# interdire l'accès au réseau local



## Waiting_the_True (7 Août 2012)

Salut,

J'espère que vous passez d'agréables vacances d'été 

Voilà ce qui mamène, j'ai un iMac connecté sur un routeur Wifi, sur ce réseau il y a également un PC. Le problème c'est que le finder m'affiche: "PC", cela m'indispose. Pourtant, tous deux ont le partage de fichier désactivé et disposent d'un firewall restrictif actif. Plus embarrassant encore, c'est lorsque j'ai fait un netstat via le terminal et que j'ai obtenu une ligne de sous-réseau suivie de -microsoft "ETABLISHED".  De même que mincommode dans pref sys/partage: "Les ordinateurs de votre réseau local peuvent accéder à votre ordinateur à ladresse: Nom-de-l-ordinateur.local et ce alors que toutes les options de partage sont désactivées!

Comment faire pour qu'il n'y ait aucune connexion entre le PC et l'iMac? via -ipfw dans le terminal, est-il possible de couper les ports qui gèrent le réseau local? le cas échéant, quel serait la ligne de commande et/ou script?

Merci de m'avoir lu et merci par avance pour vos conseils.


----------



## Anonyme (7 Août 2012)

Bonsoir,

 tu pourrais tester (me rappelle plus si c'est suffisant) de renommer le groupe de travail sur le Mac.

Par défaut le PC a MSHome ou Workgroup, ou le nom d'un groupe de travail.

Sur le Mac, dans Préf. système / réseau / Avancé / onglet WINS / Groupe de travail, mets autre chose : "Mongroupe" ou qqchose comme ça.

Ca suffira peut-être pour que les ordis ne se voient plus.

Je n'ai pas de quoi tester sous la main ce soir pour vérifier.

Quant à : "Les ordinateurs de votre réseau local peuvent accéder à votre ordinateur à l&#8217;adresse: Nom-de-l-ordinateur.local"

Il faut le comprendre comme suit : "si vous activez le partage de fichiers, les ordinateurs de votre réseau local pourront accéder à votre ordinateur à l&#8217;adresse: Nom-de-l-ordinateur.local"


----------



## Polo35230 (8 Août 2012)

Bonjour,

En complément de la solution de Renaud:

La commande ipfw ci-dessous interdira tout dialogue avec le PC.
Il faut que le PC ait une IP fixe pour que la solution soit durable.

Dans une fenêtre Terminal, taper la commande :
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100)

Ensuite, taper la commande ci-dessous pour interdire toute comm avec le PC 
sudo ipfw add 100 deny ip from AdresseIPduPC to any

Si par la suite, on veut enlever le contrôle, faire:
sudo ipfw delete 100


----------



## Waiting_the_True (8 Août 2012)

Bonjour Renaud, Polo et tous les autres 

@Renaud31: Merci pour ta réponse. Avant de tester ta procédure, il y a un point que je souhaiterais éclaircir: WINS/ NOM NetBIOS: IMAC "IMAC est actuellement utilisé" cela signifie quoi? qu'est-ce que le WINS et est-ce que changer le nom du groupe de travail peut avoir des conséquences sur la sécurité global de mon iMac? 

@Polo35230: Merci pour ta réponse. En effet, c'est un complément intéressant  Toutes fois, certains points me taraude: 

Comment savoir si le PC a une IP fixe? dois-je seulement taper "ipconfig" dans MS-DOS? 
le cas échéant, quelle ip dois-je retenir? 

Pourquoi vérifier qu'il n'y ait pas de ligne "100"? la présence d'une telle ligne signifiait que l'iMac est hacké ou je fais fausse route?  

Ensuite, dans cette commande (sudo ipfw add 100 deny ip from AdresseIPduPC), si je ne ne m'abuse, on "crée" une ligne 100? n'est-ce pas dangereux? cela ne pourrait-il pas représenter un backdoor pour des pirates? 

Enfin, connaitriez-vous un bon guide, papier ou numérique, qui initie à la configuration optimale du "ipfw" dans le terminal? 

