Bonjour,
Je constate depuis qques jours des attaques de force brute en ssh sur un de mes NAS (freenas): tentatives toutes les demi-heures, avec les login classiques, et sans succes jusqu'à présent...
Du coup, j'en ai profité pour supprimer l'acces par login/pwd et l'ai remplacé par un acces par clé: on va voir ce que ca donne, mais je devrais avoir bcp moins de logs...
Cela dit, les logs de connexion du freenas me montrent que le robot qui traite l'attaque tentait avec des ports ssh différents. Or, de mon côté, j'ai un port ssh unique qui est redirigé directement sur l'IP interne du NAS: comment se fait-il que le hacker parvienne à "taper" sur le NAS avec d'autres ports (il ne trouve jamais le bon)?
Je pensais qu'une redirection d'un port permettait de bloquer les autres, mais ca ne semble pas etre le cas: si qqun connait le principe de la redirection, je suis preneur!
 
Merci!
 
PYB

une redirection classique en effet redirige un port entrant sur ton IP publique vers un port sur une machine du LAN. Si tu reçois des requêtes venant d'internet sur d'autres ports au niveau de ta machine du LAN, c'est qu'il y a un problème de configuration (ou un bug).

Merci pour le retour. Mais qu'en est-il des ports qui ne sont pas redirigés? Par défaut, la plupart ne le sont pas: et donc, ca vient taper sur toutes les machines du LAN?

non ça arrive sur ton routeur et s'il n'a pas de service en écoute sur ce port sur son interface internet, ça s'arrête là.

Pardonne cette question stupide: qu'en est-il des ports "classiques"? Par ex, le 80, je ne lui mets aucune règle de redirection. Et pourtant, il n'est pas bloqué: ce sont des règles de base du firewall qui autorisent cela?

Tu n'aurais pas mis le NAS en DMZ, par hasard (volontairement ou involontairement) ?

Non, j'ai une livebox, puis 3 routeurs en mesh derriere. Le principal est dans la DMZ de la livebox, et je gere la securité à partir de ce routeur.
Par contre, je pense avoir compris un truc: comme le dit Ivy gu, si les ports ne sont pas redirigés, ils sont bloqués. Mais ca ne pose pas de pb pour les classiques (25 pour mail 80 pour http par ex), car les demandes émanent tjrs de chez soi! Donc la réponse doit passer en retour. Par contre, pour une demande externe en direct, ca bloque.
Je ne sais pas si j'ai raison (ni si je suis clair!); par contre, ca ne résoud pas ma première question...

la redirection de ports ne concerne que les connexions entrantes (depuis internet vers chez toi). Dans le sens sortant la question ne se pose pas, les IP source des paquets sont remplacées par ton adresse IP publique et c'est tout.

J'ai eu à configurer la redirection de ports sur une Livebox v5 vers un NAS. J'ai galéré parce qu'il y avait certains paramètres pas évident à comprendre (sur leur logiciel mal foutu) Pourtant, j'avais déjà fait ce genre de manip sur plusieurs box de Free, Bouygues et même Orange. Mais là, impossible sauf en passant le NAS en DMZ. Puis j'ai fini par trouver le paramètre qu'il fallait changer qq part pour que ma conf de redirection de port marche. C'est pour ça que je demandais si ton équipement n'était pas dans la DMZ sans l'avoir fait exprès.

@Rufo: oui je comprends: j'ai quand meme vérifié au cas où, mais la DMZ du routeur est bien désactivée, donc je ne peux mettre personne dedans.
@Ivy Gu: OK pour les connexions sortantes, mais les retours (par ex, pour afficher un site web), il faut bien que le routeur sache où envoyer l'info (et je pense que c'est avec le port 80 pour une page http). Et dans ce cas, le port n'est pas bloqué: il doit y avoir une précision dans la trame de retour qui dit "je suis une reponse à une requete émanant de telle machine" non?

 
Non (le serveur distant ne sait pas que le client est derrière un NAT, c'est la raison d'être du NAT justement).  
Ce qu'il se passe c'est que lorsque l'initialisation de session est traitée par le routeur côté client, le routeur garde en mémoire l'association (caractérisée par les IP source+destination, les ports source+destination et le protocole de niveau 4, ie. TCP ou UDP) avant de réécrire l'IP source du paquet et de l'envoyer vers internet. Quand il reçoit des paquets en réponse, il consulte sa mémoire pour retrouver à quelle IP du LAN est liée cette connexion, réécrit l'IP destination du paquet en conséquence, et l'envoie sur le LAN.

Le NAT fait passe-plats