Plop,
Alors l’upnp c’est quoi ?
Pour faire simple l’upnp est un protocole qui une fois activé sur un routeur permet aux clients du lan d’ouvrir des ports sans passer par l’interface du routeur et donc sans avoir besoin du mot de passe admin.
Alors je sais, dit comme ça y a de quoi sauter au plafond niveau sécurité :/
Heureusement sur certains routeurs / firewall comme pfsense nous pouvons ajouter des restrictions ip, ports, … bref de quoi limiter la casse.
Pour la mise en place sur un pfsense c’est plutôt simple :
Dans Services => Enable UPnP & NAT-PMP
Puis forcement on coche Enable pour activer le service
Et UPnP Port Mapping pour autoriser les systèmes Microsoft et linux
Ou NAT-PMP Port Mapping pour les systemes Apple
Ensuite on choisit l’interface WAN dans External Interface
Et le LAN cible dans Interfaces
Ne pas oublier par mesure de sécurité de cocher la case Default Deny, c’est toujours plus simple de tout bloquer et d’autoriser ensuite.
Dans la seconde partie de la conf nous allons créer nos autorisations avec le format suivant : [allow or deny] [ext port or range] [int ipaddr or ipaddr/CIDR] [int port or range]
Exemple : allow 65000-65500 192.168.254.99 1-65535
Là j’autorise la machine portant l’ip 192.168.254.99 à ouvrir et rediriger les ports compris entre 65000 et 65500 vers elle-même dans la plage de ports 1 à 65535.
Dans mon screen j’autorise tout mon Lan à faire ceci.