J'ai constaté qu'il y avait quelques sujets traitant de sécurité épinglés, et parcourir ceux-ci m'a laissé dubitatif... certes, il n'y a pas (encore) de "virus" et autres pathogènes sur Mac lol, mais sommes-nous pour autant à l'abri des "attaques réseau" et hacking qui en résulte? n'y aurait-il pas une "vulgarisation de langage" dans le monde de la sécurité informatique? n'y a-t-il pas un sujet qui fasse lumière d'une réelle protection optimale sur Mac? Mon opinion, est que les pseudos-logiciels de protection  des grosses firmes ne sont que poudre aux yeux, je suis convaincu que sécuriser son ordinateur passe par une configuration complexe du fw via le terminal, comme dans lenvironnement Linuxien, je me trompe?

Merci encore à vous deux ainsi qu'aux futurs intervenants,

Bonne journée à tous.


----------



## Anonyme (8 Août 2012)

Waiting_the_True a dit:


> Bonjour Renaud, Polo et tous les autres
> 
> @Renaud31: Merci pour ta réponse. Avant de tester ta procédure, il y a un point que je souhaiterais éclaircir: WINS/ NOM NetBIOS: IMAC "IMAC est actuellement utilisé" cela signifie quoi? qu'est-ce que le WINS et est-ce que changer le nom du groupe de travail peut avoir des conséquences sur la sécurité global de mon iMac?



Bonjour,

1. WINS/ NOM NetBIOS: IMAC "IMAC est actuellement utilisé" signifie que c'est le *nom* de l'ordinateur *par défaut.*

Ca ne veut pas dire que le partage est en cours, ni même que tu es dans un réseau.

Ca veut dire : "tant que vous n'en aurez pas choisi un autre, c'est ce nom qui sera utilisé quand vous serez dans un réseau"

2. Au contraire : créer ton "propre" groupe, et être le seul dedans, ne fait que renforcer ton isolement.

Tu peux tester la solution dès maintenant, de toute façon c'est réversible !


----------



## Waiting_the_True (8 Août 2012)

RE,

Une chose invraisemblable vient de se produire 
Depuis mon dernier post, alors que je n'ai encore entrepris aucune des procédures proposées et tandis que le PC est actuellement connecté au réseau et actif, dans le finder plus de "PC" mentionné, et log du netstat n'affiche plus la ligne de sous-réseau suivie d'un -microsoft "ETABLISHED". Mais qu'est-ce que cela signifie  

Est-ce possible que le "PC" ait servit de mouchard sur mon réseau local? et qu'un potentiel hacker ait laissé tomber en voyant ce topic et les mesures que j'allais prendre? 

edit: il vient de réapparaitre! 

C'est super flippant je trouve :mouais:


----------



## Anonyme (8 Août 2012)

Change le groupe de travail du Mac !!!!

Vérifie que ton pare-feu est activé.


----------



## Waiting_the_True (8 Août 2012)

@Renaud31: Voilà qui est fait, merci. Pour le nom NetBIOS, ne serait-il pas judicieux de le modifier également? Concernant mon post précédent, après quelques recherches, ce serait du à un bug propre à Mac OSX. 

J'attends donc les précisions de Polo concernant ipfw  

Bonne journée et encore merci.

Coupe-feu mode furtif actif, bien entendu.

---------- Nouveau message ajouté à 14h12 ---------- Le message précédent a été envoyé à 13h02 ----------

@Renaud: désolé de te solliciter à nouveau, mais dois-je modifier le name NetBIOS ou pas? 
Merci d'avance.


----------



## Polo35230 (8 Août 2012)

Waiting_the_True a dit:


> Comment savoir si le PC a une IP fixe? dois-je seulement taper "ipconfig" dans MS-DOS?
> le cas échéant, quelle ip dois-je retenir?


Non, ipconfig donne l'adresse IP du PC, mais pas sa méthode d'attribution.
Pour le savoir, il faut regarder dans la configuration réseau du PC si DHCP est activé (DHCP auto) ou non.
Si DHCP n'est pas activé, c'est une adresse fixe.
Sinon, l'adresse IP est attribuée par un serveur DHCP. Elle peut donc changer, sauf si dans le serveur DHCP (en général, la box dans un réseau familial), on fait en sorte qu'elle soit fixe en associant l'adresse mac du PC a une adresse IP. 



