Aller au contenu principal
Sujet: YAST FIREWALL QUE 2 ONGLETS ? (Lu 7554 fois) sujet précédent - sujet suivant

YAST FIREWALL QUE 2 ONGLETS ?

Bonjour,
Quelqu'un sait pourquoi dans opensuse leap 15.2 => yast/firewall il n'y que les onglets services et ports ? Je vois pas les onglets sources / ipsets ...
Cela m'oblige a creuser la mise en place en ligne de commandes par moi même, et prends un temps fou à s'approprier les règles à mettre en place.
Je cherche simplement a avoir une regle pour plusieurs adresses locales, car je n'ai qu'une interface réseau et si je ne fais pas cela je dois ouvrir les ports ( par exemple samba ) sur la zone externe. J'ai plein de tentatives d'attaques SMB, et je ne veux pas ouvrir SMB au reste du monde mais que sur le réseau local.
D'avance merci.

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #1
Bonjour ricolo,

oui le réglage de firewalld via l'interface graphique Yast2 est succincte.

Installe "firewall-config" et si tu veux un icone dans ta barre "firewall-applet":
sudo zypper in firewall-config firewall-applet 
Tu te délogues, tu te relogues, dans ton menu tu auras un programme 'firewall', c'est assez complet, standard sur toutes les distributions avec firewalld (pas ubuntu out of the box, pour eux c'est ufw).

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #2
Super, merci beaucoup Denebe ! J'avais cherché mais avec firewalld comme mot clé....

Cela ne change pas le firewall depuis Yast qui s'appelle "firewall" et qui a toujours que 2 onglets (peut-être besoin de reboot? je me suis pas encore délogué non plus), mais peu importe j'ai bien un nouveau programme qui apparait et qui s'appelle maintenant "pare feu". Celui-là présente bien tous les onglets. C'est un peu plus facile pour configurer ;) . Et l'avantage c'est que maintenant je maîtrise un peu mieux les lignes de commandes firewalld au cas ou :D

Par contre je me demande l'applet il est ou ? Est ce que c'est celui là ( celui qui s'appelle maintenant pare-feu avec tous les onglets ) ? Ou bien il y a t-il  encore un applet, je pensais à un genre de monitoring des audits FW dans la barre des taches par  exemple.

Et question pourquoi OpenSuse ne livre pas directement le firewalld complet dans yast ? Je n'en comprends pas l'intérêt...

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #3
Il est là l'applet, enfin l’icône:

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #4
Ha oui, après reboot (pour autre raison)  il est apparut. Merci encore Denebe.!
En mouseOver il bugg un peu ( voir copie écran, des <br> apparaissent... ) , mais en cliquant dessus l'affichage est normal. On voit les interfaces, les ipSet, et on peut passer en zone Bloc avec clic droit/Protections activées. Super, nickel.

Alors tant que l'on est sur le sujet, si quelqu'un sait, je creuse un peu et je me demande comment fonctionne SuSEfirewalld2 ( et ou est sa GUI ) ? Je viens de faire un test et en lançant SuSEfirewalld2, et il arrête firewalld et son applet et vice versa. Donc apparemment on ne peut pas avoir les 2 en même temps.
Apparemment SuSEfirewalld2 il est lié a fail2ban (ou l'inverse), sauf que les fameuses règles de blocage générées par fail2ban elles sont ou? Sauf erreur Je ne les retrouve ni dans firewwald, ni dans iptables ( mais peut-être parce que justement j'ai arrêté SuSEfirewalld2 ?).

Il y a sans doute quelque chose qui m'échappe, j'aurais besoin d'un peu de lumière pour mieux maîtriser mon réseau,


Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #5
Tu penses à ça ?
thierry@toto-PC:~> sudo zypper info susefirewall2-to-firewalld
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...


