Le blog de Genma
Vous êtes ici : Accueil » Yunohost » Yunohost, Freebox, Nat, Redirection de ports

Yunohost, Freebox, Nat, Redirection de ports

D 13 janvier 2016     H 09:00     A Genma     C 4 messages   Logo Tipee

TAGS : Free, Freebox, Freemobile Auto-hébergement Planet Libre Yunohost

Comme je l’ai déjà dit, la documentation est bien faite et assez complète. Une fois YunoHost installé sur le Raspberry Pi, une adresse IP fixe affectée, pour tout ce qui concerne la redirection de port, j’ai suivi les tutoriaux suivants :YunoHost et Freebox et Tutoriel d’ouverture des ports sur Freebox.

Rq : si l’on est chez un autre fournisseur d’accès, il y a également d’autres tutoriaux.

Nat, Redirection de ports

Comme la Freebox est une box ADSL qui fait du NAT en IPV4, on accède au Raspberry via l’adresse IP publique fixe de la Freebox. Il faut donc indiquer à cette dernière de transférer la connexion vers le Raspberry. Quand on demande une adresse du type http://IP_de_la_freebox ou http://nomdedomaine.fr (nomdedomaine.fr étant un nom de domaine pointant sur l’IP publique de la Freebox), on interroge donc la Freebox pour une demande de connexion en http, sur le port 80. Si on a une adresse httpS, ce sera sur le port 443. Si on utilise un client ssh, ce sera par défaut sur le port 22... Sur la Freebox, j’ai ouvert et redirigé les ports http (80), https (443) et SSH (qui se trouve sur un autre port Rq : il faut bien penser à préciser le port SSH au logiciel utilisé comme client lors de la connexion depuis l’extérieur, vu que le port utilisé par le serveur SSH n’est plus le bon.) vers l’IP fixe du Raspberry. Ce sont là pour l’instant les seuls ports dont j’ai besoin (pas encore de serveur mail, XMPP, DNS sur le Raspberry).

Pour l’accès à l’interface d’administration de la Freebox Révolution depuis l’extérieur, je vous invite à voir mon billet dédié FreeboxOS comment avoir un accès sécurisé ?. Si on souhaite le garder depuis l’extérieur, on utilisera un autre port que le port 80.

Freebox et DMZ

Si vous voulez mettre à disposition d’internet un ordinateur sur du long terme, il est plutot conseillé d’utiliser la redirection de ports, c’est à dire d’ouvrir juste les ports nécessaire aux versions serveur des logiciel situés sur l’ordinateur situé dans la DMZ au lieu de tous, ce qui est le cas lorsque vous cochez la case activer la DMZ.
Astuces-pratiques.fr

C’est la même information que j’avais indiqué dans mon billet Raspberry et Freebox-V6.

La redirection de ports marchant bien, je n’utilise donc pas la fonction de DMZ de la Freebox. Ma machine Yunohost reste derrière le NAT (avec les avantages et contraintes que ça a). A voir avec le temps si un passage en DMZ apporte quelque chose ou pas.

4 Messages

  • Salut,

    Très bon article de vulgarisation.
    Je me permets quelques petits compléments.

    Même si la Box redirige les ports attention ce n’est pas un pare-feu, elle est une protection très très sommaire. J’ai beaucoup de gens qui me disent, c’est bon j’ai configuré mes redirections de ports je suis tranquille. Rien ne remplacera un vrai pare-feu. Sur le long terme je te recommande vivement d’y réfléchir.

    Toujours sur la BOX le terme DMZ n’est pas vraiment approprié. Mettre en place une DMZ n’exempte pas de réaliser une redirection de ports. La DMZ permet d’isoler les serveurs ou machines ayant besoins d’être "vues" depuis internet de ton réseau local. Ainsi en cas d’attaque ton réseau local et "protéger". Mais le fonctionnement est le même que pour un réseau local classique. Souvent les DMZ proposées dans les routeurs-Box donnent un accès illimité depuis internet ce qui n’est pas forcément judicieux. Dans ce cas la DMZ-BOX comme je les appelle peut-être utile pour rediriger internet sur ton pare-feu qui assure tous le fonctionnement de ton réseau.

    J’espère que ton retour d’expérience donnera l’envie à d’autre. Bon courage dans cette grande aventure.


  • Un freebox en mode bridge avec pfsense derrière, y a rien de tel...tu pourras profiter d’une vraie solution de filtrage, vlan, ipsec, openvpn...


  • Bonjour à tous,

    Pour moi, la redirection de ports n’est a utiliser que dans les cas où un programme isolé sur un poste réclame un ou quelques ports d’ouvert.
    Cela est d’ailleurs de moins en moins nécessaire grâce à l’UPnP qui permet aux dites applications d’ouvrir des ports dynamiquement sur les routeurs ou les BOX.

    Ensuite, si l’objectif est de mettre un poste sur le net avec divers services, la DMZ nous simplifie la vie. Une fois passé le serveur sur la DMZ, on ne s’occupe plus du routeur et tous les réglages se font sur le poste.

    Pour ce qui est de la sécurité du serveur, il peut s’en charger tout seul. Il le fera d’ailleurs bien mieux et de manière bien plus transparente que la BOX du fournisseur. Pour le réseau, Y’a pas mieux qu’un Linux (un système UNIX marche aussi) comme OS.
    D’ailleurs, la freebox à longtemps tourné sous Debian et tourne à l’heure actuelle sous Android.

    Mais le truc qui me gêne le plus dans ces deux configurations est la gestion du réseau par du matériel Free...
    Utiliser sa freebox comme routeur donne un libre accès à Free sur le réseau privé.

    J’avais un poste sur la DMZ de ma freebox. En surveillant le trafic, je me suis aperçu que la freebox faisait des tentatives de connections sur le port 80 avec son adresse locale...
    Conclusion, laisser la freebox en mode routeur, c’est laisser les clés de son réseau à Free !

    Donc la freebox pour moi c’est en mode bridge avec derrière un vrai routeur, de préférence flasher avec un logiciel libre (comme OpenWrt, DDwrt).
    Ou bien, un (petit) poste sous Linux , Pfsense c’est bien aussi, dédié ou pas à la gestion du réseau.
    .
    ps : bravo pour le site. ^^


  • J’ai un serveur en prod depuis un an, et l’activation de la DMZ est primordiale si tu ne veux pas de ralentissement ou d’erreurs de réceptions de mail. J’ai deux lignes FREE à la maison : un serveur prod relié à une ligne, l’autre sert pour des tests. Et il n’y a pas photos : la DMZ permet d’outrepasser des bridages, beaucoup trop long à expliquer ici. Comme l’a écrit un commentateur : "La DMZ permet d’isoler les serveurs ou machines ayant besoins d’être "vues" depuis internet de ton réseau local."