Waiting_the_True a dit:


> Pourquoi vérifier qu'il n'y ait pas de ligne "100"? la présence d'une telle ligne signifiait que l'iMac est hacké ou je fais fausse route?


Non, on vérifie simplement pour s'assurer qu'on ne va pas écraser la ligne 100 (j'ai mis 100 au hasard!) au cas ou quelqu'un aurait ajouté une sécurité ligne 100 .
En réalité, il y a peu de chance. Par défaut, il n'y en a qu'une (la 65535 qui autorise tout...)



Waiting_the_True a dit:


> Ensuite, dans cette commande (sudo ipfw add 100 deny ip from AdresseIPduPC to any), si je ne ne m'abuse, on "crée" une ligne 100? n'est-ce pas dangereux? cela ne pourrait-il pas représenter un backdoor pour des pirates?


Non, c'est une commande restrictive classique dans un firewall.
C'est simplement pour dire au Mac de détruire tout datagramme IP ayant cette adresse.



Waiting_the_True a dit:


> Enfin, connaitriez-vous un bon guide, papier ou numérique, qui initie à la configuration optimale du "ipfw" dans le terminal?



dans une femêtre Terminal, il faut faire:
man ipfw
On a alors accès à toute la doc (firewall et QoS).
C'est la bible (réservée aux masochistes anglophiles...)



Waiting_the_True a dit:


> J'ai constaté qu'il y avait quelques sujets traitant de sécurité épinglés, et parcourir ceux-ci m'a laissé dubitatif... certes, il n'y a pas (encore) de "virus" et autres pathogènes sur Mac lol, mais sommes-nous pour autant à l'abri des "attaques réseau" et hacking qui en résulte? n'y aurait-il pas une "vulgarisation de langage" dans le monde de la sécurité informatique? n'y a-t-il pas un sujet qui fasse lumière d'une réelle protection optimale sur Mac? Mon opinion, est que les pseudos-logiciels de protection  des grosses firmes ne sont que poudre aux yeux, je suis convaincu que sécuriser son ordinateur passe par une configuration complexe du fw via le terminal, comme dans l&#8217;environnement Linuxien, je me trompe?


Bon, faut pas parler ici de virus sur Mac.
On se va se faire bouler...
Maintenant, on peut très bien récupérer un malware. On l'a vu récemment avec DNSChanger.

On peut bien entendu utiliser ipfw pour ses fonctions de firewall.
Maintenant, c'est un peu lourdingue...
Pour moi, un firewall du marché fera aussi bien.
Dans les deux cas, le plus dur, c'est de déterminer une politique de sécurité en fonction de son activité, et de la mettre en oeuvre.
Et là, il faut des connaissances que la majorité des utilisateurs n'ont pas.

Perso, j'utilise VirusBarrierX6 (payant) qui intègre différentes fonctionnalités:
Antivirus (qui n'a jamais rien trouvé chez moi et est le plus souvent désactivé).
Firewall bidirectionnel (là, j'utilise...). Pratique et ergonomique
Antipishing, filtres de bannières, logs d'évennements réseau.etc...
Je n'ai pas d'actions chez eux...


----------



## Anonyme (8 Août 2012)

Waiting_the_True a dit:


> @Renaud: désolé de te solliciter à nouveau, mais dois-je modifier le name NetBIOS ou pas?
> Merci d'avance.


Ce n'est pas nécessaire : ce nom te permet de dire à un "collègue" : si tu veux savoir qui est mon ordi sur le réseau pour t'y connecter, c'est : "IMAC".

Ca lui permet de choisir cet ordi pour s'y connecter si vous avez décidé un partage.

Si tu changes le nom en "MACHIN" il verra un ordi "MACHIN" au lieu de voir "IMAC", mais ça ne change rien aux modalités de partage.

Donc sur le plan sécurité ça ne change strictement rien.

Toi ton but c'est que le PC et le Mac ne se "voient" pas, si j'ai bien compris.

