- Communauté Orange
- ➔
- internet & fixe
- ➔
- ma connexion
- ➔
- Livebox 4 : le pare-feu personnalisé IPv4 ne filtr...
Vous avez une question ?
Interrogez la communautéLivebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant
- S'abonner au fil RSS
- Marquer le sujet comme nouveau
- Marquer le sujet comme lu
- Placer ce Sujet en tête de liste pour l'utilisateur actuel
- Marquer
- S'abonner
- Page imprimable
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant
Bonjour,
D'après mes tests, le pare-feu en mode IPv4 ne filtre que le trafique sortant.
Par défaut (sans règle), il bloque le trafique sortant uniquement et autorise le trafique entrant.
Alors que le pare-feu en mode IPv6 filtre le trafique sortant et entrant.
Par défaut (sans règle), il bloque le trafique sortant et entrant.
Ma config
---------------------------------------
Sur une Livebox 4, dans "Pare-feu" et avec le paramètre de "Niveaux de sécurité" à "Personnalisé".
Dans mon LAN j'ai plusieurs machines.
Une machine de mon LAN à son port 1234 qui est en écoute.
Disons que ce port 1234 est un web server.
Dans le NAT j'ai le port 1234 qui est redirigé vers les port 1234 de ma machine.
Observations pare-feu IPv4
---------------------------------------
Si on supprime toutes les règles coté firewall v4, on n'a plus accès à Internet du tout depuis le LAN.
Aucune page ne se charge, ainsi que les services sur des ports customs à l'exterieur ne peuvent être atteint.
Mais, si une machine à l'exterieur, tente d'acceder à l'IP de la box + port 1234, cela marche.
Donc, j'en conclus que le firewall IPv4 ne bloque que le sortant. Pas l'entrant.
Pour aller plus loin, j'ai crée une règle dans le pare-feu V4, pour refuser un port en particulier.
Port destination = 1234
Action = Refuser
Et même avec cette interdiction, le port est toujours accessible depuis l'exterieur.
Ainsi, j'en conclus que le firewall IPv4 de la Livebox 4, ne filtre que les flux sortant.
Ce pare-feu semble se reposer sur le NAT pour "refuser" les connexions entrantes par défaut... c'est pas bien.
C'est mal. Le NAT c'est pas fait pour ça.
Est-ce un bug ? Étrange en tout cas, ce n'est pas le comportement que moi j'attends.
Je m'attends à ce que le pare-feu filtre le sortant et entrant et que sans règle le traffique soit bloqué par défaut.
Observations pare-feu IPv6
---------------------------------------
Si on supprime toutes les règles coté firewall v6, on n'a plus accès à Internet du tout depuis le LAN.
Aucune page ne se charge, ainsi que les services sur des ports customs à l’extérieur ne peuvent être atteint.
Pour l'instant on a la même chose qu'avec le pare-feu v4.
Mais ici par contre, même les machines de l'extérieur ne peuvent atteindre les IPv6 dans le LAN.
Pas de bug, cela semble normal et être le comportement attendu.
Pour aller plus loin, j'ai crée une seule règle dans le pare-feu V6 pour autoriser seulement le trafique sortant.
Intervalle adresse IP source = XXXX:XXXX:XXX:XXXX::/56
Port destination = 1-65535
Action = Accepter
L'IP source est mon préfixe IPv6.
De cette manière je dis "tout ce qui provient de mon LAN, peut sortir sur n'importe quel port".
Cela fonctionne.
Mes machines depuis mon LAN accède à l'exterieur.
Très bien.
De l'extérieur, toujours rien, on n'accède pas aux machines de mon LAN.
Et maintenant pour autoriser l'extérieur à se connecter à une machine de mon LAN, j'ajoute une deuxième règle.
Intervalle adresse IP destination = XXXX:XXXX:XXX:XXXX::/56
Port destination = 1234
Action = Accepter
Et là aussi, cela marche comme attendu.
L’extérieur peut se connecter à n'importe quelle machine de mon LAN en IPv6 sur le port 1234.
Conclusion
---------------------------------------
Du coup, de mon point de vue, le pare-feu IPv6 de la Livebox 4 fonctionne correctement.
Mais ce n'est pas le cas du pare-feu IPv4.
Pouvez-vous me confirmer
- soit qu'il y à soit un bug coté pare-feu v4,
- soit que c'est normal et que le fonctionnement du pare-feu IPv4/IPv6 ne soit pas symétrique ?
Avez-vous remarqué le même comportement ?
Merci !
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant
Bonjour @Kaywine
Quelle est la version du firmware de la Livebox 4, car elle vient d'être mise à jour ?
----
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant
Bonjour @HiSpeed
Version de firmware 3.73.10
Version de firmware Orange g0-f-sip-fr
EDIT: "La mise à jour n'est pas nécessaire, vous disposez déjà de la dernière version logicielle."
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant
C'est bien la dernière version pour laquelle j'ai ouvert un fil : ici !
Étant donné la pauvreté du firmware des Livebox (c'est un euphémisme gentil), j'utilise un routeur Netgear derrière la mienne.
Les développeurs de Sagemcom/Sercomm étant incompétents pour écrire correctement ou corriger le firmware, je n'ai pas trouvé de meilleure solution...
----
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Livebox 4 : le pare-feu personnalisé IPv4 ne filtre que les flux sortant
Yep
Après avoir parcouru pas mal ces forums ici, les solutions sont souvent sous les formes suivantes:
- "Tu n'as pas besoin du pare-feu perso, tu sais pas faire, tu te prends pour un techos, etc."
ou
- "La Livebox c'est un produit grand publique pour Mme Michou, ça fait pas les trucs compliqués, branche un vrai routeur."
¯\_(ツ)_/¯
Bon après c'est pas grave, la Livebox marche, et le NAT IPv4 "remplace" grosso modo le manque de filtrage entrant du pare-feu perso IPv4. C'est pas ouf, pas élégant, ça peut laisser passer des failles niveau NAT au lieu de bloquer direct en amont par le pare-feu.
Mais bon, c'est comme ça.