LiveBoX – Firewall

A l’instar de sa consoeur la FreeBoX, la LiveBoX intègre un firewall.

 

Qui pour le grand public, est souvent du charabia.

 

Nous allons tenter de vous aider à comprendre et à le configurer.

 

 

DEFINITION

 

 

Connectez vous à votre LiveBoX.

 

 

 

 

Dans le menu de droite, cliquer sur LiveBoX puis sur Mode de Sécurité.

 

 

 

 

Définition : Un pare-feu, comme son nom l’indique sert à protéger tout équipement réseau contre les connexions indésirables d’internet. Il peut soit protéger les connexions entrantes (Internet) soit les connexions sortante (Réseau local), soit les 2. Il existe plusieurs type de pare-feu.

  • Pare-feu applicatif : Ceux sont des logiciels que l’on installe sur son pc, il ne protège que l’équipement réseau où il est installé. (Kério, Pare-feu Windows, Zone Alarm, etc…)
  • Pare-feu hardware : Ceux sont des équipements réseaux qui embarquent ces pare-feu. (Routeur, Box, etc…)

 

Celui de la LiveBoX se situe dans la deuxième catégorie !

 

Je vous avoue qu’il faut avoir un minimum de connaissances en informatique pour bien sécuriser son réseau.

 

Comment le pare-feu de la LiveBoX fonctionne ?

 

Très simple, il scanne les IP de connexion, les ports et se réfère à sa table. Soit le port ou l’IP sont acceptés, il forward le paquet. Soit le port ou l’IP ne correspondent pas, il rejette le paquet. En rejetant, il informe le destinataire que le paquet n’est pas accepté.

 

Quel chemin le paquet parcours dans le réseau local ?

 

 

 

Le chemin est toujours le même, le pare-feu s’applique avant le NAT. Donc il faut non seulement ouvrir le pare-feu mais aussi les ports NAT.

 

 

CONFIGURATION

 

 

Afin de faciliter l’utilisation aux plus grand nombre Orange a mis en place des modes qui autorisent certains accès.

 

  • Faible : Le pare-feu ne filtre rien, en gros tous les ports sont accessibles depuis l’extérieur. 

=> Attention : Si une règle NAT/PAT est configurée, vous courez un risque. Car le pare-feu forward le paquet, et la table NAT forward le paquet au destinataire. Si en revanche aucune règle NAT/PAT est configurée, le paquet meurt et ne pourra en aucun cas accéder.

 

  • Moyen : C’est le mode recommandé par Orange. Il filtre toutes les connexions entrantes et laisse passer toutes les connexions sortantes (sauf netbios). 

Mais si il filtre toutes les connexions entrantes, puis je me connecter à Internet ?

Et oui ! En fait lorsque vous surfez, c’est vous et vous seul qui initialisez la connexion, c’est une connexion sortante, donc le chemin est ouvert temporairement, jusqu’à ce que vous fermiez votre navigateur.

Ce sont les connexions entrantes qui sont filtrés, ce mode n’est pas recommandé si vous avez un serveur web, mail, etc sur votre réseau.

 

  • Élevé : C’est un mode, qui configure automatiquement certains services comme Ftp, mails, www… 

Cette liste n’est pas exhaustive, si vous avez un serveur de mail, web, dns, etc… il est préférable de personnalisé votre pare-feu.

 

  • Personnalisé : C’est un mode que vous configurez comme bon vous semble.


 

 

 

Non ce n’est pas barbare pour le remplir, c’est très logique !

 

Nous allons détailler tout cela.

 

  • Applications / Services : C’est simplement le service ou le port de connexion que vous désirez autoriser.
  • Protocole : C’est le protocole de connexion, c’est le service qui le détermine.
  • Adresse IP source : C’est l’adresse IP source que vous désirez autoriser. A spécifier pour plus de sécurité.
  • Masque IP : C’est le masque de sous réseau de l’adresse IP que vous désirez autoriser. Important si vous avez un pool d’adresse IP à autoriser.
  • Adresse IP destination : C’est l’adresse IP destination, qui est autorisée à recevoir la connexion. C’est une adresse IP locale uniquement.
  • Masque IP : C’est le masque de sous réseau de l’adresse IP que reçoit la connexion. Mettre celui de votre réseau local.
  • Port destination : C’est le port ou une plage de port. Soit c’est le même port source (applications/services) c’est du NAT, soit le port destination est différent du port source, c’est du PAT.
  • Action : Accepter ou refuser. Soit on autorise la règle, soit on refuse !
  • Ordre : Le pare-feu lit les règles de la même façon. Il lit les règles de façon croissante, de la première à la dernière. Et la première règle prévaut sur la seconde et ainsi de suite…
  • Activer : Activer ou non la règle.
  • Supprimer : Supprimer ou non la règle.

EXEMPLE 1

 

 

Nous allons configurer le pare-feu pour le service HTTP pour que tout le monde puisse accéder à mon site, puisque j’ai un serveur Web et pour un service personnalisé qui sera ouvert que pour moi même.

 

Le service HTTP a pour port 80 et pour protocole de connexion TCP.

 

 

 

 

  • Service : HTTP défini par Orange
  • Protocole : TCP défini par le service
  • Adresse IP Source : 0.0.0.0 en mettant 4 fois 0, on autorise toutes les IP à se connecter.
  • Masque IP : 0.0.0.0 en mettant 4 fois 0, on autorise tous les sous-réseaux à se connecter.
  • Port Source : Il est grisé, en effet le service est défini par Orange, du coup pas besoin de le renseigner
  • Adresse IP destination : Mettez l’adresse IP locale de votre serveur Web
  • Masque IP : Mettez le masque de votre sous réseau, en général : 255.255.255.0
  • Port Destination : Sauf si vous avez changé le port de serveur web (utilisateurs expérimenté) il faut mettre 80
  • Activer : Cocher la case.

 

N‘oublier pas de rediriger votre port 80 dans NAT sur l’adresse IP locale de votre serveur Web.

 

 

EXEMPLE 2

 

 

Nous allons configurer le pare-feu pour autoriser OpenVPN depuis une seule adresse IP.

 

 

 

 

  • Service : Sélectionner Créer une nouvelle règle (tout en bas)
  • Protocole : UDP pour OpenVpn
  • Adresse IP source : Mettre votre IP publique, celle qui va se connecter. Une IP publique différente de la votre !
  • Masque IP : Mettre 255.255.255.255, cela signifie que vous autorisez une seule et unique IP
  • Port Source : Mettre 1194 car c’est le port de connexion d’OpenVPN.
  • Adresse IP Destination : Mettre l’adresse IP locale de votre serveur VPN.
  • Masque IP : Mettre le masque de votre réseau local, en général : 255.255.255.0
  • Port Destination : Mettre le même port que port source.
  • Activer : Cocher la case.

 

One Reply to “LiveBoX – Firewall”

  1. Super explication merci; par contre pour ma box (LiveBox pro v3) je dois rentrer l’ip 192.168.1.0 et le masque 255.255.255.0 dans les cases « sources », et « Tous » (0.0.0.0) pour l’ip et le masque destination, sinon impossible de se connecter en http ou https. Cool d’avoir expliqué comment configurer le VPN aussi j’en avais marre de devoir régler mon pare feu sur moyen uniquement pour laisser passer ce service !

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.