Ports closed apres test sur grc.com

[stack]

Bonjour, j'utilise IPCOP depuis 3 ans maintenant, au debut avec un modem USB et depuis peu avec une NeufBOX.

Mon probleme vient que pour avoir le tél illimité, je suis obligé de passer la 9box en mode routeur,donc je la passe en routeur monoposte, et place mon IPCOP derriere. Et apres un test sur https://www.grc.com/x/ne.dll?bh0bkyd2 le port 0 et 1 apparaissent closed mais pas stealth.

D'apres 9telecom, en mode routeur monoposte tous les ports sont redirigés vers le Pc, cela voudrait donc dire que mon interface red a un probleme sauf que si je passe ma 9box en mode bridge (cad modem seulement) et en refaisant le test alors la tous mes ports sont stealth.

Voici ma config :

9box : @IP:192.168.1.1/24

IPcop Red : Mode Static => @IP 192.168.1.5/24 - DNS1 : 192.168.1.1 - GATEWAY: 192.168.1.1
IPCop Green : @IP192.168.10.1/24 - DHCP Diseable - Proxy activé mode transparent sur green port 800

PC : @IP192.168.10.10/24 - DNS1 : 192.168.10.1 - GATEWAY : 192.168.1.1


Le seul addons installé sur mon IPcop est Copfilter avec comme modules actif :

- Utilitaire de monitoring
- P3Scan
- SpamAssassin
- ClamAV
- Renattach
- RulesduJour


Donc si quelqu'un pouvait m'aider, ca m'aiderait beaucoup, merci !

[jdh]

Déjà bravo pour décrire la situation ! Nous apprécions tous d'avoir quelques infos pour bien comprendre le contexte.

Ayant un neufbox (une vielle Trio2), je ne pense pas qu'il soit nécessaire de la passer en mode routeur pour avoir le téléphone illimité. Perso j'ai le tél illimité et la TV et la Trio2 est en pridge. (J'ai du réfléchir un peu pour mettre en route MP9 dans cette config mais j'y suis arrivé en .. 10 minutes).

Un IPCOP est un firewall qui "masque" les PC en Green ou en Orange : c'est donc lui aussi un routeur. Mais par rapport à un simple routeur, il sait fermer ou ne pas faire apparaitre les ports qu'il veut.

Dans ta config je suppose que tu as voulu écrire "PC : @IP192.168.10.10/24 - DNS1 : 192.168.10.1 - GATEWAY : 192.168.10.1". A ceci près (et c'est une coquille) tu as tout bon avec une neufbox en mode routeur. Bravo !

Maintenant, c'est la neufbox qui est "en première ligne" sur Internet puisqu'elle en mode routeur. Ferme-t-elle ou cache -t-elle tous les ports qu'elle ne renvoie pas sur l'IPCOP. Je l'ignore mais cela a -t-il de l'importance ? (puisque derrière il y a un IPCOP bien configuré ... avec un BOT que j'ajouterais)

Je voudrais juste noter qu'il vaut mieux router les ports dont on a besoin plutot que la jouer facile en renvoyant TCP/1-65535 et UDP/1-65535 vers l'IPCOP. Bien que cela fonctionne c'est un peu laxiste et juste contradictoire avec l'envie de mettre en route un IPCOP.

En définitive, j'aurais envie de te dire "c'est tout bon" et en plus je ne vois pas bien à quoi correspond le port 0 ou 1.

(En plus je ne peux passer ma Trio2 en routeur).

[stack]

Oui, j'ai bien fait une coquille lors de la frappe de la passerelle.

J'ai oublié de dire que ma neufbox est une Trio3D, avant de la passer en mode "routeur monoposte" elle était bien en "mode bridge" (et mes ports étaient tous Stealth sur grc) et que le voyant de la phonie ne s'allumait pas, au bout de 6 semaines d'attente, en contactant le service technique ils m'ont dit qu'il fallait la passer en mode routeur monoposte pour bénéficier du tel illimité, ce que j'ai fait et qui marche maintenant.

Quant tu dit "Je voudrais juste noter qu'il vaut mieux router les ports dont on a besoin plutot que la jouer facile en renvoyant TCP/1-65535 et UDP/1-65535 vers l'IPCOP. Bien que cela fonctionne c'est un peu laxiste et juste contradictoire avec l'envie de mettre en route un IPCOP." je ne comprends pas trop, ce n'est pas moi qui renvoit les ports, apparament la 9box est comme ca et j'y peux rien par contre mon envie de de mettre en route un IPCOP est legitme vu que je n'ai pas confiance en la 9box.

Le port 0 est réservé est le port 1 est TCPmux, je pensais donc que vu que le port 1 est TCPmux il était utilisé pour la phonie et que pour cela il n'était pas stealth.

