Résolu

Comment ouvrir un port sur le pare feu du modem Technicolor TC7210?


Bonjour, je cherche un moyen d'ouvrir une plage de ports spécifiques au niveau du Firewall de mon modem Technicolor TC7210.
Je précise bien qu'il s'agit d'ouvrir des ports dans le firewall. Je ne cherche pas à faire du Port Forwarding ou du NAT et donc ce tuto n'est absolument pas d'application malgré son titre trompeur. Tous les tutos que j'ai trouvé ici expliquant soit-disant comment "ouvrir des ports" parlent en fait de NAT.

La page "Firewall" de mon modem/routeur possède 3 niveaux de sécurité : bas, moyen et haut. Au niveau bas tous les ports sont ouverts, en moyen ou élevé seule une liste pré-configurée de ports ouverts est disponible, les autres étant fermés. Je n'ai aucun moyen d'entrer manuellement une plage de ports que je désire ouvrir ce qui paraît invraisemblable pour un pare-feu et je suppose donc qu'il s'agit d'une limitation de l'interface HTTP par laquelle j'accède à la configuration.

Je peux confirmer que c'est bien l'ouverture des ports qui est nécessaire car le problème que j'ai est résolu en passant le niveau de sécurité sur bas, mais est présent dès que le niveau de sécurité est au moins moyen. J'ai tout de même essayé le NAT mais sans grande surprise cela n'a rien changé au problème. J'ai aussi mis l'adresse MAC de mon PC dans la liste des "Ordinateurs de confiance" mais cela ne résout pas non plus le problème.

Je n'aime pas laisser ouverts tous les ports, c'est l'une des premières règles de sécurité que l'on m'a apprises. Malheureusement l'interface proposée ne me permet pas d'ouvrir spécifiquement ceux dont j'ai besoin et qui ne sont pas dans la liste courante. Existe-t-il un moyen de spécifier manuellement une plage de ports à ouvrir? Y'a t'il une possibilité d'accéder à l'interface d'usine du modem au lieu de l'interface limitante de voo? Est-il possible d'éditer la liste des ports ouverts en se connectant directement au routeur via SSH ou un autre protocole?
icon

Meilleure réponse par roylion15 14 juin 2017, 16:20

Hello
Si vous voulez faire des reglages avancés, je vais vous conseiller comme la plupart du temps c'est de passer le TC de VOO en mode bridge et installer un VRAI routeur du commerce qui permettra de configurer vos ports / firewall tout à fait librement... à noter que l'interface d'origine du TC ne permet rien de plus que celle de voo au niveau du pare feu et qu'il s'agit d'un modem routeur domestique et non du matériel professionnel. L'accès via SSH au CLI du modem n' est évidemment pas autorisé par voo comme chez tous les opérateurs.
Afficher l'original

16 commentaires

Niveau d'utilisateur 7
Bonjour rkaye,

Effectivement, il n'y a pas la possibilité de faire une ouverture manuelle des ports dans le pare-feu du modem, ce n'est pas uniquement lié à l'interface. Par contre, lorsque vous rentrez l'adresse MAC de l'interface réseau de votre ordinateur utilisée pour se connecter au modem, cela devrait permettre à cet appareil de "contourner" le niveau de sécurité. Votre appareil a-t'il plusieurs cartes réseau (Wi-Fi + câblé) ?

Aussi, quel est le souci que vous rencontrez lorsque vous passez le niveau de protection à "moyenne" ou "haute" ?
Niveau d'utilisateur 7
Badge +12
Hello
Si vous voulez faire des reglages avancés, je vais vous conseiller comme la plupart du temps c'est de passer le TC de VOO en mode bridge et installer un VRAI routeur du commerce qui permettra de configurer vos ports / firewall tout à fait librement... à noter que l'interface d'origine du TC ne permet rien de plus que celle de voo au niveau du pare feu et qu'il s'agit d'un modem routeur domestique et non du matériel professionnel. L'accès via SSH au CLI du modem n' est évidemment pas autorisé par voo comme chez tous les opérateurs.
Bonjour

concerne: amélioration de la sécurité - je suis devenu parano

Désolé pour question longue, mais si pas précis, pas clair.