Pour ça, en principe, à partir du moment ou il y a DEUX groupes de travail, les ordis ne se voient pas.


----------



## Waiting_the_True (8 Août 2012)

Merci Polo pour cette réponse détaillée  J'y vois un peu plus clair désormais 
Le seul point qui reste flou est l'IP "fixe" du PC...  Il me semble que DHCP auto est actif sur le PC comme il l'est sur mon iMac, c'est un réseau domestique quoi, avec une box installée par le FAI. Mais alors l'IP du PC est la même que celle de mon Mac si c'est le routeur qui attribue? je ne peux alors pas créer la règle ipfw sans quoi je n'aurai plus de connexion? je membrouille un peu 

Dommage qu'il n'y ait pas de tuto en français pour ipfw  Mais je respecte et partage un peu ton approche concernant la sécurité, mais disons que je n'ai que modérément confiance dans les firmes mercantiles de sécurité informatique... je suis plutot du genre à vouloir comprendre ce que fait un soft, donc je me dis autant le faire moi-même que de payer bonbon pour un littlesnitch ou autre... et puis j'aime bien le terminal, cela a qqch. de romanesque mdr

Maintenant, je ne crois pas aux "malwares" (pour prendre un terme général), qu'ils soient sur Windaube, Mac OS ou Linux, cela ne signifie à mon sens plus grand chose... Faut vraiment être "irraisonné", user de P2P, ou aller sur des sites tout droit sortis de la naphtaline pour choper un malware en 2012! Un add-on type "siteadvisor", scanner les pièces-jointes qui semblent fumeuses suffit, selon moi, amplement! 

En outre, ce qui me fait peur, ce sont les attaques réseaux, que je pense être bien plus offensive qu'un "malware", si un hacker prend le contrôle du mac, il peut pour ainsi dire tout faire même formater le DD non? enfin, voilà la raison pour laquelle je souhaitais un pare-feu optimal!


----------



## Anonyme (8 Août 2012)

Waiting_the_True a dit:


> Le seul point qui reste flou est l'IP "fixe" du PC...  Il me semble que DHCP auto est actif sur le PC comme il l'est sur mon iMac, c'est un réseau domestique quoi, avec une box installée par le FAI. Mais alors l'IP du PC est la même que celle de mon Mac si c'est le routeur qui attribue? je ne peux alors pas créer la règle ipfw sans quoi je n'aurai plus de connexion? je m&#8217;embrouille un peu



Non, ce n'est jamais la même adresse IP pour 2 appareils : le routeur attribue une adresse IP au premier appareil qui se connecte : par exemple 192.168.1.2

Le deuxième appareil qui se connecte aura : 192.168.1.3

Etc...

Ceci dit, toujours en DHCP, tu peux aller dans l'interface de la BOx, et imposer que tel équipement aura toujours la même adresse IP dans *CE* réseau (et seulement celui-là).

Pour faire ça tu connectes l'appareil, tu rentres dans la box et tu repères l'appareil par son nom ("PC de Machin") ou son adresse MAC, et tu fixes l'adresse IP (réservation d'adresse IP).

Tu n'as pas choisi l'IP comme on fait quand on configure en IP fixe, mais tu as "fixé" pour l'appareil en question l'IP que la box lui a attribuée.
Cette IP ne changera plus pour CET appareil dans CE réseau.


----------



## Waiting_the_True (8 Août 2012)

Merci pour ta réponse Renaud! Ok, si cela ne sert à rien, à quoi bon alors  

En effet, je me demandais pourquoi modifier l'un et pas l'autre! je pensais qu'il serait plus judicieux d'éteindre physiquement le PC et le modem Wifi, ensuite modifier le nom NetBIOS et le groupe de travail sur mon Mac et reboot le tout.  Quelque fois qu'il y aurait un "traceroute" ou truc du genre permettant par le NetBIOS name de mon Mac de retrouver le groupe de travail et ainsi ré-établir une connexion entre les machines sur le réseau local!

