Redirection de ports (j'ai pas tout compris)

Olaf_Grossebaf · Décembre 3, 2022, 1:55pm

Bonjour à tous.

Je démarre un projet de « domotique » simple pour contrôler mon chauffage électrique à distance par les ports GPIO d’un Rasp Pi 3B.
J’ai utilisé CoDeSys, qui permet de programmer un petit automatisme avec des vues de supervision embarquées (html apparemment).

En local, tout fonctionne bien. Je tape http://192.168.1.11:8080/webvisu.htm et j’ouvre une page qui me permet déja de commander un voyant avec mon smartphone (un bon début).
J’ai mis 8080 sans trop comprendre pourquoi; juste après l’avoir vu dans un tuto. J’aime pas l’idée de faire des trucs sans comprendre mais tant pis; ça marche.

Le problème c’est quand je veux le prendre à distance.
Suite à divers tuto YouTube, j’ai vu qu’on créer un « lien » entre une adresse internet et une adresse locale en utilisant la « redirection de ports ». C’est bien ça ?

Je crée une redirection sur ma Freebox:
IP source:0.0.0.0
IP destination: 192.168.1.11
Protocole: TCP
Ports sources: 8080
Port destination: 8080
Depuis l’extérieur, je tape http://xxx.xxx.xxx.xxxx:8080/webvisu.htm (xx= adresse IP fixe de la box) et là: que d’alle !!

J’ai essayé avec d’autres configuration de port source (80, 8085, 51123…) et pour l’instant, rien ne fonctionne.

Y’a forcément un truc que j’ai mal compris.
J’ai beau avoir passé pas mal de temps en recherches, rien n’y fait.

Si quelqu’un a une idée pour m’aider, il aura ma reconnaissance éternelle

Mik91390 · Décembre 3, 2022, 3:33pm

Bonjour,
Est-ce que tu as essayé avec;
IP sources: toutes

Olaf_Grossebaf · Décembre 3, 2022, 3:47pm

Bonjour,
Est-ce que tu as essayé avec;
IP sources: toutes

Oui oui.
En fait « toutes » est synonyme avec « 0.0.0.0 »

Olaf_Grossebaf · Décembre 3, 2022, 4:45pm

J’ai trouvé !
Presque par hasard.
Et c’est d’une bêtise inouïe !!

Dans l’application smartphone Freebox, au chapitre « Etat de la Freebox » ils indiquent une adresse IP; mais ce n’est pas la bonne !!
Il faut ouvrir le chapitre et aller voir dans l’onglet « Réseau »

Ou alors aller vérifier sur un site « mon IP V4 »

seolmedia · Décembre 3, 2022, 4:46pm

bonjour

pour source tu mets ton ip fixe xxx.xxx.xxx.xxx et pas 0.0.0.0

tu actives également la DMZ et mets IP DMZ à 192.168.1.11

et redémarrer la box pour prendre en compte les modifs

bof · Décembre 4, 2022, 1:52am

hello,

Si tu ne souhaites pas qu"un hacker taquin te coupe le chauffage ou te le mette a donfe, je te conseille la lecture de cette page avec quelques bonnes pratiques pour limiter les risques !

jelopo · Décembre 4, 2022, 10:08am

Bonjour,

ou mon mépris à tout jamais…

L’ouverture de ports sur l’extérieur n’est pas du tout anodin. D’autant plus, quand on ne maitrise pas les risques encourus. Personnellement, je plussoie le conseille de @bof, et même je recommande vivement de ne pas ouvrir un port sur le net tant que la sécurité n’est pas en place.

Faut pas être parano, mais il ne faut pas ignorer la puissance et la perfidie des robots des pirates. S’il y a une porte d’entrée, ils la trouveront et ils l’utiliseront probablement (bot, virus, cheval de troie…), ce n’est qu’une histoire de temps. Sur mon serveur sur le net où je n’ai que le port SSH d’ouvert, je me ramasse encore 150 à 200 attaques par jour après avoir mis en place entre autre fail2ban. Sans cela je compterais en millier les attaques journalières. Il faut en avoir conscience.

Même si le risque est minime, il est possible un jour de se faire chiffrer tout son parc de machines relié au PI à l’insu de son plein gré. Il n’y a qu’à regarder les chaines d’infos sur les entreprises à qui cela arrive. "Ben oui @jelopo, t’as raison, en tant que particulier qu’est ce que je risque, en gros rien du tout! " Peut être bien, mais « comme c’est étrange », j’ai remarqué des pics d’attaques en période de vacances scolaires… il faut bien que les pirates en herbe fassent leurs armes et sur des systèmes « faciles » à attaquer.

Donc quand je pousse mon PI sur le net, je dois être aussi en mesure de me dire, « qu"est ce que je suis prêt à perdre ? »

Mais bon, je dis ça je dis rien…

Dans tous les cas bonne bidouilles.

A+

Olaf_Grossebaf · Décembre 4, 2022, 11:01am

Merci à tous les deux pour votre aide et vos infos.

En effet, c’est la question que je me suis posé dès que j’ai entamé l’ouverture d’un port.
Je vous rassure; pour l’instant je débranche physiquement le Raspberry dès que j’ai terminé mes petites expériences.

Maintenant, qu’un hacker s’amuse à piloter mon chauffage à distance, ça ne me dérange pas plus que ça.
Les sorties GPIO agiront sur le fil pilote de quelques convecteurs; donc il peut tout au plus basculer entre le mode Eco et le mode Confort. Pas de quoi mettre le feu à la barraque.
De toute façon, la petite supervision générée par Codesys permet de mettre un mot de passe sur la vue d’accès.

Ce qui m’inquiète plus, c’est les possibilités d’aller plus loin.
Est-que qu’un hacker peut utiliser cet accès pour « rebondir » et aller plus loin dans le Raspberry Pi ou pire encore sur mon réseau local ?
Est-ce qu’on ne fait que lire une page html, ou est-ce plus que ça ?
[edit] je vois que @jelopo a quasiment déjà répondu à cette question

Sur ces derniers points je suis complètement ignorant et votre avis sera bienvenu.
Je vais aussi regarder avec attention le lien donné par @bof. Merci.