Je crains avoir déjà la réponse à une question au vu de la remarque de roylion15 (mode pont ou routeur).

Venant de passer à VOO, je souhaitais utiliser le Technicolor TC7210 en mode routeur pour mes besoins limités. Suis pas pro, donc essais et erreurs.
J'avais essayé de configurer manuellement le port forwarding pour les services d'un serveur de fichier (Synology DSM 4).
D'habitude, le Synology reconnaît le routeur de suite. Ici pas. Le système est fourni avec une commande pour configurer les ports du routeur qui doivent être ouverts pour ses services. Au début, le Synology n'accédait pas au routeur (messages erreurs), d'où ma saisie manuelle (en découverte). Sans avoir consciemment rien fait, en réessayant 2 jours plus tard, cette fonctionnalité fonctionnait. Ce Technicolor est comme du bon vin: il faut le laisser reposer.

Je voulais tester la connexion externe au Syno. Il est utilisé de l'extérieur (FTP like) et c'est aussi un outil pédagogique pour moi. Il contient aussi une copie synchronisée périodiquement des données des appareils Windows du foyer (Acronis Home paramétré avec une astuce en version grandpère-père-fils cyclique, etc non dispo en version Home). Nous utilisons aussi Google Cloud avec partenaires mais volumes limités et non confidentiels.

"Naïvement" mais tout de même mal à l'aise, j'ai enlevé temporairement la protection pare-feu du Technicolor pour essayer d'atteindre le Synology de l'extérieur (choix du niveau bas).
J'avais des petits soucis de connexion mais ce n'est pas le sujet. J'ai surtout constaté des appels extérieurs à mon Synology, notamment sur le port 80. Pas un mais des milliers. J'ai vu cela en consultant le log du Synology. Cela m'a un peu rassuré sur la capacité de connexion externe au Synology de refuser ces tentatives! Mais cet appareil est trop connu des criminels, tout comme ses failles. En vérifiant l'adresse IP des appels, ils provenaient de Chine Mainland, Japon, US, Suède, etc. Conforté par les refus d'accès puis blocages automatique d'IP du Synology (+emails d'alertes), j'ai tout de même pris le temps pour passer à table qq minutes. A mon retour, le Synology était par terre, paralysé (ça m'était jamais arrivé et c'est un vieil appareil OS DSM 4.2 à jour ds cette vieille version). Seule solution: power off/on car même pousser longtemps sur le bouton d'arrêt ne répondait plus. Les disques sont en Raid1, donc tirer la prise peut ne pas faire de bien (risque de devoir tout reconstruire, d'expérience, mais ouf dans ce cas-ci).
J'ai vite remis le pare-feu du Technicolor en protection "haute", ce que j'aurais dû faire de suite au vu de cet incident. Mais j'ai encore des alertes qui continuent sur cette boite Synology. Ses blocages automatiques d'IP n'arrêtent toujours pas (une dizaine en moins d'une heure). Je sais que cela existe mais je n'y avais jamais prêté l'attention que j'y prête maintenant due au changement d'ISP.

Questions:
A supposer que je garde le Technicolor en mode routeur (encore mon intention 'têtue' du moment pour la planète et ma note d'électricité - sinon j'ai un ancien TP-LINK TL-ER6120 que je pourrais facilement rebrancher), et en attendant de continuer mes tests, quel est le bon compromis pour ne pas être gêné (plus de service effectif) et menacé déraisonnablement? Y a-t-il des paramètres à activer en plus pour mieux sécuriser (ou des ports à fermer / dévier)?

Il y a beaucoup de cases à cliquer. Il y a beaucoup de tutos en ligne mais faire le tri n'est pas facile pour celui qui lit sans conseil.

Voici ce que j'ai choisi dans l'immédiat, en supposant que les appareils locaux derrières (PC W10, Appel MacBook, Android, Linux) doivent avoir aussi leur propre protection effective.