Informationen zu Paket susefirewall2-to-firewalld:
--------------------------------------------------
Repository         : Haupt-Repository
Name               : susefirewall2-to-firewalld
Version            : 0.0.4-3.9.1
Arch               : noarch
Anbieter           : SUSE LLC <https://www.suse.com/>
Installierte Größe : 87,4 KiB
Installiert        : Nein
Status             : nicht installiert
Quellpaket         : susefirewall2-to-firewalld-0.0.4-3.9.1.src
Zusammenfassung    : Basic SuSEfirewall2 to FirewallD migration script
Beschreibung       :
    This is a simple bash script aiming to provide a basic migration path from
    SuSEfirewall2 to FirewallD.
C'était du temps où firewalld est arrivé dans Leap 15 (voir Opensuse 42.x) alors qu'il y avait encore susefirewall2, le firewall d'Opensuse d'alors.

Ce petit script servait. comme indiqué, pour migrer facilement vers firewalld… Je ne l'ai jamais utilisé, je pense qu'il s'agissait de migrer des règles de pare-feu.

Aujourd'hui, il ne sert plus à rien.

## Quant à l'applet firewalld, oui l'affichage est un peu buggy chez moi aussi, sauf quand je clique dessus aussi.

@edit: susefirewall2 (sans le d) est l'ancien firewall, avant firewalld.

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #6
Merci Denebe pour cette réponse, je comprends mieux on peut oublier SuSEFirewall2, mais il vient encore par défaut dans leap 15.x et notamment quand on veut installer fail2ban :    .
A moins que ce ne soit qu'un plugin indépendant en fait.

Bon j'ai creusé un peu, et grâce a webmin, je comprends que fail2ban peut adresser une action vers n'importe quel firewall, iptables, nftables, firewalld, shorewall....Mais pas de SuSEFirewall2 dans la liste ( ce doit être normal, que webmin et fail2ban ne connaissent pas SuSEfirewal2 spécifique a Suse et obsolete).

Étonnant que Leap continue à le proposer par défaut, c'est pas grave mais ça embrouille un peu...

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #7
Étonnant que Leap continue à le proposer par défaut, c'est pas grave mais ça embrouille un peu...
Peut-être as-tu trifouiller ta machine ??

Chez moi, sur deux machines avec Leap 15.3 saines (avec très peu de dépôts externes), si je veux installer fail2ban il ne m'est pas demandé d'installer SuSEfirewall2… (je n'ai pas de Tumbleweed sous la main maintenant)


Fais voir ce que donne
sudo zypper se firewall
se=search…

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #8
Bonjour Denebe,

Si tu veux vérifier il faut faire un
zipper info fail2ban 
ou
zypper search fail2ban
et voir les packages qu'il te propose, et non pas
 zypper se firewall
, je pense.

Tu peux essayer voir si tu retrouves les même dépendances que moi ?

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #9
@ricobolo
Je souhaitais, pour t'aider, avoir le retour d'une commande, que tu n'as toujours pas fourni. À partir de là…
Je n'ai aucun soucis chez moi.

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #10
Salut denebe,

Voilà  la commande sudo zypper se firewall

edport:~ # sudo zypper se firewall
Loading repository data...
Reading installed packages...

S  | Name                       | Summary                                                             | Type
---+----------------------------+---------------------------------------------------------------------+-----------
   | SuSEfirewall2              | Stateful Packet Filter Using iptables and netfilter                 | package
   | SuSEfirewall2-fail2ban     | Files for integrating fail2ban into SuSEfirewall2 via systemd       | package
i+ | firewall-applet            | Firewall panel applet                                               | package
i+ | firewall-config            | Firewall configuration application                                  | package
i  | firewall-macros            | FirewallD RPM macros                                                | package
i+ | firewalld                  | A firewall daemon with D-Bus interface providing a dynamic firewall | package
i  | firewalld-lang             | Translations for package firewalld                                  | package
   | firewalld-rpcbind-helper   | Tool for static port assignment of NFSv3, ypserv, ypbind services   | package
i  | python3-firewall           | Python3 bindings for FirewallD                                      | package
   | susefirewall2-to-firewalld | Basic SuSEfirewall2 to FirewallD migration script                   | package
   | susefirewall2-to-firewalld | Basic SuSEfirewall2 to FirewallD migration script                   | srcpackage
i  | yast2-firewall             | YaST2 - Firewall Configuration                                      | package
   | yast2-firewall             | YaST2 - Firewall Configuration                                      | srcpackage

Mais je n'ai pas désinstallé SuSEfirewall2.