---------- Nouveau message ajouté à 15h23 ---------- Le message précédent a été envoyé à 15h17 ----------

Euh ouaip là ça devient un peu compliqué, je ne pense même pas pouvoir accéder à l'interface de ma box et je ne préfère d'ailleurs pas loul! je vais donc m'en tenir à la première solution, merci encore à tous les deux 

Voilà je viens de regarder dans la doc' de mon FAI, cela ne semble même pas etre la page de configuration du routeur, mais plus une page de config' hyper basique de celui-ci propre au FAI (interface de réglages à son effigie), bref je crois que l'accès à la config' initial du routeur est bridée.


----------



## Anonyme (8 Août 2012)

Waiting_the_True a dit:


> [/COLOR]Euh ouaip là ça devient un peu compliqué, je ne pense même pas pouvoir accéder à l'interface de ma box et je ne préfère d'ailleurs pas loul!
> 
> Voilà je viens de regarder dans la doc' de mon FAI, cela ne semble même pas etre la page de configuration du routeur, mais plus une page de config' hyper basique de celui-ci propre au FAI (interface de réglages à son effigie), bref je crois que l'accès à la config' initial du routeur est bridée.


Si c'est dans le cadre d'un réseau domestique qui t'appartient, l'accès au routeur doit être possible, ainsi que la réservation d'iP. (et ce, en quelques clics).

Je pense que tu ferais bien d'ailleurs d'approfondir un peu le sujet, voici pourquoi :

Tu n'as pas l'air de savoir que ta box a une interface de configuration.
Si l'accès se fait pas le Net, tu ne peux faire de modifs qu'après avoir rentré tes identifiants et mot de passe. Donc c'est assez "safe".

En revanche, si c'est une Box dont l'interface de config. est accessible par son adresse IP ou son "petit nom", par exemple 192.168.1.1 ou "livebox.home" si c'est une Livebox,

ET que tu n'as pas changé le password par défaut ("admin" ou "password"), alors n'importe qui dans ton réseau peut rentrer dans la Box.
Ca ne veut pas dire que ça donne accès à ton Mac, mais ça fournit son adresse IP....

Bref, si la sécurité te préoccupe dans ton réseau, renseigne toi un peu sur les précautions minimales à prendre.


----------



## Waiting_the_True (8 Août 2012)

@Renaud: en effet, c'est possible. J'ai pu y accéder en Wifi depuis mon iMac... c'est flippant d'ailleurs, enfin beaucoup moins lorsqu'on s&#8217;aperçoit l'interface "hyper basique" propre au FAI. Si je ne me trompe pas, c'est donc le software de mon FAI qui tourne dans le modem et pour recouvrer celui du "constructeur" je devrais faire un reset au paramètre d'usine, mais je ne m'y risquerai pas car j'ai peur de ne plus avoir de connection internet. Enfin, il y a tout de meme un pseudo-mode "expert" comprenant une rubrique "réservation d'adresse IP" => "assigner une IP fixe à une adresse MAC. Je présume alors que je dois faire ipconfig depuis le PC, noter l'adresse physique, introduire cette MAC adresse dans les réglages du modem et ensuite faire la manip de notre ami Polo? 

Par exemple, impossible de changer les identifiants par défaut du modem wifi :/  il y a aussi un onglet "débit max. théorique" réglé par défaut sur 150Mbps mais j'ai la possibilité de choisir "Supérieur (300Mps)" je peux le faire ?


----------



## Anonyme (8 Août 2012)

Waiting_the_True a dit:


> @Renaud: en effet, c'est possible. J'ai pu y accéder en Wifi depuis mon iMac... c'est flippant d'ailleurs, enfin beaucoup moins lorsqu'on s&#8217;aperçoit l'interface "hyper basique" propre au FAI. Si je ne me trompe pas, c'est donc le software de mon FAI qui tourne dans le modem et pour recouvrer celui du "constructeur" je devrais faire un reset au paramètre d'usine, mais je ne m'y risquerai pas car j'ai peur de ne plus avoir de connection internet. Enfin, il y a tout de meme un pseudo-mode "expert" comprenant une rubrique "réservation d'adresse IP" => "assigner une IP fixe à une adresse MAC. Je présume alors que je dois faire ipconfig depuis le PC, noter l'adresse physique, introduire cette MAC adresse dans les réglages du modem et ensuite faire la manip de notre ami Polo?
> 
> Par exemple, impossible de changer les identifiants par défaut du modem wifi :/  il y a aussi un onglet "débit max. théorique" réglé par défaut sur 150Mbps mais j'ai la possibilité de choisir "Supérieur (300Mps)" je peux le faire ?


