Bbox Pure Fibre - SAGEMCOM Fast 5688b - Routeur IPV4 et IPV6

pleneve · Message par **pleneve** » 05 avr. 2025, 12:12

Bonjour,
J'essaye depuis plusieurs jours de me connecter via internet aux ressources de mon NAS et j'ai des résultats très bizarres, du style ça fonctionne puis ça ne fonctionne plus sans avoir changer de configuration. A part les adresses IP V4 et V6 qui peuvent changer vue qu'elles sont dynamiques, est ce Bouygues fait des modifications au niveau du routeur de la Bbox ?

Y a t il parmi vous des spécialistes de la Bbox Pure Fibre ou SAGEMCOM Fast 5688b qui pourrait répondre aux questions ci-dessous :
1- Est ce que le(s) port(s) d'une redirection NAT vers le(s) port(s) d'une adresse IP interne doivent aussi être ouvert(s) dans le Firewall V4 ou est ce automatique ?
2- Est ce qu'il y a une priorité dans les règles du Firewall V4 ?
3- Est ce que tous les ports de toutes les adresses destination et source sont invalidées par défaut ?
4- Peut-on par exemple en premier mettre une règle pour valider tous les ports du réseau interne (198.168.0.0/24 par exemple) ?
5- Si le point 3 est vrai, il n'est pas nécessaire de rajouter une dernière règle de blocage de tous les accès ?
6- Est il possible de valider un accès externe en IP V6 de l'extérieur via le FireWall IP V6 ?
7- Faut il pour cela ouvrir tous les flux IPV6 en entrée et aucune règle dans le FIrewall V6 en supposant que tous les accès sont bloqués par défaut (sans règle) ? (Identique pour IP V4 au point 3)
8- D'après les tests effectués sur ma connexion, si je valide les flux IPV6 en entrée, je détecte deux ports ouverts, le 445 et le 135 et si je rajoute une règle de blocage cela ne change rien ; avez vous un comportement similaire ?
9- De la même manière si j'autorise un flux IPV6 dans le Firewall V6 cela ne marche pas non plus ; Est ce que le Firewall IPV6 est fonctionnel ou pas dans cette box ?
10- D'après mes essais, les accès en externe faits à partir d'un smartphone sont réalisés en IPV6 et ne fonctionne pas du fait de l'impossibilité d'ouvrir un flux IPV6 d'un port vers une machine interne.
11- Par contre l'ouverture des ports 445 et 135 en IPV6 sans blocage possible me semble être une porte ouverte vers les problèmes

Merci d'avance pour vos réponses
Pascal

Mariotte91 · Message par **Mariotte91** » 07 avr. 2025, 08:44

Bonjour,

Dans sa configuration de base, la box bloque (presque) tous les ports en entrée WAN et permet tous les ports en sortie.

Les règles NAT sont prioritaires à celles du pare-feu.

Pour ma part, je n'ai pas eu besoin de toucher au pare-feu. Les ports 445 et 135 sont fermés sur le WAN (et sur le LAN). Je ne vois ouverts que ceux pour lesquels une règle NAT existe dans ma conf. (ayant une offre triple play, je vois filtrés les ports TCP 5060 et 5061 correspondant à la VOIP)

En espérant que cela puisse réponde à certaines de tes questions.

Mariotte91

pleneve · Message par **pleneve** » 07 avr. 2025, 10:11

Merci Mariotte91 pour ta contribution.
Pour l'IPV4 c'est assez clair, le NAT est prioritaire sur le Firewall IPV4 et Le Firewall ne laisse rien passer en entrée en l'absence de règle.

Par contre mon plus gros souci concerne l'IPV6 car l'adresse IPV6 publique de la bbox n'a pas l'air d'être configurable du tout ; du coup impossible d'accéder aux ressources internes du NAS via un smartphone qui ne fait de base que de l'IPV6.

Mariotte91 · Message par **Mariotte91** » 07 avr. 2025, 19:03

A mon avis, tu as juste à rendre statique l'adresse IPV6 de ton NAS et autoriser le trafic vers cette adresse statique dans le pare-feu IPV6 de la box via une règle basée sur l'adresse MAC de ton smartphone.

