[FRnOG] Free - traffic RFC-1918 sur l'interface externe
Bonsoir, J'ai fait un petit tour du côté de mes logs et certain trafic bloqué m'a interpellé. Pour le contexte je suis chez free (freebox v4) avec une connection qui se termine sur un firewall GNU/Debian. J'ai pas de wifi. Mon réseau interne est 192.168.0.0/24, le traffic sortant est bien entendu naté. May 23 07:57:00 sameplay kernel: INPUT: IN=eth0 OUT= MAC=00:80:ad:7e:c9:XX:00:07:cb:0b:XX:08:08:00 SRC=192.168.1.75 DST=82.227.39.X LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=59327 WINDOW=5792 RES=0x00 ACK SYN URGP=0 May 23 07:57:17 sameplay kernel: INPUT: IN=eth0 OUT= MAC=00:80:ad:7e:c9:XX:00:07:cb:0b:XX:08:08:00 SRC=192.168.1.75 DST=82.227.39.x LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=59294 WINDOW=5792 RES=0x00 ACK SYN URGP=0 May 23 08:01:22 sameplay kernel: INPUT: IN=eth0 OUT= MAC=00:80:ad:7e:c9:XX:00:07:cb:0b:XX:08:08:00 SRC=192.168.1.75 DST=82.227.39.x LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=46292 WINDOW=5792 RES=0x00 ACK SYN URGP=0 Le trafic bloqué vient de l'interface externe du pare feu en provenance de la freebox, la mac adresse source indique bien la freebox. La deuxième information relativement importante est le SYN ACK/ source port 80, malheureusement je n'ai pas le trafic sortant qui correspondrai au SYN initial, j'ai vérifié si la freebox répondait à 192.168.1.75 (arping) et non. La question étant pourquoi le trafic est originaire d'une IP RFC-1918 et d'autant plus qu'il sagit d'un SYN/ACK. Merci Cordialement Fabien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free - traffic RFC-1918 sur l'interface externe
Bonsoir, On Mon, May 24, 2010 at 10:59:14PM +0100, Fabien Bourdaire wrote: [skip] La question étant pourquoi le trafic est originaire d'une IP RFC-1918 et d'autant plus qu'il sagit d'un SYN/ACK. IP n'apporte aucune vérification de la véracité de la source. Sylvain signature.asc Description: Digital signature
[FRnOG] Free - traffic RFC-1918 sur l'interface externe
2010/5/24 Sylvain Rochet grada...@gradator.net: Bonsoir, On Mon, May 24, 2010 at 10:59:14PM +0100, Fabien Bourdaire wrote: [skip] La question étant pourquoi le trafic est originaire d'une IP RFC-1918 et d'autant plus qu'il sagit d'un SYN/ACK. IP n'apporte aucune vérification de la véracité de la source. J'entends bien, le routage d'une addresse interne sur un reseau ISP est tout a fait possible. Je suppose que la question réelle est, est ce que free utilise des proxy transparents pour par exemple diminuer le traffic vers youtube? Fabien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free - traffic RFC-1918 sur l'interface externe
Hello, Le lundi 24 mai 2010 à 23:43 +0100, Fabien Bourdaire a écrit : J'entends bien, le routage d'une addresse interne sur un reseau ISP est tout a fait possible. Je suppose que la question réelle est, est ce que free utilise des proxy transparents pour par exemple diminuer le traffic vers youtube? Ca m'étonnerait que si filtrage il y a, ce soit par ce biais. Et encore moins avec des IPs RFC1918... Après, les pseudo attaques faites à base de paquets forgés, ca existe... le moyen partiellement efficace reste le filtrage par ACL des subnets RFC1918 et/ou Bogons sur les liens vers l'extérieur, couplé à de l'antispoof sur les liens abonnés, mais c'est pas moi qui pourrai te dire si les ingés de Free ont implémenté ou non cela dans leur réseau. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/