Le 04/12/2019 à 15:15, Frederic Dumas a écrit :
Bonjour à tous,
Après quelques vérifications, il apparait que:
- les requêtes vers les machines distantes sont bien acheminées par la
passerelle; elles traversent donc le bridge;
- les réponses parviennent à la passerelle, qui les émet sur son
interface, de son coté du bridge;
- malheureusement, tcpdump est formel: de l'autre coté du bridge, sur
le reste du LAN, le CheckPoint ne transmet aucun des paquets sortant
de la passerelle, dès lors que ceux-ci ont des machines
distantes pour adresse d'origine;
- pour fermer la porte à une fausse piste, le phénomène se produit
aussi bien lorsque le filtrage sur MAC address est activé ou
désactivé sur le CheckPoint;
- cependant, comme dit plus haut, le CheckPoint transmet bien sur le
bridge tous les paquets émis par la passerelle, dès lors que ceux-
ci ont pour adresse d'origine celle de la passerelle elle-même.
Si on essaye de "tirer dans le noir" comme disent les anglo-saxons, ça
fait penser à une règle d'anti-spoofing qui droperait les paquets de
retour, car ils ont une adresse d'origine extérieure au LAN. Mais rien
ne le confirme dans les logs du CheckPoint. Les paquets ont disparus,
et c'est tout.
Bug ou feature ? Y-a-t-il un moyen de configurer le CheckPoint pour
contourner ce problème ? Une route à déclarer pour contourner le
filtre anti-spoofing, pour autant que ce soit lui la cause ?
Merci pour vos conseils ou hypothèses.
Bonjour
Ca ressemble effectivement à quelque chose comme un spoofguard. Je
n'ai plus de checkpoint depuis longtemps, mais je me souviens qu'il y
avait une super commande qui permettait de savoir exactement à quel
niveau de l'examen le paquet était droppé. Il y avait bien sûr 'fw
monitor' qui permettait d'en savoir plus quer tcpdump, mais je me
demande s'il n'y avait pas une commande qui allait encore plus dans le
détail ? Je me demande si ce n'est pas 'fw ctl zdebug' ?
Cdt
Thierry
--
<http://www.ac-clermont.fr>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