Router/Options
Blocage WAN Non-Activé (ATTENTION - un choix important mais si je l'active, est-ce que j'accèderai encore au Syno de l'extérieur?)
du manuel: empêche les autres utilisateurs côté Internet d’effectuer un Ping sur votre modem. Quand Blocage ICMP est activé, votre modem ne réagit pas aux Pings qu’il reçoit.
S'il cette option n'est pas activée, y a-t-il d'autres parades fortement recommandées.

IPsec Passthrough Activé
PPTP Passthrough Activé
Gestion de la configuration à distance Non-Activé
Multicast Activé Activé
UPnP Activé Activé
Etat NAT ALG - existe dans le mode d'emploi mais n'apparait pas sur mon Technicolor. Pourquoi? Ce n'est pas que cela me manque pour l'instant mais juste une question.

Routeur/ NAT
Pas mal de port ouvert du Synology vers l'externe. Ce serait à revoir. Copy/Paste du tableau (illisible, sorry)
Interne Externe
Adresse IP Port Début Port Fin Adresse IP Port Début Port Fin Protocole Description Activé
192.168.1.45 22 22 0.0.0.0 22 22 TCP Oui
192.168.1.45 7000 7000 0.0.0.0 7000 7000 TCP Port HTTP supp Oui
192.168.1.45 6690 6690 0.0.0.0 6690 6690 TCP Cloud Stat Oui
192.168.1.45 21 21 0.0.0.0 21 21 TCP Serv Fich Oui
192.168.1.45 55536 55663 0.0.0.0 55536 55663 TCP Serv Fich2 Oui
192.168.1.45 137 139 0.0.0.0 137 139 TCP ServFicWin1 Oui
192.168.1.45 445 445 0.0.0.0 445 445 TCP ServFich2 Oui
192.168.1.45 5005 5005 0.0.0.0 5005 5005 TCP WebDav Oui
192.168.1.45 80 80 0.0.0.0 80 80 TCP WebMail Oui
192.168.1.45 25 25 0.0.0.0 25 25 TCP MailServ1 Oui
192.168.1.45 110 110 0.0.0.0 110 110 TCP MailServ2 Oui
192.168.1.45 143 143 0.0.0.0 143 143 TCP MailServ3 Oui
192.168.1.45 5000 5000 0.0.0.0 5000 5000 TCP Gestion Oui
192.168.1.45 23 23 0.0.0.0 23 23 TCP ServTerNChiff Oui
.45 étant l'adresse du Synology

Correspondance automatique des ports UPNP configuré par le Synology
Protocole Port Début Port Fin Description
TCP 25 25
TCP 80 80
TCP 110 110
TCP 137 139
TCP 138 138 upnpclient:13
TCP 139 139 upnpclient:13
TCP 143 143
TCP 445 445
TCP 5000 5000
TCP 5005 5005
TCP 6690 6690
TCP 7000 7000

le Synology a arrêté de configurer j'ai dû supprimer une ligne FTP car Synology indiquait une limite maximale de 100 entrées dans le Technicolor, donc a refusé la ligne Serveur de Fichier FTP (faudrait plutôt du FTPS mais c'est comme cela pour l'instant). Le serveur de fichier Windows sur Synology est aussi encore en résultat "échec". Les autres services fonctionnent.

Pare-feu
Fonctionnalités
Filtres Proxy Non-Activé
Filtres Cookies Non-Activé
Filtres d'Applets Java Non-Activé
Filtre ActiveX Non-Activé
Filtres de Pop-up Non-Activé
Blocage des Packets IP fragmentés Non-Activé
Détection du balayage des ports Activé
Détection IP Flood Activé
Niveau de Protection Pare-Feu Haute
Niveau de Protection Pare-Feu IPv6 Actif

Services autorisés
DNS TCP 53 53 TCP
DNS UDP 53 53 UDP
HTTP 80 80 TCP
HTTP-S 443 443 TCP
IMAP-S 993 993 TCP
IPSec NAT-T 4500 4500 UDP
NTP 123 123 UDP
POP3-S 995 995 TCP
SSH 22 22 TCP
SMTP 25 25 TCP
SMTP-S 465 465 TCP
SMTP-TLS 587 587 TCP

Je lis vite ce que je peux sur la sécurisation de ce réseau domestique avec les moyens du bord. Le manuel du Technicolor est bien mais il n'y a aucun conseil d'utilisation des options. Donc hyper laconique et suppose que l'utilisateur sait beaucoup par lui-même (OK pour matériel pro, mais pas pour matériel à usage domestique).