Pour l'essentiel j'ai à peu près résolu mes problèmes. J'ai fail2ban qui bloque des ip externes sur samba, mais on ne les voit pas les règles de blocage dans firewalld ( ce qui est étonnant ou qui m’échappe ) mais on les voit bien dans iptables -L.
J'ai réussi a installer munin, et je ne savais pas qu'il avait un graphe pour fail2ban. Grace au graphe je vois un peu mieux ce qui se passe, et j'ai quand même banni 2300 IP en 24heures rien que sur samba.
Mais comme je n'ai qu'une carte réseau je n'arrive pas a bloquer les ports 445/139/138 d'un point de vue du routeur (ip publique) sans bloquer le local, je crois que ce n'est pas possible. C'est a dire que si j'autorise pas le service samba sur mon interface reseau, j'ai plus de samba local. J'ai essayé de désactiver le partage freebox, mais c'est pareil, on atteint ma machine en 445 depuis l’extérieur.
Et d'ailleurs les ports ne sont a ma connaissance pas redirigés  depuis le routeur (freebox) sur cette machine,  seul les ports 80,443 sont redirigés, c'est pour ça que je ne comprends pas que ces ip atteignent ma machine. J'ai même fait une redirection factice depuis le routeur, c'est à dire vers une ip qui n'existe pas, mais j'ai toujours autant de visites indésirables... Mais bon heureusement fail2ban + le firewalld plus la config de samba semble bien bloquer tout ce monde, sans me bloquer moi en local.
SuSEfirewall2 dans tout ça ? Il est désactivé.




Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #11
edport:~ # sudo zypper se firewall
Loading repository data...
Reading installed packages...

S  | Name                       | Summary                                                             | Type
---+----------------------------+---------------------------------------------------------------------+-----------
   | SuSEfirewall2              | Stateful Packet Filter Using iptables and netfilter                 | package
On voit que susefirewall2 n'est pas installé, parfait.

Pour l'essentiel j'ai à peu près résolu mes problèmes. J'ai fail2ban qui bloque des ip externes sur samba, mais on ne les voit pas les règles de blocage dans firewalld ( ce qui est étonnant ou qui m’échappe ) mais on les voit bien dans iptables -L.
Je n'en sais pas plus. Je sais juste que firewalld, iptables et nftables tournent  dans l'espace utilisateur et permettent de fournir des règles pare-feu à Netfilter, qui lui est le parefeu dans l'espace noyau.
"firewalld is a firewall management tool for Linux operating systems. It provides firewall features by acting as a front-end for the Linux kernel's netfilter framework. firewalld's current default backend is nftables. Prior to v0.6.0, iptables was the default backend.[2] Through its abstractions firewalld acts as an alternative to nft and iptables command line programs."
J'ai réussi a installer munin, et je ne savais pas qu'il avait un graphe pour fail2ban. Grace au graphe je vois un peu mieux ce qui se passe, et j'ai quand même banni 2300 IP en 24heures rien que sur samba.
Je ne connaissais, ça a l'air intéressant et pratique.
Mais comme je n'ai qu'une carte réseau je n'arrive pas a bloquer les ports 445/139/138 d'un point de vue du routeur (ip publique) sans bloquer le local, je crois que ce n'est pas possible.
C'est a dire que si j'autorise pas le service samba sur mon interface reseau, j'ai plus de samba local. J'ai essayé de désactiver le partage freebox, mais c'est pareil, on atteint ma machine en 445 depuis l’extérieur.
Hum, cela fait un moment que je n'ai pas eu de Freebox sous la main. Une Freebox, c'est un routeur / pare-feu /switch.
Le pare-feu d'une box permet au minimum d'autoriser ou de bloquer ce qui vient de l'extérieur (d'internet), entre deux réseaux…
Par contre, ce pare-feu n'agit pas sur le switch (tes 4 ports ethernet + le wifi), tous les paquets transitant par ton switch ne sont pas traités, ils arrivent sur ton switch, et ton switch les orientent vers le bon port (eth0, eth1, eth2… ; il ne s'agit pas des ports de la couche transport…) grâce à l'adresse MAC du paquet, et grâce à sa table CAM i.e. vers l' "ordinateur destination".