Enfin d'après toi ma config est bonne et je ne devrais pas m'inquiéter plus que ca, je le pensais aussi mais voulais une confirmation de quelqu'un d'autre qui a l'habitude d'utiliser IPCOP. Et donc que la 9box à bien un problème de sécurité, du moins la mienne, je te remercie donc pour tes conseils

Si d'autres personnes ont un avis, je suis preneur !

[jmripert]

Essaie de désactivé le mode transparent du proxy.

Je dirai (sans connaître la téléphonie made in FAI ) que la connexion doit être "directe" pour ce service... Sur ton poste tu dois avoir dans ta config réseau l'adresse de ta passerelle...

[stack]

Quand tu dis "Sur ton poste tu dois avoir dans ta config réseau l'adresse de ta passerelle...", c'est bien ce que j'ai il me semble, ma passerelle étant IPCOP avec comme adresse sur GREEN : 192.168.10.1.

Je vais quand meme essayer de désactiver le proxy, voir ci cela change quelque chose...

[Stirner]

Salut,

jmripert :
[url]
Essaie de désactivé le mode transparent du proxy.

Je dirai (sans connaître la téléphonie made in FAI Embarassed ) que la connexion doit être "directe" pour ce service... Sur ton poste tu dois avoir dans ta config réseau l'adresse de ta passerelle...[/url]

J'avoue avoir du mal à comprendre ta proposition. Le proxy ne sert que pour les connexion via le port 80, il n'y a à priori pas d'interaction avec le port de com pour la VOIP. De plus l' Ipcop ce trouvant derrière la 9Box je comprend mal comment il pourrait influencer cette dernière.


@+

[stack]

Ben, j'ai desactivé le proxy, et c'est bien ce que je pensais, ca n'a servi à rien, le port 0 et 1 toujours closed.

Une autre idée peut-etre, avant que je considere difinitivement que ma 9box est trouée ?

[Franck78]

Une autre idée peut-etre, avant que je considere difinitivement que ma 9box est trouée ?

Que veut dire cette question ?
Pendant 3 ans tu utilises IPCop, donc implicitement, tout ce qui ce trouve du coté rouge n'est pas considéré comme 'ami'. Aujourdh'ui tu remplaces le cable téléphone (un vrai filtre passe tout, aucun port bloqué) par 'une boite noire'.
Ou est le problème? Elle ne peut pas faire 'pire' que le filtre passe tout hein ? Elle détourne à son profit deux ports? So what? Tu possèdes un serveur qui écoute ces ports ? Non. La (toutes) 9box sans doute oui et pour le compte du FAI bien entendu.

Si vraiment tu ne supportes pas de savoir ce que fait 9 dans la 9box, il faut que tu trouves un moyen de brancher une bretelle ADSL surta ligne. Pas facile. Et pas sur que ca se passe en clair et encore moins sur que ce soit intéressant.

Maintenant considère ta 9box comme trouée. Et quoi ? Tu avais oublié de régler ton firewall peut être? Non. Dans tous les cas, elle n'est pas dans la zone de confiance.

Tu as passé ton test (grc) sur IPCop (9box bridge)
Tu as passé ton test sur 9box routeur (et donc pas sur IPCop)

bye

[jmripert]

Salut,

jmripert :
[url]
Essaie de désactivé le mode transparent du proxy.

Je dirai (sans connaître la téléphonie made in FAI Embarassed ) que la connexion doit être "directe" pour ce service... Sur ton poste tu dois avoir dans ta config réseau l'adresse de ta passerelle...[/url]

J'avoue avoir du mal à comprendre ta proposition. Le proxy ne sert que pour les connexion via le port 80, il n'y a à priori pas d'interaction avec le port de com pour la VOIP. De plus l' Ipcop ce trouvant derrière la 9Box je comprend mal comment il pourrait influencer cette dernière.

@+

Alors mon idée (à tout les coups je suis à la ramasse...), le mode transparent du proxy renvoit toutes les connexions sur le port 80, histoire de filtrer toutes les connexions de manière transparente... Je suis plutôt ou plutôt ou encore .

Et en fait, pour revenir à la question de base (car j'étais pas trop dedans), idem que Franck78... Dans les 2 cas, tu as toujours ton ipcop qui protège, alors ce que fait ou ne fait la 9box...

[stack]

Tout à fait d'accord avec vous 2, Franck78 et jmripert, ce qui se passe du coté 9box je n'y peux rien et comme tu dis elle ne fait pas partie de la zone de confiance, mais je voulais aussi savoir par la meme occasion si d'autres personnes qui utilisent une 9box(avec telephonie illimité) et un IPCOP ont dejà eu ce "probleme" qui n'en est pas vraiment un je le reconnais.

Encore merci pour vos messages.