Non tu n'as rien à reseter.

"réservation d'adresse IP" => "assigner une IP fixe à une adresse MAC

C'est exactement de ça que je parlais au dessus.
Sur cette page, du dois voir la liste des équipements connectés, et pouvoir cocher ou cliquer quelque chose pour faire la réservation d'adresse IP.

Envoie une capture d'écran, ça sera plus simple.

Impossible de changer les identifiants, ça m'étonnerait.
Tu n'as pas dû trouver la bonne page. 

Pour le débit, laisse 150 Mbps, qui garantit une meilleur couverture de la wifi.
Si tu augmentes le débit maxi tu réduis la couverture.


----------



## Waiting_the_True (9 Août 2012)

Voilà j'ai suivi toutes les indications et voici mon rapport: 

PC s'affiche toujours dans le finder et un audit netstat signale un statut de connexion  type "SYN_SENT" ou "ETABLISHED" entre les deux ordinateurs. 
Concernant la solution proposée par Polo, je me suis aperçu que la ligne 100 s'efface après reboot. Je pense donc qu'il faut créer un "script" afin d'enregistrer les règles ipfw nouvellement crées, mais lequel?  
Aussi, lors d'un 
	
	



```
sudo ipfw list
```
 cette ligne est récurrente 
	
	



```
65535 allow ip from any to any
```
 qu'est-ce que cela signifie? peut-on là supprimer? 

Je suis dans l'impasse, impossible semble-t-il de supprimer toute communication entre le PC et le Mac 

Merci encore et par avance.


----------



## Waiting_the_True (9 Août 2012)

Voilà j'ai suivi toutes les indications et voici mon rapport: 

PC s'affiche toujours dans le finder et un audit netstat signale un  statut de connexion  type "SYN_SENT" ou "ETABLISHED" entre les deux  ordinateurs. 
Concernant la solution proposée par Polo, je me suis aperçu que la ligne  100 s'efface après reboot. Je pense donc qu'il faut créer un "script"  afin d'enregistrer les règles ipfw nouvellement crées, mais lequel?  
Aussi, lors d'un sudo ipfw list cette ligne est récurrente 65535 allow  ip from any to any qu'est-ce que cela signifie? peut-on là supprimer? 

Je suis dans l'impasse, impossible semble-t-il de supprimer toute communication entre le PC et le Mac 

Merci encore et par avance.


----------



## Waiting_the_True (9 Août 2012)

RE;

Je croise les doigts mais le problème me parait résolu! Finalement, beaucoup de complications pour peu de choses... j'ai en effet opté pour le blocage de toutes les connexions entrantes dans les préférences du coupe-feu et on dirait que toutes liaisons entre les deux machines sont désormais coupées. 

Néanmoins, je ne comprends pas l'attribution d'un "rond orange" à cette option, c'est pourtant la plus sécurisée, pourquoi Apple ne lui a pas attribuée un "rond vert" comme c'était le cas lorsque le coupe feu était configuré en mode furtif seulement? Enfin heureusement le mode furtif est toujours actif, je me suis rendu compte, que l'activation de l'option "Bloquer toutes les connexions entrantes" était inhérente au mode furtif ce qui est plutôt cool!

En tous cas, je tiens à vous remercier pour votre aide et votre patience.

En vous souhaitant une agréable soirée, 

WtT


----------



## Anonyme (9 Août 2012)

Bonsoir,

 tu risques d'avoir des limitations dans ton usage d'Internet : iTunes, Appstore, Skype, iChat, etc, etc....

Donc quand ça bloque il faut aller ajouter le service en question à la liste des exclusions.


----------

