[LiveBox ArpWatch] Message etrange

Le
jacques
Bonjour,

contexte : quelques machines GNU/Linux et une LiveBox autour d'un
switch 10/100. Arpwtach tourne sur une machine

Hier un message très inhabituel :

From: arpwatch@pollux.frmug.org (Arpwatch pollux)
To: root@pollux.frmug.org
Subject: new station (APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr) eth0
Date: Fri, 9 Nov 2007 00:57:04 +0100 (CET)

hostname: APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr
ip address: 90.16.243.60
interface: eth0
ethernet address: 0:16:ae:19:f9:d2
ethernet vendor: <unknown>
timestamp: Friday, November 9, 2007 0:57:02 +0100

Habituellement ArpWatch ne memontre que les nouveaux hosts du
réseau local en 192.168.1.0 et jamais des adresses publiques.

Une explication ?

Merci, Jacques
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #874833
Salut,


contexte : quelques machines GNU/Linux et une LiveBox autour d'un
switch 10/100. Arpwtach tourne sur une machine

Hier un message très inhabituel :

From: (Arpwatch pollux)
To:
Subject: new station (APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr) eth0
Date: Fri, 9 Nov 2007 00:57:04 +0100 (CET)


C'est aujourd'hui, ça. ;-)

hostname: APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr
ip address: 90.16.243.60


C'était l'adresse IP publique du moment de la Livebox ?

interface: eth0
ethernet address: 0:16:ae:19:f9:d2


C'est l'adresse MAC de la Livebox ?
Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?

Habituellement ArpWatch ne memontre que les nouveaux hosts du
réseau local en 192.168.1.0 et jamais des adresses publiques.

Une explication ?


Si la réponse à mes deux premières question est oui et si la pile IP de
la Livebox suit le modèle "faible" (weak model), elle peut utiliser son
adresse WAN sur son interface LAN, et notamment dans son trafic ARP.

jacques
Le #874832
Le Fri, 09 Nov 2007 11:51:14 +0100,

Salut,


Bonjour Pascal,
Hier un message très inhabituel :

Subject: new station (APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr)
eth0 Date: Fri, 9 Nov 2007 00:57:04 +0100 (CET)


C'est aujourd'hui, ça. ;-)


Oui, mais c'est hier car j'ai dormi depuis :)

hostname: APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr
ip address: 90.16.243.60


C'était l'adresse IP publique du moment de la Livebox ?


Oui, voir plus bas.

interface: eth0
ethernet address: 0:16:ae:19:f9:d2


C'est l'adresse MAC de la Livebox ?


oui,

En ce moment :

~$ arp -a
WANADOO-F9D0 (192.168.1.1) à 00:16:AE:19:F9:D2 [ether] sur eth0
pollux (192.168.1.201) à 00:01:03:04:51:44 [ether] sur eth0


Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?


Je ne sais pas dire...

Si la réponse à mes deux premières question est oui et si la pile IP
de la Livebox suit le modèle "faible" (weak model), elle peut
utiliser son adresse WAN sur son interface LAN, et notamment dans son
trafic ARP.


Une piste : à l'heure où ArpWatch a émis ce message là je faisais
d'un poste du LAN des requêtes HTTP sur l'adresse publique de la LBox

90.16.243.60 - - [09/Nov/2007:00:57:02 +0100] "GET /gallery/albums.php
HTTP/1.1" 200 26415
"http://lavignotte.bounceme.net/gallery/admin-page.php" "Mozilla/5.0
(X11; U; Linux i686; fr; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3"

et la LBox redirige les requêtes au port 80 sur
pollux (192.168.1.201) à 00:01:03:04:51:44


Merci

Jacques


Nina Popravka
Le #874831
On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg

si la pile IP de
la Livebox suit le modèle "faible" (weak model)


C'est quoi ?
--
Nina

jacques
Le #874830
Le Fri, 09 Nov 2007 12:11:49 +0100,

On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg

si la pile IP de
la Livebox suit le modèle "faible" (weak model)


C'est quoi ?


Je découvre...

http://en.wikipedia.org/wiki/Host_model

Jacques


newsreader
Le #874829
On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg

si la pile IP de
la Livebox suit le modèle "faible" (weak model)


C'est quoi ?


Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs
de la machine, quelle que soit l'interface par laquelles ces paquets
arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou
destination).

Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut
d'ailleurs à l'occasion que je trouve comment le désactiver autrement
qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon
serveur qui ne me plaisent pas.

Lolotte
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...


Pascal Hambourg
Le #874828

si la pile IP de la Livebox suit le modèle "faible" (weak model)


C'est quoi ?


(Rien trouvé en français en moins de 20 secondes, désolé)


Pascal Hambourg
Le #874634

Suivre le weak model, c'est accepter les paquets destinés à l'une des
IPs de la machine, quelle que soit l'interface par laquelles ces paquets
arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source
ou destination).

Sous les systèmes linux et BSD, c'est le comportement par défaut. Il
faut d'ailleurs à l'occasion que je trouve comment le désactiver
autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs
sur mon serveur qui ne me plaisent pas.


Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des
/proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la
doc des sources du noyau.

newsreader
Le #874633

Suivre le weak model, c'est accepter les paquets destinés à l'une des
IPs de la machine, quelle que soit l'interface par laquelles ces paquets
arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source
ou destination).

Sous les systèmes linux et BSD, c'est le comportement par défaut. Il
faut d'ailleurs à l'occasion que je trouve comment le désactiver
autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs
sur mon serveur qui ne me plaisent pas.


Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des
/proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la
doc des sources du noyau.



impec' avec /proc/sys/net/ipv4/conf/*/arp_filter

Merci

Lolotte
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...


jacques
Le #874628
Le Fri, 09 Nov 2007 12:24:31 +0100,


Tiens, ça marche avec la Livebox, la redirection de port depuis un
client du LAN ? C'est souvent le genre de truc qui ne marche que
depuis l'extérieur.


Je me suis mal exprimé : la redir de port 80 est en entrée du public ->
privé 80

Faudrait recommencer en faisant tourner un sniffeur de paquets pour
vérifier, après avoir attendu assez longtemps que l'adresse MAC du
serveur ait expiré dans le cache ARP de la Livebox.


Remmplir mon DD avec des traces de tcpdump... ;)

Jacques

jacques
Le #876938
Le Fri, 09 Nov 2007 13:42:50 +0100,

Effectivement, si tu as écrit "d'un poste du LAN" alors que tu
voulais dire "depuis un poste extérieur", alors tu t'es très mal
exprimé, je confirme. ;-)


C'est pire que ça :)

Je me suis donc TRES^2 mal exprimé !

Depuis un poste du lan je fais une requete http vers le domaine DynDNS
(lavignotte.bounceme.net) dont le record A (adresse publique) est la
LiveBox laquelle redirige le port 80 vers un poste interne au lan avec
une adresse privée.
Ca doit confuser un peu laBox...

Jacques, Dazed and Confused

Publicité
Poster une réponse
Anonyme