Et d'ailleurs les ports ne sont a ma connaissance pas redirigés  depuis le routeur (freebox) sur cette machine,  seul les ports 80,443 sont redirigés, c'est pour ça que je ne comprends pas que ces ip atteignent ma machine. J'ai même fait une redirection factice depuis le routeur, c'est à dire vers une ip qui n'existe pas, mais j'ai toujours autant de visites indésirables... Mais bon heureusement fail2ban + le firewalld plus la config de samba semble bien bloquer tout ce monde, sans me bloquer moi en local.
1) Oui ce n'est pas normal. Il y a une couille dans le potage. (dans ta config, chez toi…)

C'est quoi comme Freebox ?

Il faut inspecter les paquets arrivant vers ton serveurs samba (tcp 445), trouver les ip sources de ces paquets, quelques-une. Et ensuite, aviser. Qui sait, si cela se trouve, ce sont des ip locals ??
Tu peux faire cela en installant un "sniffer" sur ton serveur samba. Le plus connu en gui: wireshark (à démarrer en cli admin - pas avec sudo). Sinon avec tcpdump en cli.

Par exemple, j'ai une imprimante/scaner réseau. Quand je scanne en réseau de mon imprimante, elle va se connecter sur le serveur samba de mon ordinateur, et en ainsi envoie le scan vers un dossier de mon ordinateur. Avec le sniffer, je vois très bien ce qui se passe:

C'est mon imprimante ipsource: 192.168.0.94 qui veut se connecter mon serveur samba port-dest:445 tcp

Peux-tu donner quelques ip sources qui se connectent à ton serveur samba ? (celles qui te semblent suspects)
Histoire d'y voir un peu clair.

2) sinon, il existe une solution pour établir des règles de pare-feu qui fonctionnent, pour l'ordi du serveur samba.
Il est important de comprendre que les règles de pare-feu ont un ordre, ainsi si tu insères ces règles dans cet ordre dans l'ordinateur où tourne ton serveur samba, cela fonctionnera comme convenu:
  • accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.x
  • accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.y
  • accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.z
  • refuser tous les paquets en input avec le port-destination 445, protocol tcp
=> tu laisses passer tout ce qui est local (en input), puis tu bloques tout le reste ! (port-dest: tcp 445…)
Sinon tu peux accepter une plage d'ip 192.168.0.0/24 par exemple…

SuSEfirewall2 dans tout ça ? Il est désactivé.
Oui  ;)

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #12
J'ai essayé cette règle iptables, ça a l'air de fonctionner:
iptables -I INPUT ! -s 192.168.0.0/24 -p tcp --dport 445 -j DROP
Tout ce qui n'est pas dans mon réseau local ne peut pas accéder à mon serveur samba.

Test avec une ip hors de mon réseau local: 10.1.1.2, ça ne passe pas:
rem: le ping montre que j'ai bien accès au serveur samba (via une passerelle) en pinguant…
thierry@localhost:~> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:63:b3:80 brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    inet 10.1.1.2/24 brd 10.1.1.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5312:8e12:2cb5:ce28/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> ping 192.168.0.79 -c 1
PING 192.168.0.79 (192.168.0.79) 56(84) bytes of data.
64 bytes from 192.168.0.79: icmp_seq=1 ttl=63 time=1.07 ms

--- 192.168.0.79 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.072/1.072/1.072/0.000 ms
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> telnet 192.168.0.79 445
Trying 192.168.0.79...
^C
thierry@localhost:~>