Mariotte91

pleneve · Message par **pleneve** » 08 avr. 2025, 11:57

Bonjour,

Pour l'IPV6 voici mes conclusions suite à mes essais :
- En mode normal tout le flux IPV6 sort mais rien ne rentre
- En mode faible tout le flux IPV6 rentre et sort et le Firewall IPV6 n'a aucun impact, seul les ports valides des machines internes sont accessibles et ce quel que soit l'état du Firewall IPV6 (ON ou OFF) ou que des règles soient présentes ; c'est un passe tout en mode faible.

Est ce normal d'avoir un Firewall IPV6 qui ne faite rien ? Est ce qu'il n'est pas terminé ou bogué ?

En tout cas ce n'est pas rassurant pour la sécurité du réseau interne.

Mariotte91 · Message par **Mariotte91** » 08 avr. 2025, 13:12

Bonjour,

Le mode faible du firewall est équivalent à pas de firewall.

Dans ton cas il faut le laisser sur normal et ajouter une (ou plusieurs) règles en fonction de tes besoins comme je te l'ai indiqué dans mon post précédant.

L'exemple ci après bloquerait le trafic IPV6 qui ne proviendrait pas de l'adresse MAC de mon téléphone

Cette règle est un exemple qui n'a aucun sens, car si le niveau de sécurité est normal, tout le trafic est déjà bloqué. Elle serait pertinente par contre en mode faible, car seul mon téléphone pourrait accéder au réseau en IPV6 depuis l'extérieur.

Mariotte91

pleneve · Message par **pleneve** » 08 avr. 2025, 18:32

@Mariotte91

La logique de fonctionnement de ce Firewall m'interpelle un peu car il travaille en logique négative :
- quand il est sur OFF et en mode faible tous les flux IPV6 entrants et sortants sont validés
- idem en mode ON sans règle

Il faut donc faire des règles de blocage pour :
- bloquer les flux IPV6 sortant sauf pour le LAN,
- bloquer les flux IPV6 entrants qui ne sont pas à destination du NAS ou de la machine virtuelle HA.

Il eut été plus judicieux à mon avis de tout interdire et de n'autoriser que certains flux.

Par contre le filtrage sur les numéros de port n'a pas l'air de fonctionner, il faut donc utiliser le Firewall du NAS pour ne valider que les ports nécessaires.

Voici les 2 règles qui m'ont permis d'accéder à mon NAS et HA interne via un smartphone en IPV6 ; l'IPV4 est traité par le NAT et le Firewall IPV4.

Mariotte91 · Message par **Mariotte91** » 08 avr. 2025, 19:52

Ta première règle n'a aucun effet, car je ne vois pas comment un périphérique de ton LAN pourrait avoir une IPV6 autre que celle que tu déclares dans la règle.

Je te suggère de repasser en normal (trafic entrant bloqué) , et de modifier ta seconde règle pour autoriser le trafic vers tes deux périphériques.

Par contre le filtrage sur les numéros de port n'a pas l'air de fonctionner.

A mon avis c'est normal en mode faible car tout est ouvert.

Mariotte91

pleneve · Message par **pleneve** » 09 avr. 2025, 08:06

Bonjour Mariotte91

Si je passe en mode normal tous les flux IPV6 entrants sont bloqués quelque soit les règles ; on ne peut faire dans ce mode qu'un filtrage (blocage) de certains flux sortants mais pas de filtrage (autorisation) de flux entrants.

J'ai combiné mais deux règles en une seule et tous mes accès externes fonctionnent ; reste à savoir ce qui est effectivement rejeté par le firewall de la Bbox. Y a t -il un outil pour cela ou un journal de log de ce type d'évènement dans la Bbox ?

Pascal

Mariotte91 · Message par **Mariotte91** » 09 avr. 2025, 08:45

J'avoue que j'ai du mal à comprendre l'objectif de ta règle.

Tu ouvres tout (pare-feu sur faible) puis tu interdits les machines n'ayant pas le préfix délégué (????? seuls des machines de ton LAN peuvent l'avoir) à accéder aux machines autre que ton NAS et HA.

Si tu souhaites accéder en IPV6 à ton NAS depuis l'extérieur de ton réseau, l'autorisation du trafic vers l'adresse de ces machines en mode normal me semble moins alambiqué.

Bbox Pure Fibre - SAGEMCOM Fast 5688b - Routeur IPV4 et IPV6

Connexion