Bonjour,
J'essai de régler au mieux mes services réseaux, pour l'instant j'ai les services suivants d'activés :
AFP, Coupe-feu, DNS, Open Directory et VPN.
Afin de régler parfaitement mon coupe-feu, j'essaye de comprendre l'historique des logs rejetés par le coupe-feu de OSX Serveur.
Voici les logs depuis ce matin :
- Code:
-
Jul 3 08:39:38 serveurmacmini servermgrd[59]: servermgr_ipfilter:ipfw config:Notice:Flushed IPv4 rules
Jul 3 08:39:38 serveurmacmini servermgrd[59]: servermgr_ipfilter:ipfw config:Notice:Flushed IPv6 rules
Jul 3 11:48:10 serveurmacmini ipfw[146]: 65534 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via en0
Jul 3 11:48:12 serveurmacmini ipfw[146]: 65534 Deny UDP 192.1.1.1:137 192.1.1.255:137 in via en0
Jul 3 11:49:19: --- last message repeated 19 times ---
Jul 3 12:53:28 serveurmacmini ipfw[146]: 65534 Deny UDP 192.1.1.2:1234 255.255.255.255:9999 in via en0
Jul 3 14:20:46: --- last message repeated 1 time ---
Les 2 premiers messages
servermgrd[59] doivent signifier que les règles IPV4 et IPV6 sont activés, lors du démarrage du coupe-feu. A ce sujet, je ne comprend pas bien pourquoi les règles IPV6 sont activées, vu que j'ai forcé mes préférences réseau à fixer une adresse IPV4 seulement à mon serveur, de même pour l'ensemble des périphériques du LAN (Freebox comprise).
Ensuite,ma femme a branché son PC sur le réseau local pour aller chercher une recette de cuisine sur internet, d'où les logs suivants :
- Code:
-
Jul 3 11:48:10 serveurmacmini ipfw[146]: 65534 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via en0
Jul 3 11:48:12 serveurmacmini ipfw[146]: 65534 Deny UDP 192.1.1.1:137 192.1.1.255:137 in via en0
Jul 3 11:49:19: --- last message repeated 19 times ---
Je ne comprend pas la première ligne... Si j'essai de traduire celle-ci je lis que la machine avec l'IP 0.0.0.0 via son port 68 s'est vue refuser la communication à l'ensemble du réseau local sur le port 67, via le protocole UDP. And So What ? Je ne comprend pas bien comment un PC se connectant au réseau local puisse émettre suivant cette adresse 0.0.0.0, et dans quel but ?
La seconde ligne me semble plus facile à comprendre, bien que je ne vois pas à quelle était la tentative réelle du PC de ma femme : le PC à l'adresse IP 192.1.1.1 via son prot 137 à lancé un appel en broadcast sur mon réseau LAN via le port 137. Dans quel but ? Peut être qu'en recherchant se qui transite habituellement sur le port 137 j'aurais plus d'infos ? Je vais chercher.
Par contre, pourquoi cette tentative du PC de ma femme a été répétée 19 fois ? Elle n'a utilisé que son navigateur internet pourtant !
Enfin, j'ai mon NAS qui a émis un message refusé 2 fois sur le réseau local :
- Code:
-
Jul 3 12:53:28 serveurmacmini ipfw[146]: 65534 Deny UDP 192.1.1.2:1234 255.255.255.255:9999 in via en0
Jul 3 14:20:46: --- last message repeated 1 time --
Visiblement c'est aussi un message de broadcast. Celui émis à 12:53:28 doit correspondre à un moment où le NAS a changé d'état mise/sortie de veille, je ne sais pas. Celui émis à 14:20:46 doit correspondre au moment où je l'ai éteint.
A votre avis, est-ce utile d'avoir ce type de message broadcast ? Dois-je les faire accepter par le coupe-feu de OSX Serveur ?
En fait j'ai peut être une vision fausse d'un coupe-feu bien réglé, car pour moi cela devrait être un coupe-feu qui autorise toutes les actions des machines fiables du réseau local. Qu'en pensez vous ? Comment lisez-vous les logs de mon coupe-feu ?
Merci d'avance pour vos lumières, et bon week-end à vous !
Accueil 
