[Linux-bruxelles] port remapping
Manuel Schulte
manuel.schulte at gmail.com
Ven 26 Fév 23:19:31 CET 2010
> y a aussi le param du protocol à utiliser, et là j'hésite:
> es-ce tcp ou udp qu'il faut cocher ?
>
TCP dans 90% des cas... (par contre DNS, port 53 utilise UDP...)
Dans ton cas, pour du SSH, TCP.
Attention! Qui dit "visible" de l'extérieur, même sur un port "non
standard", ex. 48559, cela impose de sécuriser... veilles au minimum que ton
serveur SSH (le pc vers lequel le firewall redirigera les connections SSH)
réponde à ces critères:
a/ pas de login ROOT en SSH!!!
b/ Limiter le nombre de tentatives d'accès, imposer un temps d'attente de
min. 30 secondes entre 2 tentatives infructueuses et tout bloquer après 3
tentatives infructueuses. (accessoirement utiliser un "banner" à afficher
lors d'un login réussi / utile uniquement pour un SSH que tu ne serais pas
le seul à utiliser... pour avertir les utilisateurs de conséquences en cas
d'utilisation frauduleuse de la connection...)
c/ (mais cela tu t'apprêtes à le faire) ne pas utiliser un port standard (et
de préférence > 1024)... ceci dit, avec réserves car avec Nmap un bon hacker
peut savoir quels sont les ports ouverts sur ton routeur et aussi ce qui
"écoute" derrière... d'où l'importance des points a et b.
Cerise sur le gâteau: pas d'autentification par mot de passe, mais
uniquement par clef...
> (en passant, es-ce aussi appelé NAT dans certains modem/routeurs ?)
>
Non, pas la même chose... NAT = Network Address Translation
En gros, le mécanisme utilisé par un Firewall pour faire en sorte qu'un PC
qui "visible" de l'extérieur sur l'adresse 81.48.192.48 réponde à
l'intérieur à l'adresse 192.168.252.3 (par exemple dans les 2 cas...)
Dans la plupart des cas, l'adresse 81.48.192.48 est en réalité l'adresse
publique du routeur/firewall, tandis que l'autre est celle de son adresse
privée...
Bonne connections,
A++
Manu
> D'avance merci,
>
> GrtnX,
>
> Aldo.
>
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20100226/2c5f90cc/attachment-0002.html>
Plus d'informations sur la liste de diffusion Linux-bruxelles