Je n'aime pas trop l'idée de mettre mon Synology en adresse de destination du DMZ, comme trouvé par d'autres comme solution sur ce forum. Je ne sais plus pourquoi mais il y il y a longtemps, je m'étais fait à l'idée que c'était focaliser toutes les attaques dessus et empêcher d'autres appareils en interne de fonctionner (jeux des gamins sur PC - pas sûr de cela). Ou alors pourquoi pas mais alors, il devrait être dédié à cela avec rien dessus, donc un luxe (ceci dit il est vieux et consomme pas trop, donc une bonne raison pour convaincre ma compagne d'en acheter un neuf plus rapide, plus grand etc ...!). Donc, je n'ai pas de DMZ pour l'instant.
Si je dois bloquer des services de suite, je le ferai, quitte à rouvrir plus tard dans contexte mieux sécurisé.
Et puis, je vois ces tentatives sur le Synology. Mais sur le reste des appareils? Il y en a peut-être aussi. C'est fou! Et du trafic pour rien sur l'infrastructure de l'ISP. Peuvent-ils diagnostiquer et freiner cela?

Merci
Niveau d'utilisateur 7
Badge +12
Hello,
Tout cela me parait quand même bien "compliqué" et beaucoup trop de ports ouverts pour accéder à un simple NAS ... chaque port ouvert est une faille et là, il y a plein de trous partout ...
Un bon conseil, si vous voulez vous servir du TC en mode routeur... laissez tous les réglages usine et activez juste UPNP ...
Laisser le moins possible de ports ouverts pour accéder depuis l'extérieur et utilisez par exemple plutôt des ports externes exotiques plutôt que les ports communs que tous les hackers connaissent comme le 80, 443,3389,5000 etc... donc changez les ports externes en par exemple 48080 ou 40443, 40389, 55000 ( ce sont juste des exemples hein ...) et les rediriger vers les communs en interne.
Pour l' ICMP je le mettrais sur OFF pour éviter que les pings de l'extérieur vers votre IP répondent mais cela peut être utile parfois ...
Ouvrir le port 25 ne sert à mon avis rien car il est bloqué par VOO en interne sur les abo domestiques afin que vous n' hébergiez pas un serveur mail chez vous.
Je possède le TC et je ne l'ai jamais utilisé en mode routeur car nous ne pouvons pas savoir tout ce qui se passe au niveau de la sécurité et on n'a pas totalement la main dessus et surtout ne pas donner les clefs de son réseau domestique à un opérateur quel qu'il soit.
Super, merci Roylion26.
Que du bon sens, comme d'habitude à ce que je vois ici, mais ces ouvertures de ports sont celles prévues par le Synology, ce qui veut dire que si je voulais tout de même suivre cette ligne là (pourquoi, je ne sais plus... ça date), il faudrait mettre ce synology en première ligne avec un minimum de données à soi dessus en DMZ. Ce serait peut être plus prudent de toute façon si je garde cet objectif, et je devrais avoir un autre serveur de fichier commun à l'intérieur. Je me doutais bien que c'était créer un gruyère, et pas sûr du tout de ce que j'ai rentré (copié d'un port forwarding venant d'un tableau de la doc Synology). Et puis il n'y avait pas de vraie redirection de ports effectivement (interne = externe, donc trop facile). C'est la 2ème ou 3ème fois que je fais cela. Je tatonne. Mais j'étais mal à l'aise de jouer avec des concepts que je ne maîtrise pas suffisamment..

Mais jes choses ont changé entre temps. Le routeur du Technicolor n'arrêtait pas de se bloquer (d'abord en internet puis en faisant un ping sur l'adresse locale de la passerelle pour voir d'où cela venait, pas de réponse). Solution: power off/on et reparti pour 2/3 heures, mais cela en boucle. Lassant. Et ma compagne n'était pas heureuse de mon passage de Belgacom à Voo alors que cela commençait à fonctionner! Je passais pour un c... Factory reset n'a pas aidé.

