Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe ma connexion

Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant

Kaywine
contributeur occasionnel
1 817  

Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant

Bonjour,

 

D'après mes tests, le pare-feu en mode IPv4 ne filtre que le trafique sortant.
Par défaut (sans règle), il bloque le trafique sortant uniquement et autorise le trafique entrant.

 

Alors que le pare-feu en mode IPv6 filtre le trafique sortant et entrant.
Par défaut (sans règle), il bloque le trafique sortant et entrant.

 

Ma config

---------------------------------------
Sur une Livebox 4, dans "Pare-feu" et avec le paramètre de "Niveaux de sécurité" à "Personnalisé".

Dans mon LAN j'ai plusieurs machines.
Une machine de mon LAN à son port 1234 qui est en écoute.
Disons que ce port 1234 est un web server.

Dans le NAT j'ai le port 1234 qui est redirigé vers les port 1234 de ma machine.


Observations pare-feu IPv4
---------------------------------------
Si on supprime toutes les règles coté firewall v4, on n'a plus accès à Internet du tout depuis le LAN.
Aucune page ne se charge, ainsi que les services sur des ports customs à l'exterieur ne peuvent être atteint.

 

Mais, si une machine à l'exterieur, tente d'acceder à l'IP de la box + port 1234, cela marche.
Donc, j'en conclus que le firewall IPv4 ne bloque que le sortant. Pas l'entrant.

 

Pour aller plus loin, j'ai crée une règle dans le pare-feu V4, pour refuser un port en particulier.
Port destination = 1234
Action = Refuser

 

Et même avec cette interdiction, le port est toujours accessible depuis l'exterieur.
Ainsi, j'en conclus que le firewall IPv4 de la Livebox 4, ne filtre que les flux sortant.
Ce pare-feu semble se reposer sur le NAT pour "refuser" les connexions entrantes par défaut... c'est pas bien.
C'est mal. Le NAT c'est pas fait pour ça.

 

Est-ce un bug ? Étrange en tout cas, ce n'est pas le comportement que moi j'attends.
Je m'attends à ce que le pare-feu filtre le sortant et entrant et que sans règle le traffique soit bloqué par défaut.


Observations pare-feu IPv6
---------------------------------------
Si on supprime toutes les règles coté firewall v6, on n'a plus accès à Internet du tout depuis le LAN.
Aucune page ne se charge, ainsi que les services sur des ports customs à l’extérieur ne peuvent être atteint.
Pour l'instant on a la même chose qu'avec le pare-feu v4.

 

Mais ici par contre, même les machines de l'extérieur ne peuvent atteindre les IPv6 dans le LAN.
Pas de bug, cela semble normal et être le comportement attendu.

 

Pour aller plus loin, j'ai crée une seule règle dans le pare-feu V6 pour autoriser seulement le trafique sortant.
Intervalle adresse IP source = XXXX:XXXX:XXX:XXXX::/56
Port destination = 1-65535
Action = Accepter

 

L'IP source est mon préfixe IPv6.

De cette manière je dis "tout ce qui provient de mon LAN, peut sortir sur n'importe quel port".
Cela fonctionne.
Mes machines depuis mon LAN accède à l'exterieur.
Très bien.

 

De l'extérieur, toujours rien, on n'accède pas aux machines de mon LAN.

 

Et maintenant pour autoriser l'extérieur à se connecter à une machine de mon LAN, j'ajoute une deuxième règle.
Intervalle adresse IP destination = XXXX:XXXX:XXX:XXXX::/56
Port destination = 1234
Action = Accepter

 

Et là aussi, cela marche comme attendu.
L’extérieur peut se connecter à n'importe quelle machine de mon LAN en IPv6 sur le port 1234.

 

Conclusion

---------------------------------------

Du coup, de mon point de vue, le pare-feu IPv6 de la Livebox 4 fonctionne correctement.
Mais ce n'est pas le cas du pare-feu IPv4.

 

Pouvez-vous me confirmer
- soit qu'il y à soit un bug coté pare-feu v4,
- soit que c'est normal et que le fonctionnement du pare-feu IPv4/IPv6 ne soit pas symétrique ?

 

Avez-vous remarqué le même comportement ?

 

Merci !

4 RÉPONSES 4
HiSpeed
super fan
super fan
1 804  

Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant

Bonjour @Kaywine 

 

Quelle est la version du firmware de la Livebox 4, car elle vient d'être mise à jour ?

 

----

“Il n’existe que deux choses infinies, l’univers et la bêtise humaine...” Albert Einstein
Kaywine
contributeur occasionnel
1 795  

Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant

Bonjour @HiSpeed 

Version de firmware 3.73.10
Version de firmware Orange g0-f-sip-fr

 

EDIT: "La mise à jour n'est pas nécessaire, vous disposez déjà de la dernière version logicielle."

HiSpeed
super fan
super fan
1 756  

Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant

@Kaywine 

 

C'est bien la dernière version pour laquelle j'ai ouvert un fil : ici !

 

Étant donné la pauvreté du firmware des Livebox (c'est un euphémisme gentil), j'utilise un routeur Netgear derrière la mienne.

Les développeurs de Sagemcom/Sercomm étant incompétents pour écrire correctement ou corriger le firmware, je n'ai pas trouvé de meilleure solution...

 

----

“Il n’existe que deux choses infinies, l’univers et la bêtise humaine...” Albert Einstein
Kaywine
contributeur occasionnel
1 747  

Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant

Yep

 

Après avoir parcouru pas mal ces forums ici, les solutions sont souvent sous les formes suivantes:

- "Tu n'as pas besoin du pare-feu perso, tu sais pas faire, tu te prends pour un techos, etc."

ou

- "La Livebox c'est un produit grand publique pour Mme Michou, ça fait pas les trucs compliqués, branche un vrai routeur."

 

¯\_(ツ)_/¯

Bon après c'est pas grave, la Livebox marche, et le NAT IPv4 "remplace" grosso modo le manque de filtrage entrant du pare-feu perso IPv4. C'est pas ouf, pas élégant, ça peut laisser passer des failles niveau NAT au lieu de bloquer direct en amont par le pare-feu.

Mais bon, c'est comme ça.

Vous avez une question ?

Interrogez la communauté

Déjà 753035 membres inscrits 🧡

2823 personnes actuellement en ligne

Tous les membres en ligne