Le même host avec connecté avec une ip de mon réseau local, ça passe:
thierry@localhost:~> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:63:b3:80 brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    inet 192.168.0.134/24 brd 192.168.0.255 scope global dynamic noprefixroute eth0
       valid_lft 604787sec preferred_lft 604787sec
    inet6 2a02:8109:a380:310:232:8697:8a8c:d177/128 scope global dynamic noprefixroute
       valid_lft 604791sec preferred_lft 604791sec
    inet6 2a02:8109:a380:310:c074:2dde:68cd:dc1c/64 scope global temporary dynamic
       valid_lft 86399sec preferred_lft 43199sec
    inet6 2a02:8109:a380:310:f79e:a389:ab87:c771/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86399sec preferred_lft 43199sec
    inet6 fe80::5312:8e12:2cb5:ce28/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> ping 192.168.0.79 -c 1
PING 192.168.0.79 (192.168.0.79) 56(84) bytes of data.
64 bytes from 192.168.0.79: icmp_seq=1 ttl=64 time=0.577 ms

--- 192.168.0.79 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.577/0.577/0.577/0.000 ms
thierry@localhost:~>
thierry@localhost:~>
thierry@localhost:~> telnet 192.168.0.79 445
Trying 192.168.0.79...
Connected to 192.168.0.79.
Escape character is '^]'.
^C
^]
telnet> close
Connection closed.

Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #13
Salut Denebe,
et merci encore de tes conseils.
Peux-tu donner quelques ip sources qui se connectent à ton serveur samba ? (celles qui te semblent suspects)
Histoire d'y voir un peu clair. : =>


extrait de /var/log/log.smbd  (donc ces ip sont passées a travers le firewall, mais c'est fail2ban qui les bloquent en lisant le log.smbd  )

Denied connection from 187.141.63.50 (187.141.63.50)
[2021/10/13 00:01:18.930740,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.249.58.126 (201.249.58.126)
[2021/10/13 00:01:19.292747,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.249.58.126 (201.249.58.126)
[2021/10/13 00:01:44.277381,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 204.199.103.194 (204.199.103.194)
[2021/10/13 00:01:44.445291,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 204.199.103.194 (204.199.103.194)
[2021/10/13 00:01:48.761109,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 183.88.239.11 (183.88.239.11)
[2021/10/13 00:02:38.418434,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 190.145.40.34 (190.145.40.34)
[2021/10/13 00:02:38.576979,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 190.145.40.34 (190.145.40.34)
[2021/10/13 00:04:50.405420,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 189.180.65.18 (189.180.65.18)
[2021/10/13 00:05:14.639016,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 102.36.216.230 (102.36.216.230)
[2021/10/13 00:05:14.869070,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 102.36.216.230 (102.36.216.230)
[2021/10/13 00:05:26.214004,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.71.137.134 (201.71.137.134)
[2021/10/13 00:05:26.462254,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 201.71.137.134 (201.71.137.134)
[2021/10/13 00:06:08.460293,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 165.1.214.87 (165.1.214.87)
[2021/10/13 00:06:08.638399,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 165.1.214.87 (165.1.214.87)
[2021/10/13 00:06:42.343706,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 95.0.202.82 (95.0.202.82)
[2021/10/13 00:06:50.529544,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 222.209.84.114 (222.209.84.114)
[2021/10/13 00:06:50.772350,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 222.209.84.114 (222.209.84.114)
[2021/10/13 00:08:10.455900,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 187.174.255.114 (187.174.255.114)
[2021/10/13 00:08:10.684285,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 187.174.255.114 (187.174.255.114)
[2021/10/13 00:08:12.250489,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 213.74.115.50 (213.74.115.50)
[2021/10/13 00:09:38.499701,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 195.208.155.102 (195.208.155.102)
[2021/10/13 00:09:38.612640,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 195.208.155.102 (195.208.155.102)
[2021/10/13 00:12:44.487596,  0] ../../lib/util/access.c:371(allow_access)
  Denied connection from 124.40.245.92 (124.40.245.92)