Donc, j'ai ressorti mon vieux routeur de 2010 (IPv4) et cela fonctionne de manière stable pendant plusieurs heures pour l'instant. On verra bien. J'attends 2 ou 3 jours pour être sûr. Le blocage de l'étage routeur du Technicolor peut aussi être causé par une bêtise sur mon réseau local. Ceci dit, une bêtise ne devrait pas planter le routeur. Cela ne m'était jamais arrivé. Et intuitivement j'accepte mal les hasards de ce type (changement de modem et blocages concommitents et intempestifs du routeur).

L'ennui de mon vieux routeur, est qu'il est truffé de paramètres. Je devrait suivre un cours du soir sur quelques mois pour comprendre ce qu'ils veulent dire... Why not.

Et encore merci.
Bonsoir AContrario,

Je suis dans la même situation que vous. J'ai migré de Proximus à Voo il y a quelques jours. Après avoir eu des attaques sur mon Synology, j'ai constaté que, par défaut, tous les ports étaient ouverts sur le Technicolor ! J'utilise Hyper Backup entre deux Nas distants. J'ai fait quelques tests et je ne vois pas comment n'ouvrir que les ports nécessaires. La documentation est tout à fait insuffisante par ex.: quelle est la différence entre les niveaux de protection du pare-feu ? Le Technicolor me donne l'impression d'être un produit blanc ... et cela ne me fait pas rire .

Avez-vous trouvé une solution ?

Cordialement
Michel
Niveau d'utilisateur 7
Badge +12
Hello
Concernant les attaques : Vous avez ouvert des ports communs dans le nat ? Comme le 80, 443, 5000 ?
Le réglage par défaut du pare feu ne pose pas de souci aux clients Voo en général.
Le Technicolor n’est pas un produit blanc mais un modem routeur domestique d’ opérateur et certaines fonctionnalités / réglages sont volontairement « bridés » pour que le client lambda ne chipote pas à tout et n’ importe quoi donc et je répète si vous désirez des fonctions avancées, et être totalement maître de votre réseau local, installez un VRAI routeur de votre choix et passez le modem TC en bridge.
Bonne soirée
Bonjour,

Merci pour votre réponse.

"Le Technicolor est un routeur domestique":
  • par défaut tous les ports sont ouverts, cela est tout à fait anormal, à plus forte raison pour un routeur domestique
  • même sur un routeur domestique il doit être possible de n'ouvrir que les ports nécessaires
"Ce n'est pas un produit blanc":
  • c'était trop tentant d'écrire que le Technicolor était un produit blanc: promis je ne le ferai plus :-))
Quant à mon problème:
  • avec le "niveau de protection" du pare-feu mis à "bas" (livré avec cette valeur): il indique que tous les ports sont ouverts et c'est le cas, tout fonctionne mais il y a des attaques sur le port 22 (SSH), ce qui était prévisible
  • avec le niveau mis à moyen, il indique qu'une dizaine de ports seulement sont ouverts, dont le port 22 mais je constate que le port 22 n'est pas accessible et rien ne fonctionne, de plus il est impossible avec le NAT d'ouvrir des ports
  • dans le NAT j'ai redirigé les ports 8080 et 873 plus d'autres après 10000 mais j'insiste tous les ports étaient déjà ouverts
Ma question:
Comment n'ouvrir que les ports dont j'ai besoin ? Je ne peux pas imaginer qu'une fonction aussi basique ne soit pas disponible sur un routeur même domestique. Je constate toutefois que je ne suis pas le seul à avoir rencontré ce problème (voir plus haut le commentaire de AContrario).

Cordialement
Michel
Niveau d'utilisateur 7
Badge +12
Hello,
Chez PXS, vous n'aviez pas non plus accès à ces fonctions dans le BBOX3 me semble t-il ?

Les ports 22/23 sont largement utilisés par VOO en gestion interne de votre modem déjà ce n'est peut être pas des attaques mais des accès de VOO à votre modem ...
Avez vous pu noter les IP des "attaquants" sur votre modem ?

