,

Une idée du temps qu'il faudra patienter avant que vous ne poussiez les correctifs ?

Le Firmware est en phase de testing pour l'instant, donc ça va arriver dans les jours/semaines à venir, le temps qu'on valide tout.

[Fabliv]

@mgerini, je viens d'avoir Marianna qui m'a appelé à la demande des Community Manager pour me faire un retour avec les correctifs et améliorations prévus en cours de test effectivement.

:)

[tdml-fr]

selon le support, dans semaines à venir... et une grosse mise à jour apparemment, (je pense qu'il vont traiter ce problème en même temps que le l'adressage réseau privé).

[Troublicious]

Quel est le métier de Free déjà ??? L'accès à un serveur derrière une Freebox Pro est quasiment impossible: lorsque j'arrive à me connecter en SSH (une fois sur deux), j'ai en quelques secondes un "client_loop: send disconnect: Broken pipe" C'est franchement hallucinant !

[mgerini]

@Fabliv , @kgersen , Un nouveau firmware est disponible et Fixe notamment le problème de SNAT Cordialement,

[Fabliv]

Bonsoir @mgerini, je m'en vais tester de ce pas.

Y a t-il une liste des correctifs et améliorations apportés par le firmware qui serait consultable ?

[Fabliv]

@mgerini, doit-on redémarrer électriquement la Freebox ? Car les connexions au serveur s'annoncent toujours avec l'IP 192.168.10.254

[rmanus]

Un reboot de la box est nécessaire pour qu'elle télécharge et mette à jour son firmware

[Fabliv]

Bonsoir @rmanus,

Je dois donc attendre demain puisqu'il n'y a pas d'option pour un reboot distant.

[Fabliv]

@mgerini, un retardataire au bureau m'a rebooté la Freebox, les connexions s'annoncent bien avec l'adresse IP publique source et non plus avec celle locale de la Freebox.

Est-il possible d'avoir une réponse à ma question précédente, à savoir la possibilité de consulter une liste des correctifs apportés par le firmware ? Et pourquoi pas une page officielle "Release Note" ?

Bonsoir @kgersen, je te laisse clore le sujet avec le tag idoine ? Ou l'on attend d'autres retours ?

[kaskoo]

Quelqu'un peut-il confirmer le résolution?

[Fabliv]

Bonjour @kaskoo, le sujet a été clôturé après confirmation de résolution. :)