2) sinon, il existe une solution pour établir des règles de pare-feu qui fonctionnent, pour l'ordi du serveur samba.
Il est important de comprendre que les règles de pare-feu ont un ordre, ainsi si tu insères ces règles dans cet ordre dans l'ordinateur où tourne ton serveur samba, cela fonctionnera comme convenu:
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.x
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.y
accepter le traffic en input avec le port-dest 445, protocol tcp et l'ip 192.168.0.z
accepter le traffic en output avec le port-dest 445, protocol tcp et l'ip 192.168.0.ton_ordi
pour que tu puisses accéder éventuellement à d'autres serveurs samba de ton réseau local…
refuser tous les paquets avec le port-destination 445, protocol tcp
=> tu laisses passer tout ce qui est local (en input et en output), puis tu bloques tout le reste ! (port-dest: tcp 445…)
Sinon tu peux accepter une plage d'ip 192.168.0.0/24 par exemple…


Oui, merci,  c'est exactement ce que j'ai fait, et c'est bien pour ça que j'avais besoin de la GUI du firewalld complète, parce que au début je me suis tapé les règles à la main en ligne de commande sur iptables et firewalld. Maintenant (et grâce a toi  ;)  ) je le fait maintenant avec la GUI complète de firewalld directement. J'ai crée un ipset local et j'autorise tout quand la destination ET la source sont en local ( le but était de fermer le service samba sur le firewall pour les accès publiques, mais si je fais ça ce ne fonctionne plus en local, qq chose m’échappe). Je n'ai pas mis de forward comme tu l'as indiqué, mais je me demande si je passe par un VPN si j'en aurais pas besoin ( forward local de ipLocal vers/de ipVpn ? et idem pour les VM qui passent par un pont réseau avant de récupérer leur 192.168.x.x ? ).
Donc je n'ai pas vraiment de problème pour me connecter sur Samba en local, hormis que j'ai pas encore bien règlé ipv6 et que la découverte samba ne fonctionne pas bien dans dolphin, mais l'accès par ip fonctionne nickel.

Je vais voir avec wireshark, mais ce qui serait intéressant c'est de sniffer sur la box Delta de free, je vais essayer de voir ça.
Ha ben tiens, après désactivation du partage de la box via son interface, j'ai fais un nmap sur la box, et le port 445/139 est bien ouvert :
Starting Nmap 7.70 ( https://nmap.org ) at 2021-10-14 14:18 CEST
Nmap scan report for freebox-server.gribouille (192.168.0.100)
Host is up (0.00020s latency).
Not shown: 983 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
53/tcp   open   domain
80/tcp   open   http
139/tcp  closed netbios-ssn
443/tcp  open   https
445/tcp  closed microsoft-ds
548/tcp  closed afp
554/tcp  open   rtsp
1723/tcp open   pptp
2020/tcp open   xinupageserver
5000/tcp closed upnp
5001/tcp closed commplex-link
5357/tcp open   wsdapi
5678/tcp open   rrac
6000/tcp closed X11
8090/tcp open   opsmessaging
9091/tcp open   xmltec-xmlmail


Je vais tenter un reboot de box....






Re : YAST FIREWALL QUE 2 ONGLETS ?

Répondre #14
Je n'ai jamais utilisé fail2ban, je ne connais pas le fonctionnement, mais je sais à quoi cela sert…

Écris cette règle iptables (à adapter pour ton réseau local):
iptables -I INPUT ! -s 192.168.0.0/24 -p tcp --dport 445 -j DROP
Donne le résultat de:
# iptables -L -n --line-numbers

1a) ferme tous les ports de ta freebox; (si tu as un serveur que tu ne veux pas couper momentanément, ba mince!)
1b) tu inspectes voir si tout fonctionne comme attendu, voir si tu as encore des intrus… Normalement non !!

PS: reste concentré sur ton problème, tu verras le vpn plus tard… Ce n'est pas normal que tu aies du traffic venant du Mexique et Vénézuélas  ( http://www.localiser-ip.com/?ip=187.141.63.50 , http://www.localiser-ip.com/?ip=201.249.58.126 )

PS2: si ton pare feu est bien configuré (au moins celui de ton ordinateur), alors le serveur samba ne devrait, selon moi, rien recevoir. Ton log samba nous indique donc que ton parefeu est mal configuré.