Votre réseau local est protégé derrière le NAT et donc pour communiquer avec le WAN, il faut rediriger certains de ces ports vers l 'IP de votre NAS.

Quand vous dites tous les ports sont "ouverts" , pouvez vous expliquer de quelle façon avez vous testé cela ?
Proximus
  • à ma connaissance sur BBox 2 et 3 un nombre restreint de ports étaient ouverts
  • pas le 22 (j'ai dû l'ouvrir un jour pour qu'un technicien de Synology puisse intervenir)
  • j'ai un autre Nas "jumeau" avec une Bbox 3 avec lequel je n'ai jamais eu de problème comme sur le TC
  • c'est une conviction, je devrais faire quelques tests pour avoir une certitude (pas possible pour l'instant)
Attaques sur 22 et 23: maintenance VOO ?
  • les attaques sont vues comme provenant de Chine, d'Inde et d'Ukraine
  • leur fréquence n'est pas compatible avec une maintenance de VOO
  • les adresses IP ont été enregistrées sur le Nas
Le port 22 devrait être redirigé vers le NAS pour que cela présent un risque
  • ce n'est pas une protection: sans préciser l'IP du NAS, l'attaque l'a atteint: j'ignore comment mais je ne suis pas un spécialiste telecom
Détection des ports ouverts
  • canyouseeme.org (ok ce n'est pas toujours correct)
  • avec les utilitaires Synology
  • last but not least: sur la page "pare-feu" de l'outil de configuration du TC: "services autorisés" bien qu'avec le niveau de protection "moyen", les ports prétendument ouverts ne le sont pas ! A quoi peut-on donc encore se fier ?
Merci
Michel
Niveau d'utilisateur 7
Badge +12
Regardez un peu avec ce site de test pour voir ...
sur le TC vous pouvez choisir le port externe et interne
par exemple entrer sur le 21022 et le diriger vers le 22 en interne ...pour plus de sécurité.
Les deux outils donnent le même résultat. J'en ai essayé un troisième (ipfingerprints --> portscan). Il donne une information plus précise sur l'état du port. De là, je me demande si je ne mélange pas les notions de filtrage des ports, de NAT et de niveau de protection du pare-feu (je n'ai d'ailleurs aucune idée de ce que TC entend par cela). Je devrais aussi savoir dans quel ordre ces règles sont appliquées.

Je vais chercher un peu.
Merci beaucoup

Cordialement
Michel
Niveau d'utilisateur 7
Badge +8
Bonjour,

Avec les paramètres routeur et pare-feu par défaut ( sauf UPNP qui est activé ) du Technicolor, un test "ShieldsUp" sur les 1056 premiers ports via ce site https://www.grc.com/x/ne.dll?bh0bkyd2 donne quasiment tous ces ports en mode "stealth" (dissimulé), c'est à dire qu'ils ne répondent pas aux paquets TCP envoyés par la machine "interrogatrice" et donc ne révèlent pas la présence d'un ordinateur à l'adresse testée.

Seule exception les ports 67 (Bootstrap protocol server ??) et 68 (Bootstrap protocol client ??) qui répondent malheureusement "Closed" ( fermés )

Donc en tout cas pas de ports ouverts dans ce range 0 …. 1055.

J'ai scanné avec Zenmap: je vois seulement deux ports ouverts .
Avec GRC: il me dit ne pas recevoir de réponse à la requête UPnP or je l'ai activé et j'ai redémarré le routeur.

Je me suis remis dans la configuration dans laquelle je recevais des alertes du Nas concernant le port 22: aucun des logiciels ne dit que le port 22 est ouvert !

En conclusion: je ne crois pas pouvoir me fier à ces outils et les hackers sont manifestement compétents.

Merci de vos conseils
Niveau d'utilisateur 7
Badge +12
Pour le test GRC
Ce n’est pas UPNP mais ICMP ... il faut désactiver l’option de « blocage WAN » pour que votre modem réponde de l’ extérieur.
voir cette réponse dans un autre sujet
Merci beaucoup RoyLion pour vos conseils. Je n'ai malheureusement plus beaucoup de temps pour faire des tests.

Cordialement
Michel

Commenter